WebAuthn Nedir?
İngilizce: WebAuthn
WebAuthn, tarayıcıların cihaz güvenlik anahtarları ve passkey'lerle güçlü, parolasız kimlik doğrulama yapmasını sağlayan web standardıdır.
WebAuthn Nedir?
WebAuthn (Web Authentication), tarayıcıların platform kimlik doğrulayıcıları, donanım güvenlik anahtarları ve passkey kimlik bilgileriyle çalışmasını sağlayan web standardıdır. FIDO2 ekosisteminin web tarafındaki ana API’sidir.
Kayıt sırasında uygulama tarayıcıya bir challenge ve kullanıcı bilgisi verir. Kimlik doğrulayıcı yeni bir anahtar çifti üretir; açık anahtar sunucuya kaydedilir, özel anahtar cihazda kalır. Giriş sırasında sunucu yeni bir challenge gönderir, cihaz bunu imzalar ve sunucu imzayı kayıtlı açık anahtarla doğrular.
Bileşenler
WebAuthn akışında relying party, yani oturum açtıran web sitesi; client, yani tarayıcı; authenticator, yani cihazdaki güvenli alan veya harici güvenlik anahtarı birlikte çalışır. Authenticator platform içinde olabilir ya da USB/NFC/Bluetooth ile bağlanan ayrı bir anahtar olabilir.
WebAuthn, 2FA ve MFA senaryolarında ikinci faktör olarak kullanılabildiği gibi tamamen parolasız girişin de temelidir. Uygulamada domain eşleşmesi, kullanıcı doğrulama gereksinimi, yedek cihaz ve hesap kurtarma tasarımı güvenlik kadar kullanılabilirliği de belirler.
İlgili Terimler
2FA, oturum açarken şifreye ek olarak telefon, doğrulama uygulaması veya donanım anahtarıyla ikinci kanıt isteyen yöntemdir.
Biyometrik Kimlik DoğrulamaBiyometrik kimlik doğrulama, yüz veya parmak izi gibi cihaz biyometrilerini oturum açma ve onay adımlarında kullanır.
MFAMFA, girişte parola dışında cihaz, uygulama, biyometri veya güvenlik anahtarı gibi ek doğrulama faktörleri ister.
Passkey (Geçiş Anahtarı)Passkey, parola yerine cihazdaki özel anahtar ve biyometrik/PIN onayıyla çalışan, phishing'e dayanıklı oturum açma yöntemidir.