Google, Android 7 veya üstü sürümle çalışan herhangi bir telefonun bundan böyle iki faktörlü kimlik doğrulama için fiziksel güvenlik anahtarı olarak kullanılabileceğini açıkladı. Böylelikle Google uygulamalarına veya Google’ın destek verdiği iki faktörlü kimlik doğrulama yöntemini kullanan diğer servislere erişim için daha güvenlik bir yöntem elde ediliyor. Eğer kullanıcı girişini doğrulama için bir fiziksel cihaza ihtiyacınız varsa, bir aygıt satın almak yerine telefonunuzu kullanabilirsiniz.
Android telefonunuzu güvenlik anahtarı hâline getirmek için telefonunuzu Bluetooth üzerinden kullanıcı girişi doğrulaması yapacağınız Chrome internet tarayıcısına bağlamanız gerekiyor. Yeni kimlik doğrulama süreci Gmail, G Suite, Google Cloud ve diğer Google hesap servislerinde kullanılabiliyor. FIDO kimlik doğrulama standardından yararlanılıyor. Google, diğer web sitelerinin de bu desteğe sahip olabileceğini söyledi. Ancak kimlik doğrulama servisinin sertifikalandırma süreci hâlâ devam ediyor.
İki faktörlü kimlik doğrulama, bir kişinin şifrenizi ele geçirdiği durumlarda bile yetkisiz kullanıcı girişlerini engellemeye yardımcı oluyor. Kimlik avı saldırısı veya şifre sızıntısı gibi durumlarda bu yöntem epey kullanışlı görünüyor. Google, herkesin telefonunu bir güvenlik anahtarı olarak kullanmasını tavsiye ediyor. Özellikle de gazetecilere, aktivistlere, şirket yöneticilerine ve politik kampanya ekipleri gibi, her an çevrimiçi saldırıya uğrayabileceklere bunu öneriyor.
Tüm iki faktörlü kimlik doğrulama yöntemi aynı oranda güvenli değil. Google geçmişte bir yığın yöntem sunmuştu. SMS üzerinden gönderilen kimlik doğrulama kodları, Google Authenticator’ın sürekli değişen kodları, Android telefonu ve Google servisini internet üzerinden doğrudan konuşturmaya izin veren Google Prompt gibi servisler bunlardan bazıları. Yeni gelen fiziksel güvenlik anahtarı seçeneği ise Google Prompt’a benzer şekilde çalışıyor. Telefonun bilgisayarın yanında fiziksel olarak bulunması gerekiyor. Böylelikle dünyanın bir ucundaki kişinin uzaktan erişip bu işlemi gerçekleştirmesi mümkün olmayacaktır.
Ayrıca bu yöntem FIDO ve WebAuthn gibi bir çift kimlik doğrulama protokolünü kullanarak doğru web sitesinde olup olmadığınızı ve kimlik avı saldırısına uğrayıp uğramadığınızı kontrol ediyor.
Android telefonu güvenlik anahtarı olarak nasıl ayarlanır?
Android telefonunuzu bir güvenlik anahtarı olarak ayarlamak için, Android 7 veya daha yüksek sürümle çalışan bir akıllı telefona ve Chrome OS, macOS ya da Windows 10 cihazında açılmış bir Chrome internet tarayıcı sekmesine ihtiyaç var. Öncelikle Android telefonunuzda Google Hesabınıza giriş yapın ve Bluetooth’u açın. Daha sonra bilgisayarda açılmış olan Chrome’da myaccount.google.com/security adresine girin, sayfada bulunan “İki adımlı doğrulama” seçeneğine tıklatın. Güvenlik anahtarı ekleme seçeneğine girin, daha sonra cihazlar listesi içinden kullanmak istediğiniz telefonu seçin.
Google, Pixel 3 kullananların ses kısma tuşuna basarak güvenlik anahtarı özelliğini etkinleştirebileceklerini söylüyor. Çünkü Pixel’in içindeki Titan M yongası FIDO yetkilerini depolayabiliyor. Tuşa basarak bunların doğrulaması yapılabiliyor. Android 7 veya daha yüksek sürümdeki diğer cihazlar da iki faktörlü kimlik doğrulama yöntemlerinde kullanılabiliyor. Ancak bunlarda kullanıcı girişi yapılması ve bir düğmeye basılması gerekiyor.
Şu an için bu servis sadece Android telefonlarında kullanılabiliyor ve sadece Google servislerine giriş için kullanılabiliyor. Üçüncü taraf sitelerde bu imkan bulunmuyor. Google, bu yeni teknolojinin fiziksel güvenlik anahtarları ile aynı protokolleri kullandığını, diğer şirketlerin de benzer teknolojileri uygulamasının an meselesi olduğunu söylüyor. Yani, Chrome dışında diğer internet tarayıcılarında da bu desteği görebiliriz. Aynı zamanda diğer servisler de Android telefonlarını güvenlik anahtarı olarak kullanabilir. Google, bu hedefe ulaşmak için çalıştığını da dile getiriyor.