Passkey ve WebAuthn: şifresiz, sihirsiz giriş yapın

spinny:~/writing $ less passkeys-webauthn-passwordless-authentication.md

1 
2Yıllardır onlarla yaşadığımız için normalleştirdiğimiz şeylerden biri de şifreler. Kullanıcılar bunları unutuyor, yeniden kullanıyor, yazmamaları gereken yerlere yazıyor. Ekipler sıfırlamaları, politikaları, karmaları, sızıntıları, kimlik avını ve desteği yönetmelidir.
3 
4passkey kimlik doğrulamayı mükemmel yapmaz ancak büyük bir sorunu ortadan kaldırır: Sunucunun artık kullanıcıyla paylaşılan bir sırrı saklaması gerekmez.
5 
6## Gerçekten ne oluyor
7 
8passkey, WebAuthn'ye dayalı bir kimlik bilgisidir. Kullanıcı bunu oluşturduğunda cihaz bir anahtar çifti oluşturur:
9 
10- cihazda veya şifre yöneticisinde kalan özel bir anahtar;
11- sunucunun kaydedebileceği ortak anahtar.
12 
13Sunucuya giriş yaparken "bana şifreyi söyle" sormuyor. Rastgele bir meydan okuma gönderin. Cihaz bunu özel anahtarla imzalar. Sunucu imzayı ortak anahtarla doğrular.
14 
15İşin güzel tarafı da bu: Eğer veritabanı çalınırsa içeride kırılacak şifreler olmaz. Ve eğer bir kullanıcı sahte bir alan adı alırsa, passkey bu alan adı için geçerli değildir. Bu sadece kolaylık değil, aynı zamanda kimlik avına karşı somut bir korumadır.
16 
17## Tarayıcı köprü görevi görür
18 
19Tarayıcıda iki ana API şunlardır:
20 
21- `navigator.credentials.create()` passkey oluşturmak için;
22- `navigator.credentials.get()` oturum açma sırasında kullanmak için.
23 
24Ama önemli olan mantık sunucudadır. Sunucunun sorgulamayı oluşturması, geçici olarak kaydetmesi, yanıtı doğrulaması, kaynağı kontrol etmesi ve Relying Party ID, ardından oturumu oluşturması gerekir.
25 
26Müşteri kısmı neredeyse sıkıcı olmalı:
27 
28```typescript
29const options = await fetch('/api/passkeys/login/options').then((r) => r.json());
30 
31const credential = await navigator.credentials.get({
32  publicKey: PublicKeyCredential.parseRequestOptionsFromJSON(options),
33});
34 
35await fetch('/api/passkeys/login/verify', {
36  method: 'POST',
37  headers: { 'Content-Type': 'application/json' },
38  body: JSON.stringify(credential?.toJSON()),
39});
40```
41 
42Kendinizi WebAuthn şifrelemeyi elle uygularken bulursanız durun. Sağlam bir sunucu tarafı kitaplığı kullanın. Buradaki hatalar "sevimli böcekler" değil, kimlik doğrulama delikleridir.
43 
44## Veritabanına ne kaydedilmeli
45 
46Dünyanın yarısını kurtarmaya gerek yok. Genellikle yeterli:
47 
48- Kimlik bilgilerinin kimliği;
49- genel anahtar;
50- bağlı kullanıcı;
51- herhangi bir doğrulama sayacı veya meta verisi;
52- UX için yararlıysa aktarımlar;
53- kullanıcı tarafından seçilen ad;
54- oluşturulma tarihi ve son kullanım.
55 
56Minimal bir tablo şöyle görünebilir:
57 
58```sql
59create table passkey_credentials (
60  id uuid primary key default gen_random_uuid(),
61  user_id uuid not null references users(id),
62  credential_id text not null unique,
63  public_key text not null,
64  name text,
65  created_at timestamptz not null default now(),
66  last_used_at timestamptz
67);
68```
69 
70Daha sonra denetim günlükleri ve bildirimler eklerdim: Birisi hesabımda yeni bir passkey oluşturursa bunu bilmek isterim.
71 
72## UX demodan daha önemlidir
73 
74passkey'nin demosu her zaman güzeldir: tıklarsınız, Face ID, içeri girersiniz. Gerçek ürün daha karmaşıktır.
75 
76Birisi telefonunu değiştiriyor. Birisi kilitli bir şirket bilgisayarını kullanıyor. Bazı insanlar tarayıcının neden passkey önerdiğini anlamıyor. Birisi cihazına erişimini kaybeder.
77 
78Bu yüzden "bugünden itibaren herkese şifre yok" diyerek başlamayacağım. Şöyle başlardım:
79 
801. passkey dahili kullanıcılar için isteğe bağlıdır;
812. Başarılı bir giriş yaptıktan sonra bir tane oluşturma önerisi;
823. yeniden adlandırmak ve kaldırmak için hesap sayfası passkey;
834. geri dönüşü temizleyin;
845. Ana girişte kademeli olarak kullanıma sunma.
85 
86Arayüzdeki metin basit olmalıdır. "Cihazınızın kilit ekranını kullanın", "yerleşik FIDO2 kimlik bilgileriyle kimlik doğrulaması yapmak"tan daha iyidir.
87 
88## Kaçınacağım hatalar
89 
90Müşteri üzerinde zorluklar yaratmayın. Mücadele sunucuda oluşturulur ve yalnızca bir kez doğrulanması gerekir.
91 
92Yalnızca kimlik bilgilerine güvenmeyin. İmzayı, sorgulamayı, kaynağı ve Relying Party ID doğrulamanız gerekir.
93 
94İyi bir kurtarma akışına sahip olmadan geri dönüşleri silmeyin. Parolasız, "telefonunuzu kaybederseniz sonsuza kadar dışarıda kalırsınız" şeklinde olmak zorunda değildir.
95 
96passkey'yi yalnızca ön uç düğmesi olarak görmeyin. Bir düğmeyi gizlemek güvenlik değildir: gerçek doğrulama sunucu tarafındadır.
97 
98## Passkey-ilk mi yoksa passkey-dostu mu?
99 
100Yeni bir ürün için önce passkey düşünebilirsiniz. Mevcut bir uygulama için passkey-dostu tercih ediyorum: Önerilen yöntem olarak passkey'yi ekleyin, başarıyı ve sorunları ölçün, ardından şifre ağırlığını sakin bir şekilde azaltın.
101 
102İdeal göç hissedilmez. Kullanıcı, şirketin kimlik doğrulama protokolünü değiştirdiğini değil, oturum açmanın daha kolay olduğunu keşfeder.
103 
104## Sonuç
105 
106passkey ilginçtir çünkü güvenliği ve kullanıcı deneyimini aynı anda geliştirirler ki bu da nadirdir. Bunlar sihirli bir değnek değil: kurtarma, uyumluluk, destek ve kullanıma sunmanın iyi tasarlanması gerekiyor.
107 
108Ancak temel değişiklik güçlüdür. Kullanıcılardan sırları icat etmelerini ve korumalarını istemeyi bırakın. Cihazın alan adınıza bağlı bir kriptografik kanıt imzalamasına izin verirsiniz. Daha az insan hafızası, daha az kimlik avı, daha az şifre sıfırlama. Ciddiye alınmaya değer olduklarını söyleyebilirim.
109 
110## Kaynaklar
111 
112- [MDN: Passkeys](https://developer.mozilla.org/en-US/docs/Web/Security/Authentication/Passkeys)
113- [MDN: Web Authentication API](https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API)
114- [W3C: Web Authentication](https://www.w3.org/TR/webauthn-3/)
115- [passkeys.dev](https://passkeys.dev/)
116

:Passkey ve WebAuthn: şifresiz, sihirsiz giriş yapınlines 1-116 (END) — press q to close

2Yıllardır onlarla yaşadığımız için normalleştirdiğimiz şeylerden biri de şifreler. Kullanıcılar bunları unutuyor, yeniden kullanıyor, yazmamaları gereken yerlere yazıyor. Ekipler sıfırlamaları, politikaları, karmaları, sızıntıları, kimlik avını ve desteği yönetmelidir.

4passkey kimlik doğrulamayı mükemmel yapmaz ancak büyük bir sorunu ortadan kaldırır: Sunucunun artık kullanıcıyla paylaşılan bir sırrı saklaması gerekmez.

6## Gerçekten ne oluyor

8passkey, WebAuthn'ye dayalı bir kimlik bilgisidir. Kullanıcı bunu oluşturduğunda cihaz bir anahtar çifti oluşturur:

10- cihazda veya şifre yöneticisinde kalan özel bir anahtar;

11- sunucunun kaydedebileceği ortak anahtar.

13Sunucuya giriş yaparken "bana şifreyi söyle" sormuyor. Rastgele bir meydan okuma gönderin. Cihaz bunu özel anahtarla imzalar. Sunucu imzayı ortak anahtarla doğrular.

15İşin güzel tarafı da bu: Eğer veritabanı çalınırsa içeride kırılacak şifreler olmaz. Ve eğer bir kullanıcı sahte bir alan adı alırsa, passkey bu alan adı için geçerli değildir. Bu sadece kolaylık değil, aynı zamanda kimlik avına karşı somut bir korumadır.

17## Tarayıcı köprü görevi görür

19Tarayıcıda iki ana API şunlardır:

21- `navigator.credentials.create()` passkey oluşturmak için;

22- `navigator.credentials.get()` oturum açma sırasında kullanmak için.

24Ama önemli olan mantık sunucudadır. Sunucunun sorgulamayı oluşturması, geçici olarak kaydetmesi, yanıtı doğrulaması, kaynağı kontrol etmesi ve Relying Party ID, ardından oturumu oluşturması gerekir.

26Müşteri kısmı neredeyse sıkıcı olmalı:

28```typescript

29const options = await fetch('/api/passkeys/login/options').then((r) => r.json());

31const credential = await navigator.credentials.get({

32 publicKey: PublicKeyCredential.parseRequestOptionsFromJSON(options),

33});

35await fetch('/api/passkeys/login/verify', {

36 method: 'POST',

37 headers: { 'Content-Type': 'application/json' },

38 body: JSON.stringify(credential?.toJSON()),

39});

40```

42Kendinizi WebAuthn şifrelemeyi elle uygularken bulursanız durun. Sağlam bir sunucu tarafı kitaplığı kullanın. Buradaki hatalar "sevimli böcekler" değil, kimlik doğrulama delikleridir.

44## Veritabanına ne kaydedilmeli

46Dünyanın yarısını kurtarmaya gerek yok. Genellikle yeterli:

48- Kimlik bilgilerinin kimliği;

49- genel anahtar;

50- bağlı kullanıcı;

51- herhangi bir doğrulama sayacı veya meta verisi;

52- UX için yararlıysa aktarımlar;

53- kullanıcı tarafından seçilen ad;

54- oluşturulma tarihi ve son kullanım.

56Minimal bir tablo şöyle görünebilir:

58```sql

59create table passkey_credentials (

60 id uuid primary key default gen_random_uuid(),

61 user_id uuid not null references users(id),

62 credential_id text not null unique,

63 public_key text not null,

64 name text,

65 created_at timestamptz not null default now(),

66 last_used_at timestamptz

67);

68```

70Daha sonra denetim günlükleri ve bildirimler eklerdim: Birisi hesabımda yeni bir passkey oluşturursa bunu bilmek isterim.

72## UX demodan daha önemlidir

74passkey'nin demosu her zaman güzeldir: tıklarsınız, Face ID, içeri girersiniz. Gerçek ürün daha karmaşıktır.

76Birisi telefonunu değiştiriyor. Birisi kilitli bir şirket bilgisayarını kullanıyor. Bazı insanlar tarayıcının neden passkey önerdiğini anlamıyor. Birisi cihazına erişimini kaybeder.

78Bu yüzden "bugünden itibaren herkese şifre yok" diyerek başlamayacağım. Şöyle başlardım:

801. passkey dahili kullanıcılar için isteğe bağlıdır;

812. Başarılı bir giriş yaptıktan sonra bir tane oluşturma önerisi;

823. yeniden adlandırmak ve kaldırmak için hesap sayfası passkey;

834. geri dönüşü temizleyin;

845. Ana girişte kademeli olarak kullanıma sunma.

86Arayüzdeki metin basit olmalıdır. "Cihazınızın kilit ekranını kullanın", "yerleşik FIDO2 kimlik bilgileriyle kimlik doğrulaması yapmak"tan daha iyidir.

88## Kaçınacağım hatalar

90Müşteri üzerinde zorluklar yaratmayın. Mücadele sunucuda oluşturulur ve yalnızca bir kez doğrulanması gerekir.

92Yalnızca kimlik bilgilerine güvenmeyin. İmzayı, sorgulamayı, kaynağı ve Relying Party ID doğrulamanız gerekir.

94İyi bir kurtarma akışına sahip olmadan geri dönüşleri silmeyin. Parolasız, "telefonunuzu kaybederseniz sonsuza kadar dışarıda kalırsınız" şeklinde olmak zorunda değildir.

96passkey'yi yalnızca ön uç düğmesi olarak görmeyin. Bir düğmeyi gizlemek güvenlik değildir: gerçek doğrulama sunucu tarafındadır.

98## Passkey-ilk mi yoksa passkey-dostu mu?

100Yeni bir ürün için önce passkey düşünebilirsiniz. Mevcut bir uygulama için passkey-dostu tercih ediyorum: Önerilen yöntem olarak passkey'yi ekleyin, başarıyı ve sorunları ölçün, ardından şifre ağırlığını sakin bir şekilde azaltın.

101

102İdeal göç hissedilmez. Kullanıcı, şirketin kimlik doğrulama protokolünü değiştirdiğini değil, oturum açmanın daha kolay olduğunu keşfeder.

103

104## Sonuç

105

106passkey ilginçtir çünkü güvenliği ve kullanıcı deneyimini aynı anda geliştirirler ki bu da nadirdir. Bunlar sihirli bir değnek değil: kurtarma, uyumluluk, destek ve kullanıma sunmanın iyi tasarlanması gerekiyor.

107

108Ancak temel değişiklik güçlüdür. Kullanıcılardan sırları icat etmelerini ve korumalarını istemeyi bırakın. Cihazın alan adınıza bağlı bir kriptografik kanıt imzalamasına izin verirsiniz. Daha az insan hafızası, daha az kimlik avı, daha az şifre sıfırlama. Ciddiye alınmaya değer olduklarını söyleyebilirim.

109

110## Kaynaklar

111

112- [MDN: Passkeys](https://developer.mozilla.org/en-US/docs/Web/Security/Authentication/Passkeys)

113- [MDN: Web Authentication API](https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API)

114- [W3C: Web Authentication](https://www.w3.org/TR/webauthn-3/)

115- [passkeys.dev](https://passkeys.dev/)

116