Microsoft 1 Milyar Windows Kullanıcısını Uyarıyor: Şifre Kullanmayın

Microsoft, 1 milyardan fazla Windows kullanıcısını şifre kullanmamaları konusunda uyardı. Bu uyarı, şirketin şifreleri tamamen kaldırma yönündeki kararlılığının bir parçası olarak geldi. Zak Doffman tarafından Forbes için kaleme alınan makale, Microsoft’un güvenlik, gözetim ve gizlilik konularındaki uzman görüşlerini paylaşıyor.

Şifre Çağı Sona Eriyor

Microsoft’un Aralık ayında yaptığı açıklamaya göre, “şifre çağı sona eriyor.” Şirket, kötü niyetli kişilerin bu durumu bildiğini ve şifre ile ilgili saldırıları hızlandırdığını belirtti. Geçen yıla göre neredeyse iki kat artarak saniyede 7.000 şifre saldırısını engellediğini bildiren Microsoft, 1 milyar kullanıcıyı şifresiz giriş yöntemlerini benimsemeye ikna etme çabasında.

Passkey Nedir ve Nasıl Çalışır?

Passkey, şifre ve iki faktörlü kimlik doğrulama (2FA) kodlarının yerini alarak, hesap kimlik doğrulamasını donanım cihazlarınıza bağlar. Bu, genellikle parmak iziniz veya yüzünüzle güvence altına alınır. Passkey, fiziksel bir donanım cihazı gerektirdiği için sızıntıya uğrayamaz veya çalınamaz. Ayrıca, 2FA gibi kesintiye uğratılamaz veya atlatılamaz.

Microsoft, passkey’lerin “kimlik doğrulamanın geleceği” olduğunu ve bunun iyi bir nedeni olduğunu belirtiyor. Passkey’ler kullanımı son derece kolay ve sezgiseldir, karmaşık şifre oluşturma süreçlerine ve bunları hatırlama zorunluluğuna gerek kalmaz. Her web sitesi veya uygulama için benzersizdir, böylece bir passkey’in başka hizmetlere erişim için kullanılması konusunda endişelenmenize gerek kalmaz. Şifrelerin aksine, passkey’ler kimlik avı girişimlerine karşı dayanıklıdır ve daha güvenli bir seçenektir. En önemlisi, tüm cihazlarınızda passkey’inizi kullanabilirsiniz, böylece şifrenizi unutma endişesi yaşamazsınız.

Şifrelerden Passkey’lere Geçiş

Microsoft’un son güncellemesi, şifrelerden passkey’lere geçişin bir sonraki aşamasıdır. Nisan ayı sonuna kadar, çoğu Microsoft hesabı kullanıcısı web ve mobil uygulamalar için güncellenmiş giriş ve kayıt deneyimini görecek. Bu, şirketin giriş deneyimlerini yeniden düşünmesini sağladı ve kullanılabilirlik ve güvenliğe daha fazla vurgu yaparak, şifresiz ve passkey odaklı bir deneyim için optimize edilmiş yeni bir kullanıcı arayüzü (UX) sundu.

Yeni bir hesap oluştururken, sadece e-posta adresinizi girmeniz yeterli olacak. “Yeni bir Microsoft şifresi oluşturmanıza gerek yok… Tek yapmanız gereken, e-postanızı tek seferlik bir kodla doğrulamak ve bu, yeni hesabınız için varsayılan kimlik bilgisi haline gelir, böylece şifresiz başlarsınız.” Giriş yaptıktan sonra, kullanıcılar passkey’lerini oluşturacak. “Microsoft hesabı giriş mantığını da güncelliyoruz, böylece passkey’iniz mümkün olduğunda varsayılan giriş seçeneği olur, çünkü passkey’ler şifrelerden üç kat daha hızlı ve daha güvenlidir.”

Şifre Silme Hedefi

Microsoft, passkey’lerin eklenmesinin şifreler hesapta kaldığı sürece yeterli olmadığını açıkça belirtti. “Eğer bir milyardan fazla kullanıcımız passkey’leri kaydeder ve kullanırsa, ancak bir kullanıcının hem passkey’i hem de şifresi varsa ve her ikisi de hesaba erişim sağlıyorsa, hesap hala kimlik avı riski altındadır.” Bu nedenle, şifre silme hedefi, yeni yapay zeka destekli saldırılar ve başarılı 2FA ihlalleri haftalık manşetlere çıktıkça daha kritik hale geliyor.

“En nihai hedefimiz, şifreleri tamamen kaldırmak ve sadece kimlik avına dayanıklı kimlik bilgilerini destekleyen hesaplara sahip olmaktır,” diyor Microsoft. “Milyonlarca kullanıcı şifrelerini sildi.”

FIDO İttifakı ve Passkey’ler

FIDO İttifakı’nın CEO’su Andrew Shikiar, “FIDO İttifakı, on yıldan fazla bir süredir dünyanın şifrelere bağımlılığını ortadan kaldırmaya odaklandı. Microsoft’un 1 milyardan fazla kullanıcı hesabı için şifreleri devre dışı bırakması, kullanıcı dostu ve kimlik avına dayanıklı passkey’lerin kullanılmasını sağlayan heyecan verici ve önemli bir dönüm noktasıdır,” dedi. Microsoft’un mesajlaşmasındaki netlik ve basitlik için övgüde bulundu.

Passkey’lerin benimsenmesi hızlanıyor ve HYPR, bu hafta “FIDO passkey’lerinin öncülüğünde kimlik avına dayanıklı kimlik doğrulamanın iki yıl içinde en yaygın olarak kullanılan kimlik doğrulama yöntemi haline geleceğini” doğruladı. Ancak, yapılması gereken çok daha fazla şey var. Şimdi ihtiyacımız olan, bu geçişin tamamen gerçekleşmesini sağlamak için diğer büyük platform sağlayıcılarından da aynı şifre silme netliği.

Google, Microsoft’un aksine, şifrelerin hesap erişimi için yedek bir kimlik bilgisi olarak kalmasından bahsediyor. Ancak Microsoft’un uyarısına göre, bu bir güvenlik açığı bırakıyor. Bu yıl, passkey’ler konusunda tutarlı tavsiyeler ve şifre ve basit 2FA kullanımının ortadan kaldırılması görmeliyiz.

Şifrelere Elveda

“Passkey’leri uygulayan çoğu şirketin nihai amacının şifre silme olduğunu söylemek adil,” diyor Shikiar. “Microsoft’un bugün bunu yapmadaki liderliği, daha fazla hizmet sağlayıcısının aynısını yapmasını teşvik edecek ve bizi kolektif olarak şifrelerin tamamen geçmişte kaldığı güne yaklaştıracak.”

“2022’de, kullanıcıların şifrelerini tamamen kaldırmasını ve alternatif yöntemlerle giriş yapmasını mümkün kıldık,” diyor Microsoft. “O zamandan beri, milyonlarca kullanıcı şifrelerini sildi ve şifre tabanlı saldırılara karşı kendilerini korudu. Şimdi passkey’lerle, şifreleri daha hızlı, daha güvenli ve daha kolay kullanılabilir bir şeyle gerçekten değiştirebiliriz. Bu iddialı bir vizyon, ancak tüm senaryolar için kimlik avına dayanıklı bir geleceğe sıkı sıkıya inanıyoruz, hesap kurtarma ve başlatma dahil.”

FIDO’nun verileri, “passkey bilinirliğinin hızla büyüdüğünü” gösteriyor. “Passkey’lerin duyurulmasından ve tüketici kullanımına sunulmasından iki yıl sonra, passkey bilinirliği 2022’de %39 olanlardan %57’ye yükseldi.” Ve şifre silme planları şimdi ön plana çıktığı için, “passkey’lerle tanıdık olanların çoğu bu teknolojiyi giriş yapmak için etkinleştiriyor. Şifreler hala hesap girişinin en yaygın yolu olsa da, alternatiflerin artan kullanılabilirliği ile genel kullanım azalıyor.”

Passkey Deneyimi

“Passkey deneyimimizi doğru yapmak için,” diyor Microsoft, “basit bir metodoloji benimsedik: Küçük başla, dene, sonra çılgınca ölçeklendir. Sonuçlar cesaret verici: Passkey ile giriş yapmak, geleneksel bir şifre kullanmaktan üç kat, geleneksel çok faktörlü kimlik doğrulama ile şifre kullanmaktan sekiz kat daha hızlı. Kullanıcılar, passkey’lerle şifrelere göre üç kat daha başarılı bir şekilde giriş yapıyor (98% karşı 32%). Passkey kayıt akışına başlayan kullanıcıların %99’u bunu tamamlıyor.”

Microsoft, “passkey benimsenmesinin erdemli bir döngü olduğunu ve dünyayı şifrelerden uzaklaştırmanın herhangi bir şirketten daha büyük olduğunu” söylüyor. “Daha fazla güvenen taraf passkey desteğini önceliklendirdikçe, passkey’ler önce tanınacak, sonra tanıdık hale gelecek, sonra her yerde giriş yaptığınızda beklenen hale gelecek. İnsanlar passkey’lerin kullanılabilirlik ve güvenlik avantajlarına giderek daha fazla aşina oldukça, daha fazla siteye kaydolmak ve kullanmak için daha istekli olacaklar. Birlikte, milyarlarca ve milyarlarca kullanıcıyı trilyonlarca hesap için passkey’leri kaydetmeye ikna edebiliriz! Bu kolektif çabanın bir parçası olmaktan gurur duyuyoruz ve passkey yolculuğunuzda ilerledikçe öğrenimlerinizi paylaşmanızı umuyoruz.”

Windows 11’de Değişiklikler

Ancak, Microsoft’tan hesap cephesinde tüm haberler iyi değil. Windows Central’ın bildirdiğine göre, Windows üreticisi aynı zamanda “yeni bir Windows 11 PC kurarken internet bağlantısını ve Microsoft Hesabı’na giriş yapmayı atlamayı sağlayan popüler bir komut satırını kaldırdığını” da doğruladı. Bu, “bypassnro” olarak bilinen ve Windows Kurulumu sırasında komut istemine bir komut girerek “internete bağlanmayı atlamak ve böylece Microsoft Hesabı gereksinimini atlamak” için kullanılan bir yöntemdi. Ancak artık bu mümkün değil – bu, etkilenen kullanıcılar için iyi karşılanmayacak.

“Windows 11’in güvenliğini ve kullanıcı deneyimini artırmak için bypassnro.cmd betiğini yapıdan kaldırıyoruz,” diye bir dev blogunda Microsoft doğruladı. “Bu değişiklik, tüm kullanıcıların kurulumu internet bağlantısı ve bir Microsoft Hesabı ile tamamlamasını sağlar.”

Bypassnro Çalışma Yöntemi

Bypass’ı kullanmak isteyenler için hala bir çözüm yolu var, ancak bu öncekinden daha zahmetli. Windows Latest, Windows 11’in yeni bir kopyasını Microsoft hesabı olmadan kurmanın hala mümkün olduğunu bildiriyor. Microsoft, süreci biraz daha karmaşık hale getirdi, çünkü Windows 11 artık Microsoft hesabı gereksinimini atlamadan önce bir Kayıt Defteri girişi oluşturmanızı gerektiriyor. Kısacası, “Microsoft sadece bypassnro.cmd betiğini kaldırdı, bypass kendisi hala mevcut.” Bu, Kayıt Defteri Düzenleyicisi’ni şu şekilde kullanmak anlamına geliyor: “‘Bir ağa bağlayalım’ ekranında, Shift + F10 tuşlarına basarak Komut İstemi’ni açın. regedit yazarak Kayıt Defteri Düzenleyicisi’ni açın. Kayıt Defteri Düzenleyicisi’nde şuraya gidin: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionOOBE Sağ paneldeki boş alana sağ tıklayın ve şunu seçin: Yeni > DWORD (32-bit) Değer Tam olarak şu şekilde adlandırın: BypassNRO BypassNRO’ya çift tıklayın ve değer verisini 1 olarak ayarlayın. Kayıt Defteri Düzenleyicisi’ni kapatın. Yeniden başlatın.” Alternatif olarak, Windows Latest, Komut İstemi’nden şu betiği çalıştırmanın mümkün olduğunu söylüyor: “reg add “HKLMSOFTWAREMicrosoftWindowsCurrentVersionOOBE” /v BypassNRO /t REG_DWORD /d 1 /f”

Microsoft’un şifrelerden vazgeçme ve passkey’lere geçiş kararı, güvenlik ve kullanılabilirlik açısından önemli bir adım olarak görülüyor. Şirketin bu yöndeki çabaları, diğer platform sağlayıcılarını da benzer adımlar atmaya teşvik ediyor. Ancak, bu geçişin tamamlanması için daha fazla çalışma ve iş birliği gerekiyor.