2 tip pass vault çalışma prensibi var en temelde.
- İlki tarayıcı üzerine Browser Extension ile yerleşip, yerel veya cloud bir kaynaktan parolayı encrypted şekilde çekip browser'a güvenli şekilde yedirme yöntemidir.
- İkincisi ise makineye ajan ile yerleşip ajan vasıtası ile parolayı güvenli şekilde desteklenen tarayıcılara yedirme.
Bu iki yöntem arasında avantaj ve dezavantaj anlamında farklılıklar var elbette. Ancak her şeyden önce şu gerçeğin farkında olarak yola koyulman gerekli "Bir siteye girebilmek için parolayı bilmene veya parolayı kopyala yapıştır yapmana gerek yoktur".
Yani parolayı görmeden de ilgili web sayfasına doğrudan veri yerleştirebilen çözümler mevcut. Aşağıya örnek bir video bırakıyorum senin için.
Şayet Browser Extension kullanıyorsan, parolayı kopyala - yapıştır yapmana gerek kalmaksızın parolayı yedirebiliyorsan web sayfasına, nispeten güvenli olduğunu söyleyebilirim. Elbette bazı zafiyet durumlarında parolanın web tarayıcısı üzerinden de çalınması mümkün olabiliyor lakin bunun için biraz daha ileri seviye hakimiyet gerekiyor hedef sistem üzerinde. Yani nispeten güvende olduğunu söyleyebilirim bu senaryoda.
Ajan destekli çalışan çözümlerde ise özellikle clipboard kontrol mekanizmaları gelişmiş olduğu için kolay kolay o yöntem ile parola çalmak mümkün olmayacaktır.
Özetle parolayı görmeden - parolayı bilmeden giriş yapabiliyor olduğun sürece daha ziyade güvende olacaksındır.
Sana farklı bir bakış açısı daha aktarayım, parolaların hareketsiz kalması / resetlenmemesi de zafiyet kaynaklarının yapı taşlarından biridir. Bunu engellemek için parolaları düzenli olarak resetlemek gerekir tahmin edeceğin üzere. Lakin işte tam bu noktada ; parolaları düzenli olarak resetleyebilmek ve kopyala yapıştır yapmadan login olabilmek için de "Parolayı görmeden giriş yapabilme" özelliğine sahip olman gerekir. Bunların hepsi birbirini tamamlayan şeyler.
Eh tabi basic authentication yapmayı başardığın senaryoda seni koruyabilecek sertifika doğrulama veya biyometrik doğrulama veya kayıt gerektiren farklı doğrulama metotları ile kendini daha da güvene alabilirsin. Dünya artık passwordless authentication metotlarına dönmeye başlıyor. Tercih edilecek doğrulama metotlarının bile farklı kullanım senaryolarında çok farklı etkileri var. Genel bir fikir sunmak istedim.
