Yayınlanma tarihi: 15 Mayıs 2025
Geçiş anahtarları, şifrelere kıyasla daha güvenli, kolay ve hızlı bir alternatif olarak hızla yaygınlaşıyor. Geçiş anahtarları, gelişmiş güvenlik ve kullanıcı kolaylığı sunuyor. Geçiş anahtarlarının potansiyelini tam olarak kullanabilmek için, yönetimleriyle ilgili kullanıcı deneyimine dikkatli bir şekilde yaklaşmak gerekir. Bu belgede, sezgisel, güvenli ve sağlam bir geçiş anahtarı yönetim sistemi tasarlamaya yönelik yönergeler ve isteğe bağlı özellikler özetlenmektedir.
Birden fazla geçiş anahtarını yönetme
Kullanıcıların birden fazla geçiş anahtarı eklemesine ve birden fazla sağlayıcı kullanmasına izin verin. Ancak aynı sağlayıcıyla aynı hesap için birden fazla geçiş anahtarı eklemelerine izin vermeyin. Bir kullanıcı, platform desteklemediği veya kullanıcı erişimini kaybettiği için bir sağlayıcıya erişimini kaybederse farklı bir sağlayıcının başka bir geçiş anahtarıyla oturum açmaya devam edebilir. Bu kurulum, hesap kilitleme riskini azaltır. Veritabanınızın kullanıcı başına birden fazla geçiş anahtarı depolamayı desteklediğinden emin olun.
Kayıtlı geçiş anahtarlarının listesini görüntüleme
Web siteniz veya uygulamanız, kullanıcıların geçiş anahtarlarını etkili bir şekilde yönetmesine yardımcı olmak için kayıtlı geçiş anahtarlarını anahtar ayrıntılarıyla birlikte bir listede göstermelidir. Bu ekran görüntüsünde, özel bir geçiş anahtarı yönetim sayfasının nasıl görünebileceği gösterilmektedir. Kullanıcının birden fazla platformda geçiş anahtarı oluşturmasını ve bunları yönetmek için merkezi bir yer sağlar.
Web sitelerinin ve uygulamaların geçiş anahtarıyla ilgili olarak gösterebileceği bazı yaygın ayrıntılar ve özellikler şunlardır:
- Geçiş anahtarı adı: Kayıt sırasında verilen geçiş anahtarı adını gösterin. İdeal olarak bu ad, AAGUID'ye göre oluşturulduğu geçiş anahtarı sağlayıcısıyla eşleşir. Eşleşen bir geçiş anahtarı sağlayıcı bulunamazsa kullanıcı aracısı dizesine dayalı cihaz bilgilerine göre adlandırmak sorun yaratmaz.
- Geçiş anahtarı sağlayıcı logosu: Geçiş anahtarı sağlayıcı logosunu gösterin. Bu, kullanıcının yönetmek istediği geçiş anahtarını belirlemesine yardımcı olur.
- Geçiş anahtarının oluşturulduğu ve son kullanıldığı zamanın zaman damgası: Geçiş anahtarı oluşturma zaman damgasının ve son kullanım zaman damgasının kaydedilmesi ve gösterilmesi, kullanıcının yönetmek istediği geçiş anahtarını belirlemesine de yardımcı olabilir.
- Senkronize edilmeme göstergesi: Geçiş anahtarları varsayılan olarak senkronize edilir ancak geçiş anahtarı sağlayıcıların senkronizasyon özelliği henüz gelişme aşamasındadır. Kullanıcının beklentisine rağmen geçiş anahtarının senkronize edilmemesi yaygın bir kafa karışıklığına neden olur. Geçiş anahtarının senkronize edilemediğini göstermek, kullanıcıların bu kafa karışıklığını gidermesine yardımcı olabilir.
- Sil düğmesi: Kullanıcıların geçiş anahtarını silmesine izin verin. Daha fazla bilgi için Geçiş anahtarının silinmesine izin verme başlıklı makaleyi inceleyin.
- Düzenle düğmesi: Birçok kullanıcı, geçiş anahtarını yeniden adlandırabilmeyi faydalı buluyor. Örneğin, aynı geçiş anahtarı sağlayıcısından ancak farklı sağlayıcı hesaplarıyla birden fazla geçiş anahtarı olduğunda. Farklı Google Hesaplarına birden fazla geçiş anahtarı kaydettiğinizi düşünün. Kullanıcının geçiş anahtarını yeniden adlandırmasına izin vererek geçiş anahtarını istediği bir adla değiştirmesini sağlayabilirsiniz.
- Son oturum açma tarayıcısı, işletim sistemi veya IP adresi: Son oturum açmayla ilgili ayrıntıları isteğe bağlı olarak sağlamak, kullanıcının şüpheli oturum açmaları belirlemesine yardımcı olur. Oturum açmak için kullanılan tarayıcı, işletim sistemi veya IP adresi (ya da konum) önemli bilgiler olabilir.
Geçiş anahtarının silinmesine izin ver
Kullanıcıların geçiş anahtarlarını silmesine izin verin. Bu, kullanıcının listeyi düzenlemesine yardımcı olur. Örneğin, kullanıcı yeni bir cihaza geçtiğinde ancak ilişkili geçiş anahtarı eski cihaza bağlı olduğunda bu durum ortaya çıkar. Ayrıca, bir saldırganın kullanıcı hesabını ele geçirip gelecekte kullanmak üzere geçiş anahtarı oluşturduğu durumlarda da faydalıdır.
Güncellenen geçiş anahtarları listesini bildirme
Geçiş anahtarının silinmesi, kimlik bilgisi girişini ve ortak anahtarını sunucu veritabanından kaldırır. Bu şekilde, geçiş anahtarı kayıtlı geçiş anahtarı listesinden kaybolur ve kullanıcıya geçiş anahtarının silindiği gösterilir. Ancak gerçekte, geçiş anahtarı yalnızca sunucudan kaldırılır ve geçiş anahtarı sağlayıcısında depolanan geçiş anahtarı kalmaya devam eder. Bu durum kafa karışıklığına neden olabilir. Kullanıcı bir sonraki oturum açma denemesinde, kaldırılan geçiş anahtarını oturum açma seçeneği olarak görmeye devam eder. Ancak eşleşen ortak anahtar sunucudan silindiği için bu anahtarla kimlik doğrulama başarısız olur.
Karışıklığı önlemek için geçiş anahtarını bir geçiş anahtarı sağlayıcısında, ortak anahtarı ise sunucuda tutarlı bir şekilde saklamanız önemlidir. Bunu, geçiş anahtarı sağlayıcıya güncellenen geçiş anahtarı listesini bildirerek yapabilirsiniz. Tarayıcı ve geçiş anahtarı sağlayıcı, Signal API'yi destekliyorsa geçiş anahtarı listesini güncelleyebilir ve gereksiz geçiş anahtarlarını silebilir. API'yi desteklemiyorlarsa kullanıcıyı geçiş anahtarını manuel olarak silmeye teşvik edin.
Son geçiş anahtarını silme
Bir kullanıcı, belirli bir hesap için kalan son geçiş anahtarını silmeye çalışırsa daha fazla zorluk içeren ve muhtemelen daha az koruma sağlayan başka bir seçenekle oturum açması gerekeceğini anladığından emin olun. Bu, siteniz için tek oturum açma yöntemi ise kullanıcılar tekrar oturum açamaz. Kullanıcılara bir sonraki oturum açma işleminde nasıl oturum açabilecekleri konusunda bilgi verin. Örneğin, varsa yedek bir yöntem kullanabileceklerini veya devam etmeden önce başka bir geçiş anahtarı kaydetmelerini isteyin. Bu, kullanıcıların neden geçiş anahtarı kullanmamayı tercih ettiklerine dair geri bildirim toplamak için iyi bir fırsattır.
Yeni geçiş anahtarlarının oluşturulmasına izin ver
Kullanıcı yolculuğu boyunca geçiş anahtarı oluşturma fırsatları olsa da (ör. oturum açtıktan hemen sonra) kullanıcıların yeni geçiş anahtarları oluşturmak, geçiş anahtarlarını silmek ve geçiş anahtarlarını yönetmek için her zaman gidebileceği merkezi bir yer olması çok önemlidir. Bunun için en iyi yer geçiş anahtarı yönetim ekranıdır.
Geçiş anahtarı kullanıcı akışı oluşturmak için Şifresiz giriş için geçiş anahtarı oluşturma başlıklı geliştirici kılavuzunu inceleyin. Gelişmiş güvenlik için kullanıcıların donanım güvenlik jetonunda geçiş anahtarı oluşturmasına izin vermeyi düşünebilirsiniz. Geçiş anahtarlarını yönetmek isteyen kullanıcıların daha bilgili veya deneyimli olmasını bekleyebilirsiniz. Bu nedenle, güvenlik anahtarlarında geçiş anahtarı oluşturmalarına izin vermek daha fazla esneklik sağlar.
Geçiş anahtarlarının donanım güvenlik jetonuna kaydedilmesine izin vermek için geçiş anahtarı oluşturma isteğinde authenticatorSelection.authenticatorAttachment ayarını "platform" olarak ayarlamak yerine ayarlanmamış olarak bırakın. Bu şekilde, tarayıcı hem platform (cihaz) hem de dolaşım kimlik doğrulayıcılarını (güvenlik anahtarı) kabul eder. Kullanıcı deneyimi, yalnızca platform kimlik doğrulayıcısına izin vermeye kıyasla önemli ölçüde farklılık göstermez. Güvenlik anahtarında geçiş anahtarı oluşturma seçeneği ikincil seçenek olarak gösterilir.
Yapılacaklar listesi
- Kullanıcıların geçiş anahtarlarını geçiş anahtarı yönetimi sayfasında yönetmesine izin ver.
- Birden fazla geçiş anahtarı kaydetme desteği.
- Kullanıcıların yönetim sayfasına yeni ve esnek geçiş anahtarı türleri eklemesine izin verin.
- Geçiş anahtarı adını gösterin.
- Geçiş anahtarının senkronize edilebilir veya senkronize edilemez olduğunu belirtin.
- Kullanıcıların sunucudan ortak anahtar kaldırmasına izin verin.
- İlişkili bir ortak anahtar sunucudan kaldırıldığında geçiş anahtarı listesini işaretleyin.
Diğer kullanıcı deneyimi kılavuzları
- Genel geçiş anahtarı kullanıcı deneyimi kılavuzları
- Android kılavuzları