Kullanıcıların geçiş anahtarlarını etkili bir şekilde yönetmelerine yardımcı olma

Eiji Kitamura

Geçiş anahtarları, şifrelere kıyasla daha güvenli, daha kolay ve daha hızlı bir alternatif olarak hızla yaygınlaşıyor. Geçiş anahtarlarının potansiyelinden tam olarak yararlanmak için, bunların yönetimiyle ilgili kullanıcı deneyimine dikkatle özen gösterilmelidir. Bu dokümanda, sezgisel, güvenli ve güçlü bir geçiş anahtarı yönetim sistemi tasarlamaya yönelik yönergeler ve isteğe bağlı özellikler açıklanmaktadır.

Birden fazla geçiş anahtarını yönetme

Kullanıcıların birden fazla geçiş anahtarı eklemesine ve birden fazla sağlayıcı kullanmasına izin verin. Ancak aynı sağlayıcıyla aynı hesap için birden fazla geçiş anahtarı eklemelerine izin vermeyin. Bir kullanıcı, platform tarafından desteklenmediği veya kullanıcının erişimi olmadığı gibi nedenlerle bir sağlayıcıya erişimi kaybederse farklı bir sağlayıcıdan başka bir geçiş anahtarıyla oturum açabilir. Bu ayar, hesabın kilitlenme riskini azaltır. Veritabanınınızın kullanıcı başına birden fazla geçiş anahtarı saklamayı desteklediğinden emin olun.

Kayıtlı geçiş anahtarlarının listesini görüntüleme

Web siteniz veya uygulamanız, kayıtlı geçiş anahtarlarını kullanıcıların etkili bir şekilde yönetmesine yardımcı olmak için anahtar ayrıntılarını içeren bir listede göstermelidir. Bu ekran görüntüsünde, özel geçiş anahtarı yönetim sayfasının nasıl görünebileceği gösterilmektedir. Kullanıcıların birden fazla platformda geçiş anahtarı oluşturmasını sağlar ve bu anahtarları yönetmek için merkezi bir yer sunar.

Web siteleri ve uygulamaların geçiş anahtarı hakkında gösterebileceği bazı yaygın ayrıntılar ve özellikler şunlardır:

• Geçiş anahtarı adı: Kayıt sırasında verilen geçiş anahtarı adını gösterir. İdeal olarak bu ad, AAGUID'ye göre oluşturulduğu geçiş anahtarı sağlayıcısıyla eşleşir. Eşleşen bir geçiş anahtarı sağlayıcısı bulunamazsa kullanıcı aracısı dizesine göre cihaz bilgilerine göre adlandırmanız yeterlidir.
• Geçiş anahtarı sağlayıcı logosu: Geçiş anahtarı sağlayıcının logosunu gösterin. Bu, kullanıcının yönetmek istediği geçiş anahtarını belirlemesine yardımcı olur.
• Geçiş anahtarının oluşturulduğu ve son kullanıldığı zaman damgası: Geçiş anahtarı oluşturma zaman damgasının ve son kullanım zaman damgasının kaydedilmesi ve gösterilmesi, kullanıcının yönetmek istediği geçiş anahtarını belirlemesine de yardımcı olabilir.
• Senkronizasyon yok göstergesi: Şifre anahtarları varsayılan olarak senkronize edilir ancak şifre anahtarı sağlayıcılarının senkronizasyon özelliği hâlâ gelişme aşamasındadır. Geçiş anahtarının, kullanıcının beklentisine rağmen senkronize edilmemesi yaygın bir kafa karışıklığıdır. Geçiş anahtarının senkronize edilemediğini göstermek, kullanıcıların bu kafa karışıklığını gidermesine yardımcı olabilir.
• Sil düğmesi: Kullanıcıların geçiş anahtarını silmesine izin verin. Daha fazla bilgi için Geçiş anahtarının silinmesine izin verme başlıklı makaleyi inceleyin.
• Düzenle düğmesi: Birçok kullanıcı, geçiş anahtarını yeniden adlandırabilmekten memnun olur. Örneğin, aynı geçiş anahtarı sağlayıcısından ancak farklı sağlayıcı hesaplarıyla birden fazla geçiş anahtarı olduğunda. Farklı Google Hesaplarına birden fazla geçiş anahtarı kaydettiğinizi düşünün. Kullanıcının geçiş anahtarını yeniden adlandırmasına izin vererek anahtarı istedikleri adla değiştirebilirler.
• Son oturum açma tarayıcısı, işletim sistemi veya IP adresi: Son oturum açmayla ilgili ayrıntıları isteğe bağlı olarak sağlamak, kullanıcının şüpheli oturum açmaları tespit etmesine yardımcı olur. Oturum açmak için kullanılan tarayıcı, işletim sistemi veya IP adresi (veya konum) çok yararlı bilgiler olabilir.

Geçiş anahtarının silinmesine izin verme

Kullanıcıların geçiş anahtarlarını silmelerine izin verin. Bu, kullanıcı yeni bir cihaza geçtiğinde ancak ilişkili geçiş anahtarı eski cihaza bağlı olduğunda listeyi temizlemelerine yardımcı olur. Bir saldırgan kullanıcı hesabını ele geçirip gelecekte kullanmak için geçiş anahtarı oluşturduğunda da bu özellik faydalıdır.

Güncellenen geçiş anahtarı listesini işaretleme

Bir geçiş anahtarı silindiğinde, kimlik bilgisi girişi ve ortak anahtarı sunucu veritabanından kaldırılır. Bu şekilde, geçiş anahtarı kayıtlı geçiş anahtarı listesinden kaldırılır ve kullanıcıya geçiş anahtarının silindiği gösterilir. Ancak gerçekte, yalnızca sunucudan kaldırılır ve geçiş anahtarı sağlayıcısına depolanan geçiş anahtarı hâlâ kalır. Bu durum kafa karışıklığına neden olabilir. Kullanıcı bir sonraki oturum açma denemesinde, kaldırılan geçiş anahtarı oturum açma seçeneği olarak gösterilmeye devam eder. Ancak eşleşen ortak anahtar sunucudan silinmiş olduğundan bu anahtarla kimlik doğrulaması başarısız olur.

Karışıklığı önlemek için geçiş anahtarı sağlayıcısındaki geçiş anahtarının ve sunucudaki ortak anahtarın tutarlı olması önemlidir. Bunu yapmak için geçiş anahtarı sağlayıcıya güncellenmiş geçiş anahtarı listesini gönderebilirsiniz. Tarayıcı ve geçiş anahtarı sağlayıcı, Signal API'yi destekliyorsa geçiş anahtarı listesini güncelleyebilir ve gereksiz geçiş anahtarlarını silebilir. API'yi desteklemiyorsa kullanıcıyı geçiş anahtarını manuel olarak silmeye teşvik edin.

Son geçiş anahtarını silme

Kullanıcılar, belirli bir hesapta kalan son geçiş anahtarını silmeye çalışırsa daha zahmetli ve muhtemelen daha az korumalı başka bir seçenekle oturum açmaları gerektiğini anlamaları gerekir. Kullanıcının sitenizdeki tek oturum açma yöntemi bu ise tekrar oturum açamaz. Kullanıcılara bir sonraki sefer oturum açmak için kullanabilecekleri yöntemler hakkında bilgi verin (ör. varsa yedek yöntemi kullanma veya devam etmeden önce başka bir geçiş anahtarı kaydetme). Geçiş anahtarı kullanmamayı tercih etmelerinin nedenini öğrenmek için bu fırsatı değerlendirin.

Yeni geçiş anahtarlarının oluşturulmasına izin ver

Kullanıcıların yolculuğu boyunca geçiş anahtarı oluşturma fırsatları olsa da (ör. oturum açtıktan hemen sonra), kullanıcıların yeni geçiş anahtarları oluşturmak, geçiş anahtarlarını silmek ve yönetmek için her zaman gidebileceği merkezi bir merkeze sahip olmak çok önemlidir. Geçiş anahtarı yönetim ekranı bunun için en iyi yerdir.

Geçiş anahtarı kullanıcı akışı oluşturmak için Şifresiz girişler için geçiş anahtarı oluşturma geliştirici kılavuzunu uygulayın. Gelişmiş güvenlik için kullanıcıların donanım güvenlik jetonunda geçiş anahtarı oluşturmasına izin verebilirsiniz. Geçiş anahtarlarını yönetmek isteyen kullanıcıların daha bilgili veya deneyimli olması beklenir. Bu nedenle, güvenlik anahtarlarında geçiş anahtarı oluşturmalarına izin vermek daha fazla esneklik sağlar.

Geçiş anahtarlarının donanım güvenlik jetonuna kaydedilmesine izin vermek için geçiş anahtarı oluşturma isteğinde authenticatorSelection.authenticatorAttachment değerini "platform" olarak ayarlamak yerine unset olarak bırakın. Bu sayede tarayıcı, kullanıcı deneyimi yalnızca platform kimlik doğrulayıcısına izin vermekten önemli ölçüde farklı olmadan hem platform (cihaz) hem de dolaşım kimlik doğrulayıcılarını (güvenlik anahtarı) kabul eder. Güvenlik anahtarında geçiş anahtarı oluşturma seçeneği ikincil seçenek olarak görünür.

Yapılacaklar listesi

• Kullanıcıların geçiş anahtarlarını bir geçiş anahtarı yönetim sayfasında yönetmelerine izin verin.
• Birden fazla geçiş anahtarının kaydedilmesini destekler.
• Kullanıcıların yönetim sayfasında yeni ve esnek geçiş anahtarı türleri eklemesine izin verin.
• Geçiş anahtarı adını gösterin.
• Geçiş anahtarının senkronize edilebilir olup olmadığını belirtir.
• Kullanıcıların sunucudan ortak anahtar kaldırmasına izin verin.
• İlişkili bir ortak anahtar sunucudan kaldırıldığında geçiş anahtarlarının listesini gönderin.

Diğer kullanıcı deneyimi kılavuzları

• Geçiş anahtarı ile ilgili genel kullanıcı deneyimi kılavuzları
  • Geçiş anahtarı kullanıcı deneyimleri
  • Geçiş anahtarlarını kullanıcılara iletme
  • Geçiş anahtarı kullanıcı arayüzü tasarımı
• Android kılavuzları
  • Geçiş anahtarlarıyla kullanıcı kimlik doğrulaması