Parolalar öldü.
Hepimiz bunu biliyoruz. Kullanıcılarınız da biliyor. Yine de sanki 2000’li yıllardaymışız gibi hevesle hash’leme ve tuzlama yapmaya devam ediyoruz. Gelecek parolasız bir gelecek. Kapıyı çalmıyor; kapıyı tekmeleyerek açıyor.
Ancak WebAuthn‘a giden yol karmaşıklıkla dolu. Meydan okumalar, beyanlar, genel anahtar kriptografisi, tarayıcıların ‘alfabe çorbası’ — bir geliştiricinin IDE’sine gözyaşı döktürecek kadar fazla detay. Ta ki biri bir paket oluşturana kadar.
İşte tanışın: Vaultic. Laravel için üretim düzeyinde bir WebAuthn/Passkey paketi. Parolasız kimlik doğrulamayı <a href="/tag/composer/">composer</a> require kadar basit hale getirdiğini iddia ediyorlar. Şaka değil.
Parola Sorunu, Büyütülmüş Haliyle
Neden hala buradayız? Çünkü parolalar tam bir çöp yığını. Oltalama saldırılarına açıklar. Kullanıcılar onları kötü alışkanlıklar gibi yeniden kullanıyor. Veri ihlalleri haftalık etkinlikler haline geldi – sadece 2024’te 33 milyar parola sızdı. Parola sıfırlama destek maliyetleri astronomik. Ve kullanıcı deneyiminden hiç bahsetmeyelim bile.
Vaultic, karşılaşılan sorunları şöyle sıralıyor:
- Oltalama (Phishing): Kullanıcılar sahte bildirimlere kanıyor.
- Tekrar Kullanım: Tek parola, yüzlerce site.
- Veri İhlalleri: Milyarlarca kullanıcı bilgisi tehlikede.
- Destek Maliyetleri: Sıfırlama işlemleriyle boşa harcanan zaman.
- Kullanıcı Deneyimi Acısı: Kimse daha fazla anlamsız şeyi hatırlamak istemez.
Onların çözümü? Kulağa hoş gelen bir dizi fayda:
- Oltalama kanıtı.
- Biyometrik öncelikli.
- Işık hızında.
- Kriptografik olarak güvenli.
- Evrensel destek.
Bu, bir özellik listesinden çok, soğuk algınlığının çaresi gibi duruyor. Passkey kullanan şirketlerin, dediklerine göre, %50 daha az parola sıfırlama biletiyle, %90 daha hızlı girişlerle, neredeyse sıfır oltalama saldırısıyla ve daha mutlu kullanıcılarla karşılaştığını söylüyorlar. Mantıklı geliyor.
Vaultic: Passkey’ler için Rails mi?
Vaultic’in temel iddiası basit: WebAuthn çılgınlığını soyutluyor. Bunu passkey’ler için Rails framework’ü gibi düşünün. Düşük seviyeli kriptografiyle uğraşmıyorsunuz; sadece kullanıyorsunuz.
Paket, bir sürü özelliğiyle övünüyor:
- Çoklu koruma (guard) desteği (web + API).
- Durum bilgili + durumsuz akışlar.
- Önceden oluşturulmuş Blade bileşenleri.
- Aktivite takibi.
- Yedek kimlik doğrulama.
- Laravel Sanctum entegrasyonu.
- Sıfır yapılandırma gereksinimi.
- Özel WebAuthn doğrulayıcısı.
- Kapsamlı testler.
- Savaşta denenmiş (19+ sürüm).
Bu iddialı bir vaat. Kurulumu standart:
composer require hamzi/vaultic
Ardından birkaç vendor:publish komutu ve bir migration:
php artisan vendor:publish --provider="Hamzi\Vaultic\VaulticServiceProvider" --tag=vaultic-config
php artisan vendor:publish --provider="Hamzi\Vaultic\VaulticServiceProvider" --tag=vaultic-migrations
php artisan vendor:publish --provider="Hamzi\Vaultic\VaulticServiceProvider" --tag=vaultic-views
php artisan migrate
Blade görünümlerine entegrasyon, sihrin gerçekleştiği yer olarak gösteriliyor:
<x-vaultic::passkey-button size="md" :full-width="true" />
Bu tek bileşen, Face ID, Touch ID, Windows Hello veya güvenlik anahtarları aracılığıyla kayıt ve girişi etkinleştirmeli. Derin WebAuthn bilgisi gerektirmiyor. En azından satış konuşması bu yönde.
Mimari ve API Uyumu
Vaultic, işlerin perde arkasında temiz, katmanlı bir mimari kullandığını belirtiyor: HTTP Katmanı, Servis Katmanı (orkestrasyon için), Depo (Repository) Katmanı (kalıcılık için) ve Eloquent Modelleri. Oldukça standart diyebiliriz. Ancak şeytan detaylarda gizli ve Vaultic, hem web UI’larını (Blade) hem de API’ları (Sanctum) tek bir paketle yönettiğini iddia ediyor. Bu çoklu koruma (multi-guard) desteği için yapılandırma oldukça güçlü görünüyor:
// config/vaultic.php
'auth' => [
'guards' => [
// 🌐 Web Girişi
'web' => [
'guard' => 'web',
'provider_model' => App\Models\User::class,
'identifier_column' => 'email',
],
// 📱 API Kimlik Doğrulama
'api' => [
'guard' => 'sanctum',
'provider_model' => App\Models\User::class,
'identifier_column' => 'email',
'token_issuer' => Hamzi\Vaultic\Services\SanctumApiTokenIssuer::class,
],
],
],
Açıklanan akış — bir web kullanıcısının oturum için bir passkey düğmesine dokunması veya bir mobil istemcinin Sanctum jetonu için bir genel anahtar göndermesi — aynı passkey veritabanını kullanarak geliştiriciler için gerçek değeri sunuyor. Bu, tekrarlamayı ve en önemlisi karmaşıklığı önlüyor.
Kullanıcı Kontrolü ve Güvenlik Güçlendirmeleri
Passkey’ler için kullanıcı yönetimi, <x-vaultic::passkey-panel /> bileşeni aracılığıyla yapılıyor. Bu, şeffaflık sunuyor: bağlı kimlik doğrulayıcıların bir listesi, en son kullanım zaman damgası, IP adresi ve kayıp cihazlar için basit bir silme seçeneği. Şeffaflık, güvenlikte yeni bir kavram olan güven inşa eder.
Vaultic, güvenlik olayları için Laravel’in olay sisteminden de faydalanıyor. Kullanıcılar PasskeyRegistered, PasskeyAuthenticated ve AuthenticationFailed olaylarını dinleyerek ayrıntılı günlük kaydı ve uyarılar ayarlayabilirler. Proaktif güvenlik izleme için bu hoş bir dokunuş.
Temel fikir, geliştiricileri kriptografi uzmanları olmaya zorlamadan güvenli, modern kimlik doğrulamayı erişilebilir kılmaktır. Vaultic, Laravel ekosisteminde parolasız benimsemenin standardı olmayı hedefliyor.
Kaba kuvvet saldırılarına karşı koruma yerleşik durumda, yapılandırılabilir hız sınırlamasıyla (60 saniyede 10 deneme). Ve passkey’lerin başarısız olduğu uç durumlar için - kayıp cihazlar, desteklenmeyen tarayıcılar - bir yedek sürücü (parola, OTP veya özel) mevcut. Bu hibrit yaklaşım pragmatik ve tam bir geçişin hemen olmayabileceğini kabul ediyor.
Bu sadece bir özellik eklemek değil; geleceğe hazırlanmakla ilgili. Parolalara olan kalıcı bağımlılık, zaman ayarlı bir bombadır. Vaultic gibi çözümler, vaatlerini yerine getirirlerse, sadece kullanışlı değil; zorunludurlar.
