Parolasız Bir Gelecek Mümkün mü? Şifrelere Ne Vakit Veda Edebiliriz? Mayıs ayının birinci perşembe günü kutlanan Dünya Şifre Günü, bu yıl da kimlik doğrulama uygulamalarının gücünün incelenmesi gerektiği konusunda alışıldık bir hatırlatma nazaranvi gördü. Şurası bir gerçek: Oturum açma sırasında girilen parolalar sistemlere, uygulamalara ve aygıtlara erişimi korumak için artık tek seçenek değil. Parolalar doğal zayıflıklarına karşın her yerde, rastgele bir aygıtta, rastgele bir vakitte kullanılabilmeleri sebebiyle varlıklarını sürdürüyorlar. Lakin daha güzel muhafaza ve gelişmiş kullanıcı tecrübesi kelamı ile parolasız bir geleceği gerçeğe dönüştürmek için, önde gelen tüm işletim sistemi / tarayıcı geliştiricileri, daha doğrusu yazılım dünyasının çabucak her ismi, büyük ölçekte uygulanan yeni bir global kimlik doğrulama standardını hayata geçirmek için uğraşıyor.
Her ne kadar parolasız bir gelecek için bölümdeki bir epeyce ismin epey fazla çalışması gerekecek olsa da, “parolasızlığın” firmalar için birinci sıralarda yer aldığını görmeye başlıyoruz. Hatta Gartner’ın varsayımlarına bakılırsa 2022 yılına kadar büyük ve global işletmelerin yüzde 60’ı, şifresiz sistemlere geçiş yapmayı planlıyor. Orta ölçekli işletmeler için ise bu oran yüzde 90’a yükseliyor. Bu da şifresiz bir geleceğin ehemmiyet listesinde yerini kanıtlıyor. Ama tertiplerin buna nitekim hazır olup olmadığı sorusu da baş köşede duruyor.
Çok faktörlü kimlik doğrulama yükseliyor
Çok faktörlü kimlik doğrulamayı (MFA) kullanmanın birinci sebebi güvenliği artırmak ve geçtiğimiz yıl karma çalışma ortamlarında yaşanan artış da buna katkıda bulundu. Yakın tarihindeki bir çalışmada ankete katılanların yaklaşık yarısı (yüzde 49) da, güvenlik niçinleriyle 2FA/MFA kullanımlarını artırma ihtimallerinin daha yüksek olacağını belirtti.
Daha fazla aygıtın daha fazla yerden sistemlere ve uygulamalara erişmesi ile birlikte, potansiyel hücum alanları da genişliyor. Şirketler bunun yarattığı risklerin farkında olmalarına karşın, şifreler uzaktan çalışmanın artmasından epey daha evvel de sıkıntılara niye oluyordu. Bu genişleyen taarruz alanı, şirketlerin yalnızca ayrıcalıklı kullanıcıları değil, tüm kullanıcıları müdafaa gereksinimine da dikkat çekiyor. Tekraren yaşanan ihlaller, alt seviye çalışanların makus gayeli bireyler için bir “giriş yolu” olarak kuruluşu savunmasız bırakabileceğini kanıtlıyor.
Kimlik avı, kimlik ayrıntıları doldurma ve öbür siber tehditler, yıllardır kurumlar için büyük bir data ihlali riski oluşturuyor. Parolaları erişim için tek anahtar haline getiren şirketler, bu parolaların ele geçirilmesi durumunda bir epeyce berbat sonuçla karşı karşıya kalıyor.
Buna karşın, başlarken de söylemiş olduğimiz üzere, şifreler varlıklarını sürdürmeye devam ediyor. Bunun niçinine yönelik bir ipucu ise kullanıcı davranışlarında ortaya çıkıyor. kuvvetli iki faktörlü kimlik doğrulama (2FA) kullanmak için zorlayıcı güvenlik niçinleri olsa da, genel kullanımda benimsenmesi için kolay olması gerekiyor. Taşınabilir tabanlı kimlik doğrulayıcılar ve SMS tabanlı MFA en epeyce benimsenen MFA teknolojileri içinde yer alıyor fakat bunlar, kayıtlı kişinin taşınabilir kapsama alanında cep telefonunun fiyatlandırılmasına ve tek seferlik bir kodun gerçek bir biçimde kopyalanmasına dayanıyor. Bu durum da SMS kodlarının yahut tek seferlik ‘kopyalanıp yapıştırılan’ şifrelerin benimsenmesinde bir mani olduğu görülüyor.
Buna karşın parolalara olan bağımlılığımızdaki rastgele bir azalma, ileriye hakikat atılmış bir adım olarak görülebilir. Güvenlik, kullanıcının bildiği ek bir şey (bir sorunun karşılığı gibi) yahut sahip olduğu bir şey (tek kullanımlık parola yahut OTP gibi) sunularak güçlendirilir. Lakin bu tedbirler tüm riskleri ortadan kaldırmaz.
Unutulmaz bir kelime/yanıt, bir parola üzere çalınabilirken, SMS kullanılarak gönderilen bir OTP, ‘SIM-swap’ dolandırıcılığının kurbanı olabilir yahut bir kullanıcı, bu ek bilgiye ulaşması için yasal bir sebebi olduğuna inandığı birine bu bilgiyi sağlaması için kandırılabilir. Hatta taşınabilir push uygulamaları bile çalınabilir.
Bir kişinin kim olduğuna bağlı (parmak izi yahut yüz anatomisi üzere biyometrik bir tanımlayıcı) yahut donanım tabanlı bir güvenlik anahtarı üzere ek faktörler kullanılabilir. Bu ek faktörler, bir saldırganın uzaktan erişimini epey daha sıkıntı hale getirir. Son senelerdaki gelişmeler, MFA’nın kurumsal olarak benimsenmesini ve uygulanmasını kolaylaştırıyor ve FIDO2 ve WebAuthn üzere güvenlik standartları, şu anda önde gelen işletim sistemi platformları ve tarayıcıları tarafınca destekleniyor.
Açık bir kimlik doğrulama standardı olan FIDO2, FIDO U2F’nin bir uzantısı ve ortak anahtar şifrelemesine dayalı olarak birebir seviyede yüksek güvenlik ve kimlik avına karşı yüksek seviyede dirençli bir protokol sunuyor. WebAuthn, FIDO2’nin temel bir bileşeni ve web kimlik doğrulaması için global olarak kabul edilen birinci standart. bir arada, erişilebilir entegrasyon yoluyla MFA’nın gayesini desteklerler.
Parolalar büsbütün yok olur mu?
Nereden başlayacağını düşünen kuruluşlar, parolasız kimlik doğrulama hedefine yönelik mevcut altyapılarını büsbütün elden geçirmelerini gerektirmeyecek karma bir yaklaşıma öncelik vermek zorunda. Birfazlaca kurumsal altyapı, eski şirket içi sistemlerin ve özel yahut genel bulutta barındırılan hizmetlerin bir karışımını içerdiğinden, bu bilhassa değerli oluyor. Yani parolalardan kurtulmanın yolu her şeyi zirve taklak etmek değil.
Birden epey kimlik doğrulama protokolünü destekleyen donanım tabanlı güvenlik anahtarları, parolasız geleceğe seyahat için bir köprü sağlayabilir. Yöneticiler self servis kaydına müsaade verebilir. Güvenlik anahtarları, uzak çalışanlara dağıtılmadan evvel kullanıcılar için öncesinden kaydedilebilir. Çalışanların, kullanması kolay ve çeşitli ek yazılımlar yahut uygulamalar yüklemeden kullanıma hazır yeni bir güvenlik yaklaşımını benimseme mümkünlüğü daha yüksektir. Ayrıyeten, self servis ve kendi kendine kurtarma seçeneklerinin kolay aktifleştirilmesi, daha az BT dayanağı talep edilmesine yardımcı olur.
Pekala tüm bunlardan ne anlıyoruz? Öncelikle artık sıradan parolalardan kurtulmak zorundayız; orası kesin. Ancak bunun için sistemlerin uygun hale getirilmesi kaide. Parolaların vefatının ne vakit olacağı, şimdilik dev şirketlerin bu hususta ne kadar süratli davranacağına bağlı. Şu an için her şeyin bir anda olup biteceğini beklemeyin. Lakin atılan her adımın, parolasız bir gelecek için kıymetli olduğunu da kabul etmek zorundayız…
Her ne kadar parolasız bir gelecek için bölümdeki bir epeyce ismin epey fazla çalışması gerekecek olsa da, “parolasızlığın” firmalar için birinci sıralarda yer aldığını görmeye başlıyoruz. Hatta Gartner’ın varsayımlarına bakılırsa 2022 yılına kadar büyük ve global işletmelerin yüzde 60’ı, şifresiz sistemlere geçiş yapmayı planlıyor. Orta ölçekli işletmeler için ise bu oran yüzde 90’a yükseliyor. Bu da şifresiz bir geleceğin ehemmiyet listesinde yerini kanıtlıyor. Ama tertiplerin buna nitekim hazır olup olmadığı sorusu da baş köşede duruyor.
Çok faktörlü kimlik doğrulama yükseliyor
Çok faktörlü kimlik doğrulamayı (MFA) kullanmanın birinci sebebi güvenliği artırmak ve geçtiğimiz yıl karma çalışma ortamlarında yaşanan artış da buna katkıda bulundu. Yakın tarihindeki bir çalışmada ankete katılanların yaklaşık yarısı (yüzde 49) da, güvenlik niçinleriyle 2FA/MFA kullanımlarını artırma ihtimallerinin daha yüksek olacağını belirtti.
Daha fazla aygıtın daha fazla yerden sistemlere ve uygulamalara erişmesi ile birlikte, potansiyel hücum alanları da genişliyor. Şirketler bunun yarattığı risklerin farkında olmalarına karşın, şifreler uzaktan çalışmanın artmasından epey daha evvel de sıkıntılara niye oluyordu. Bu genişleyen taarruz alanı, şirketlerin yalnızca ayrıcalıklı kullanıcıları değil, tüm kullanıcıları müdafaa gereksinimine da dikkat çekiyor. Tekraren yaşanan ihlaller, alt seviye çalışanların makus gayeli bireyler için bir “giriş yolu” olarak kuruluşu savunmasız bırakabileceğini kanıtlıyor.
Kimlik avı, kimlik ayrıntıları doldurma ve öbür siber tehditler, yıllardır kurumlar için büyük bir data ihlali riski oluşturuyor. Parolaları erişim için tek anahtar haline getiren şirketler, bu parolaların ele geçirilmesi durumunda bir epeyce berbat sonuçla karşı karşıya kalıyor.
Buna karşın, başlarken de söylemiş olduğimiz üzere, şifreler varlıklarını sürdürmeye devam ediyor. Bunun niçinine yönelik bir ipucu ise kullanıcı davranışlarında ortaya çıkıyor. kuvvetli iki faktörlü kimlik doğrulama (2FA) kullanmak için zorlayıcı güvenlik niçinleri olsa da, genel kullanımda benimsenmesi için kolay olması gerekiyor. Taşınabilir tabanlı kimlik doğrulayıcılar ve SMS tabanlı MFA en epeyce benimsenen MFA teknolojileri içinde yer alıyor fakat bunlar, kayıtlı kişinin taşınabilir kapsama alanında cep telefonunun fiyatlandırılmasına ve tek seferlik bir kodun gerçek bir biçimde kopyalanmasına dayanıyor. Bu durum da SMS kodlarının yahut tek seferlik ‘kopyalanıp yapıştırılan’ şifrelerin benimsenmesinde bir mani olduğu görülüyor.
Buna karşın parolalara olan bağımlılığımızdaki rastgele bir azalma, ileriye hakikat atılmış bir adım olarak görülebilir. Güvenlik, kullanıcının bildiği ek bir şey (bir sorunun karşılığı gibi) yahut sahip olduğu bir şey (tek kullanımlık parola yahut OTP gibi) sunularak güçlendirilir. Lakin bu tedbirler tüm riskleri ortadan kaldırmaz.
Unutulmaz bir kelime/yanıt, bir parola üzere çalınabilirken, SMS kullanılarak gönderilen bir OTP, ‘SIM-swap’ dolandırıcılığının kurbanı olabilir yahut bir kullanıcı, bu ek bilgiye ulaşması için yasal bir sebebi olduğuna inandığı birine bu bilgiyi sağlaması için kandırılabilir. Hatta taşınabilir push uygulamaları bile çalınabilir.
Bir kişinin kim olduğuna bağlı (parmak izi yahut yüz anatomisi üzere biyometrik bir tanımlayıcı) yahut donanım tabanlı bir güvenlik anahtarı üzere ek faktörler kullanılabilir. Bu ek faktörler, bir saldırganın uzaktan erişimini epey daha sıkıntı hale getirir. Son senelerdaki gelişmeler, MFA’nın kurumsal olarak benimsenmesini ve uygulanmasını kolaylaştırıyor ve FIDO2 ve WebAuthn üzere güvenlik standartları, şu anda önde gelen işletim sistemi platformları ve tarayıcıları tarafınca destekleniyor.
Açık bir kimlik doğrulama standardı olan FIDO2, FIDO U2F’nin bir uzantısı ve ortak anahtar şifrelemesine dayalı olarak birebir seviyede yüksek güvenlik ve kimlik avına karşı yüksek seviyede dirençli bir protokol sunuyor. WebAuthn, FIDO2’nin temel bir bileşeni ve web kimlik doğrulaması için global olarak kabul edilen birinci standart. bir arada, erişilebilir entegrasyon yoluyla MFA’nın gayesini desteklerler.
Parolalar büsbütün yok olur mu?
Nereden başlayacağını düşünen kuruluşlar, parolasız kimlik doğrulama hedefine yönelik mevcut altyapılarını büsbütün elden geçirmelerini gerektirmeyecek karma bir yaklaşıma öncelik vermek zorunda. Birfazlaca kurumsal altyapı, eski şirket içi sistemlerin ve özel yahut genel bulutta barındırılan hizmetlerin bir karışımını içerdiğinden, bu bilhassa değerli oluyor. Yani parolalardan kurtulmanın yolu her şeyi zirve taklak etmek değil.
Birden epey kimlik doğrulama protokolünü destekleyen donanım tabanlı güvenlik anahtarları, parolasız geleceğe seyahat için bir köprü sağlayabilir. Yöneticiler self servis kaydına müsaade verebilir. Güvenlik anahtarları, uzak çalışanlara dağıtılmadan evvel kullanıcılar için öncesinden kaydedilebilir. Çalışanların, kullanması kolay ve çeşitli ek yazılımlar yahut uygulamalar yüklemeden kullanıma hazır yeni bir güvenlik yaklaşımını benimseme mümkünlüğü daha yüksektir. Ayrıyeten, self servis ve kendi kendine kurtarma seçeneklerinin kolay aktifleştirilmesi, daha az BT dayanağı talep edilmesine yardımcı olur.
Pekala tüm bunlardan ne anlıyoruz? Öncelikle artık sıradan parolalardan kurtulmak zorundayız; orası kesin. Ancak bunun için sistemlerin uygun hale getirilmesi kaide. Parolaların vefatının ne vakit olacağı, şimdilik dev şirketlerin bu hususta ne kadar süratli davranacağına bağlı. Şu an için her şeyin bir anda olup biteceğini beklemeyin. Lakin atılan her adımın, parolasız bir gelecek için kıymetli olduğunu da kabul etmek zorundayız…