Bir zamanlar denenmiş ve doğrulanmış bir güvenlik önlemi olan şifreler, web’in genişliğine ve çevrimiçi hesap sayısındaki büyük artışa ayak uydurmak için gereken hızda geliştirilemedi. Yeni gerçekliğimizde, eski bir kimlik doğrulayıcı ve belirli bir güvenlik açığı noktası haline geldiler.
Bilgisayar korsanlarının şifreleri kolaylıkla kırabilmesi ve hem kuruluşların hem de bireylerin hassas bilgilerine erişebilmesi sayesinde, şifre kullanmaktan uzaklaşıldığını şimdiden görüyoruz. Microsoft, yakın zamanda, 2023’ten bu yana iki kat daha fazla saldırı gerçekleştiğini gördükten sonra milyarlarca kullanıcının şifrelerini kaldıracağını duyurdu. Bu, Amazon gibi diğer büyük teknoloji şirketlerinin geçiş anahtarlarını etkinleştirmesiyle birlikte, şifresizliğe doğru büyüyen bir hareketi gösteriyor.
Bu kademeli değişimi görmesine rağmen, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yakın zamanda şifresiz geçişin bir gecede gerçekleşmeyeceğini öne süren güncellenmiş bir kılavuz yayınladı. Enstitü, daha karmaşık şifreler yerine daha basit ancak daha uzun şifrelerin kullanılmasını öneriyor. Kullanıcıların sıklıkla parolaları yeniden kullanması, gereksinimleri karşılamak için öngörülebilir sıralar kullanması veya bunların kaydını tutması nedeniyle kuruluşlar şu anda siber saldırılara karşı oldukça savunmasızdır. Daha yaygın parolasız kimlik doğrulamaya geçiş için kademeli adımlar atarken parola alışkanlıklarını hemen iyileştirmek, riskleri azaltmanın tek yoludur.
Sorunlu şifreler ve sonuçları
Parolaların güvenlik açığı noktası olduğu siber saldırı haberleri giderek sıklaşıyor. Yalnızca geçtiğimiz yıl, keşfedilen en büyük ihlal olan RockYou2024’te yaklaşık 10 milyar şifre sızdırıldı ve Rus bilgisayar korsanları, 600 Birleşik Krallık Savunma Bakanlığı personelinin şifrelerini çaldı. Bu olaylar, sorunun boyutunu ve kötü şifre alışkanlıklarının sorunu nasıl etkilediğini ortaya koyuyor.
Sorunu daha da kötüleştiren şey, bireylerin birden fazla hesapta şifreleri yeniden kullanma eğilimidir; bu da bir ihlal durumunda şifreye maruz kalma riskini artırır. Tüm bunlar, kullanıcıları ve kuruluşları, saldırganların çalıntı kimlik bilgilerini oturum açma formlarına enjekte ettiği kimlik bilgisi doldurmaya veya diğer kaba kuvvet saldırılarına karşı savunmasız bırakıyor. Ayrıca, farklı hesaplarda birden fazla farklı şifreyi yönetmenin zihinsel maliyeti olan “şifre yorgunluğundan” kaynaklanan insan hatası, kullanıcılar kısayolları kullanmayı tercih ettikçe sorunu daha da artırıyor. O zaman şifrelerin modası geçmiş bir güvenlik yöntemi haline geldiği açıktır.
Tartışma noktası: Güvenlik ve kolaylık
Şifrelerin geçerliliğini çoktan kaybetmiş gibi görünse de, onları canlı tutan şey kullanım kolaylığıdır. Kullanıcıların %78’i için güvenlik birinci öncelik olsa da, kullanım kolaylığı (%76) çok yakın bir ikinci sırada yer alıyor. Bu, güvenlikten ödün vermeyen kusursuz çevrimiçi deneyimlere duyulan ihtiyacı yansıtıyor.
Olumlu bir şekilde, alternatif kimlik doğrulama yöntemlerine olan ilgi arttı. Kullanıcılar, yüz tanımanın yanı sıra tek seferlik oturum açma ve çok faktörlü kimlik doğrulama (MFA) gibi biyometrik kimlik doğrulamayı da benimsiyor. Bu yöntemleri kullanan kuruluşlar, kullanıcıların kullanım kolaylığından ödün vermeden oturum açma deneyimlerinde daha fazla kontrole sahip olduklarını hissettikçe fayda sağlar.
Ön plana çıkmak için şifresiz
Doğası gereği, parolasız kimlik doğrulama, zayıf parola alışkanlıklarından kaynaklanan insan riskini azalttığı için güvenlik kaygıları ile kullanım kolaylığını dengelemek için bir çözüm olabilir ve parola yönetimi veya depolama çözümlerine dayanmadığı için kuruluşlar için daha ucuz bir yöntem olabilir. . Parolasız bir yöntem olan tek oturum açma, kullanıcıların tek bir kimlik bilgisi seti aracılığıyla birden fazla uygulama ve hizmete erişmesine olanak tanıyarak ve ardından saldırı vektörlerini azaltarak kullanıcı deneyimine yardımcı olur.
Parolasız kimlik doğrulamaya geçiş bir gecede gerçekleşmeyecek olsa da, giderek artan sayıda kullanıcı, özellikle de kişisel verilerinin güvenliğiyle ilgili endişeleri olan kullanıcılar bu değişime olumlu yaklaşıyor. Büyük teknolojinin şifresiz yaklaşımı benimsemeye başlamasıyla birlikte, yakında daha fazla kuruluşun bu yaklaşımı takip ettiğini göreceğiz.
Parolasız bir geleceğe giden yol
Ufukta şifresizlik ufukta görünse de bireylerin ve kuruluşların çevrimiçi güvenliği güçlendirmek için atabileceği önemli adımlar var. NIST’in rehberliği doğrultusunda kuruluşlar, çalışanlar ve müşteriler için daha karmaşık şifreler yerine daha uzun şifrelerin kullanılmasını teşvik etmelidir. Güçlü parolalar oluşturan araçlar ve MFA, parolasız ortama geçerken savunmayı daha da güçlendirebilir.
Parolalar, sürekli gelişen tehdit ortamında önemli bir zayıflık olmaya devam ediyor. NIST ve diğer girişimlerden gelen güncellenmiş yönergeleri takip ederek parolasız kimlik doğrulamasına geçişi hızlandırabiliriz. Bu geçiş, yalnızca daha fazla güvenlik sağlamakla kalmıyor, aynı zamanda kullanıcıların giderek daha fazla talep ettiği kusursuz dijital deneyimleri de vaat ediyor. Kuruluşları ve bireyleri ultra güvenli kimlik doğrulama yöntemlerinin yararları konusunda eğiterek daha güvenli bir çevrimiçi geleceğe yönelik önemli adımlar atabiliriz.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu”nda 500.000’den fazla siber güvenlik profesyoneline katılın!