duydun yıllardır tavsiye: Sunulduğu her yerde iki faktörlü kimlik doğrulamayı açın. Dijital hesapların güvenliğini sağlamak için yalnızca bir kullanıcı adı ve şifre kullanmanın yeterli olmadığı uzun zamandır açık. Ancak rastgele oluşturulmuş bir kod veya fiziksel bir belirteç gibi ek bir kimlik doğrulama “faktörünü” katmanlamak, krallığınızın anahtarlarını tahmin etmeyi veya çalmayı çok daha zor hale getirir. Değerli ve hassas ağlarını ve verilerini hedeflenen bilgisayar korsanlarından veya fırsatçı suçlulardan korumaya çalışan hem bireyler hem de kurumlar için risk yüksektir.
Tüm faydalarına rağmen, insanların genellikle 2FA olarak bilinen iki faktörlü kimlik doğrulamayı fiilen açmasını sağlamak genellikle biraz zorlu bir sevgi gerektirir. Dün Las Vegas’ta düzenlenen Black Hat güvenlik konferansında, GitHub güvenlik stratejisi direktörü John Swanson, baskın yazılım geliştirme platformunun iki yıllık araştırma, planlama ve ardından tüm hesaplar için zorunlu iki faktörlü kullanıma sunmaya başlama çabasının bulgularını sundu. . Ve yazılım tedarik zinciri saldırıları çoğaldıkça ve yazılım geliştirme ekosistemine yönelik tehditler büyüdükçe, bu çaba giderek artan bir aciliyet kazandı.
“Yazılım tedarik zinciri açısından açıklardan yararlanma, sıfır gün ve boru hattı tavizleri oluşturma hakkında çok fazla konuşma var, ancak günün sonunda, yazılım tedarik zincirinden taviz vermenin en kolay yolu, bireysel bir geliştirici veya mühendisten taviz vermektir.” Swanson, konferans sunumundan önce WIRED’e söyledi. “2FA’nın bunu önlemek için çalışmanın gerçekten etkili bir yolu olduğuna inanıyoruz.”
Apple ve Google gibi şirketler, devasa kullanıcı tabanlarını 2FA’ya doğru itmek için ortak çabalar sarf ettiler, ancak Swanson, yazılıma ek olarak telefonlar ve bilgisayarlar gibi bir donanım ekosistemine sahip şirketlerin müşterilerin geçişini kolaylaştırmak için daha fazla seçeneğe sahip olduğuna dikkat çekiyor. GitHub gibi web platformlarının, iki faktörün dünyanın her yerindeki farklı koşullara ve kaynaklara sahip kullanıcılar için çok külfetli olmadığından emin olmak için özel stratejiler kullanması gerekir.
Örneğin, SMS metin mesajları yoluyla iki faktörlü rastgele oluşturulmuş kodları almak, bu kodları özel bir mobil uygulamada oluşturmaktan daha az güvenlidir, çünkü saldırganların hedeflerin telefon numaralarını ele geçirmek ve metin mesajlarını ele geçirmek için yöntemleri vardır. Eskiden Twitter olarak bilinen X gibi şirketler, öncelikle bir maliyet tasarrufu önlemi olarak, iki faktörlü SMS tekliflerini kısıtladılar. Ancak Swanson, kendisinin ve GitHub meslektaşlarının seçimi dikkatlice incelediklerini ve birden fazla iki faktörlü seçenek sunmanın, SMS kodu teslimi konusunda katı bir tutum almaktan daha önemli olduğu sonucuna vardıklarını söylüyor. Herhangi bir ikinci faktör hiç yoktan iyidir. GitHub ayrıca kod üreten bir kimlik doğrulama uygulaması, mobil push mesajı tabanlı kimlik doğrulama veya donanım kimlik doğrulama belirteci gibi alternatifler sunar ve daha güçlü bir şekilde teşvik eder. Şirket ayrıca kısa süre önce geçiş anahtarları için destek ekledi.
Sonuç olarak, öyle ya da böyle, 100 milyon GitHub kullanıcısının tümü, henüz yapmamışlarsa bile 2FA’yı açacak. Sunuma başlamadan önce Swanson ve ekibi, iki faktörlü kullanıcı deneyimini incelemek için önemli ölçüde zaman harcadı. Müşterilerin hesaplarına kilitlenmesinin başlıca nedenlerinden biri olan, kullanıcıların iki faktörlü hesaplarını yanlış yapılandırmasını zorlaştırmak için ilk katılım akışını elden geçirdiler. Süreç, insanların erişimini kaybetmeleri durumunda hesaplarına girebilecekleri bir güvenlik ağına sahip olmaları için yedek kurtarma kodlarının indirilmesi gibi şeylere daha fazla önem veriyordu. Şirket ayrıca soruları ve endişeleri sorunsuz bir şekilde iletebilmesini sağlamak için destek kapasitesini de inceledi.