FIDO’nun siber erişim için kimlik kullanma önerisi neden tehdit aktörlerinin istismar etmesi için daha fazla güvenlik açığı açıyor?
MyCena Security Solutions’ın Kurucusu ve CEO’su Julia O’Toole tarafından
Fast Identity Online (FIDO) Alliance, geçtiğimiz aylarda tüm ürünlerinde parolasız kimlik doğrulamayı destekleme taahhüdünü duyurdu. Apple, Google ve Microsoft gibi teknoloji şirketlerinden oluşan grup, bu yaklaşımı yaklaşık on yıldır planlıyor ve bu yılın ilerleyen zamanlarında platformlarda uygulamayı bekliyor.
FIDO başlangıçta, kullanıcıların çevrimiçi hesaplarına şifre kullanmadan giriş yapmalarını sağlayan bir sistem üzerinde çalışmaya başladı – bunun yerine bir PIN, biyometrik, iris taraması veya ses tanıma kullanmak. Artık FIDO, eski çok faktörlü kimlik doğrulama üzerinde daha iyi koruma ve kötü niyetli kimlik avı saldırılarına karşı daha iyi koruma sağlayabileceğine inanıyor.
Kullanıcıların parolalarını doğrudan hatırlamalarına güvenmek yerine, kullanıcının cihazında veya işletim sistemleriyle ilişkili bulut senkronizasyon hizmetinde depolanırlar. Telefonları, çalışma alanlarına erişim noktası haline gelir – PIN’lerini girerek veya parmak izi veya yüz tanıma kullanarak kimlik doğrulaması yapar.
FIDO, parolalara olan bağımlılığı azaltmayı ve kullanıcılara, cihazlar arasında hareket ederken kimlik bilgilerini el altında tutmanın bir yolunu sunmayı umuyor. Bununla birlikte, güvenliğin üzerindeki bu kolaylığa olan saygı, hayati verileri potansiyel olarak tehdit aktörlerine karşı savunmasız bırakabilir.
Kimlik ve erişim neden aynı değil?
FIDO’nun yaklaşımı, kimlik ve erişim arasında yanlış yönlendirilmiş bir karışıklığı ortaya koyuyor. Özünde, birinin kimliği, yasal kimlik, iş veya öğrenim kimlik bilgileri ve biyometri gibi değişmeyen sabit özelliklerden oluşur. Yasal kimliğiniz size bir ülkede yaşama, sosyal yardım alma ve belirli yerlere seyahat etme hakkı gibi belirli yasal haklar verirken, çalışma ve öğrenim belgeniz size doktor veya avukat gibi belirli yasal düzenlemelere tabi mesleklerde çalışma hakkı verir. Yüzünüz, irisiniz ve parmak iziniz gibi biyometri, sabit kodlanmış görünür – bu nedenle, değiştiremeyeceğiniz – gizli olmayan özelliklerdir.
45 milyon Arjantinli dijital kimlik veritabanının tamamı gibi sızdırılmış veritabanlarından, AB Komisyonu’nun şu anki başkanının parmak izini yeniden yaratan bu yardımsever bilgisayar korsanı gibi fotoğraflara kadar, bu niteliklere bağlı verilerin hiçbirini elde etmek zor değil. Kimliği kullanmayı özellikle tehlikeli kılan şey, hırsızlığın kalıcılığıdır. Bir kez çalındığında, veriler çalınamaz. Bir parolayı değiştirebilirsiniz, ancak kim olduğunuzu değiştiremezsiniz.
Öte yandan, insanlar uzun zamandır belirli yerlere erişim sağlamak için anahtar kavramını icat ettiler. Konsept basit: Doğru anahtara sahip olduğunuz sürece belirli bir kapıyı açabilirsiniz. Anahtarlar aktarılabildiği, paylaşılabildiği veya değiştirilebildiği için kimliğinizden tamamen bağımsızdır. Fiziksel dünyada, kilitleyeceğiniz kapılarınız kadar anahtarınız olabilir ve bir anahtarı kaybetmenin yalnızca bir kilidi değiştirmeyi gerektirdiğinden emin olabilirsiniz.
Her şey için tek bir anahtar kullanmayın
Fiziksel dünyada insanlar tüm kapıları için tek bir anahtar kullanmazlar. Evlerinden arabalarına ve ofislerine kadar her şeye erişmek için tek bir anahtara sahip olmak son derece güvensiz olurdu… çünkü onu kaybetmek her şeyi bir anda kaybetmek anlamına gelirdi. Ancak dijital dünyada insanlara dijital varlıklarına erişmek için tek bir ana şifre, biyometrik veya PIN kullanmaları tavsiye ediliyor. FIDO’nun önerisi, kolaylık sağlamak için ticaret esnekliğine yönelik baskının bir başka örneğidir. İnsanlar bu tavsiyeye uyarsa, tek bir saldırı tüm hesaplarının ve verilerinin aynı anda kaybolmasına neden olabilir.
Bir anlık rahatlık için bir ömür boyu risk
Biyometriyi ve tek erişimi karıştırmaya başladığınızda işler daha da kötüleşir. Sahip olduğunuz her şeye erişmek için kimlik biyometrinizi kullandığınızı hayal edin. Biyometri, dijital bilgilerin doğası gereği çalınabilen 1’ler ve 0’ların benzersiz bir kombinasyonudur. Bir hırsız sahip olduğunuz her hesaba erişebilmekle kalmaz, aynı zamanda benzersiz biyometrik veriler kalıcı olarak çalınır – çünkü kim olduğunuzu değiştiremezsiniz. Bu, bir daha asla “dijital kimliğinizi” tam olarak kontrol edemeyeceğiniz anlamına gelir. Gelecekte herhangi bir zamanda, erişim için masumca verdiğiniz veriler, siz farkında olmadan kullanılabilir ve sizi bilginiz olmadan potansiyel olarak yasa dışı durumlara sokar.
Asla kendi anahtarlarınızı yapmayın – fiziksel veya dijital
Gerçek dünyada erişim anahtarlarını yönetmek söz konusu olduğunda, bu basit bir süreçtir.
Şirketler anahtarları çalışanlara, ev sahipleri kiracılara, araba satıcıları araba alıcılarına verir. Kimse çilingir olup kendi anahtarlarını kesmeye başlamaları gerektiğini düşünmüyor – anahtarlar yeni alınıyor ve kullanılıyor. Yanlış anlama, dijital dünyaya taşındığımızda ve insanlar kendi anahtarlarını yapmak zorunda olduklarına inandıklarında başlıyor. Hem verimsiz hem de gereksiz. Anahtarlarınızı oluşturmanız ve kesmeniz gerekmediği gibi, şifre oluşturmanız veya hatırlamanız da gerekmez. Sonuçta, bir şifre sadece bir dijital anahtardır.
Fiziksel ve dijital anahtar arasındaki tek fark, dijital anahtarı çalmanın önünde fiziksel engellerin olmamasıdır. Fiziksel dünyada, bir hırsızın onu çalmak için anahtarına ulaşması gerekir. Ancak dijital dünyada, bir hırsız dünyanın herhangi bir yerinde bulunabilir ve dijital anahtarlarınızı veya şifrelerinizi avlayabilir veya tahmin edebilir. Öyleyse soru, bu anahtarların çalınmamasını nasıl sağlayacağımız olmalıdır. Cevap tarihte yatıyor: onları gizli yapın.
Çözüm: tüm dijital anahtarları şifreleyin!
Simon Singh tarafından The Code Book: The Secrets Behind Codebreaking’de anlatıldığı gibi, tarih boyunca insanlar sırları saklamak için kriptografiyi kullandılar. Dijital anahtarlar için, şifreleri kullanıcı dahil herkesten gizli tutmanın en iyi yolu, onları oluşturma, dağıtım, depolama, kullanım ve sona ermelerine kadar şifrelemektir – çünkü bilmediğiniz şeyleri sızdıramazsınız.
Parolalar, anahtarlarla aynı özellikleri korur: esnektirler, değiştirilebilirler, atılabilirler ve her şey için çalışabilirler. Tüm dijital anahtarları şifreleyerek, Verizon’un Veri İhlali Araştırmaları Raporu 2022’ye göre tüm veri ihlallerinin %82’sini temsil eden kimlik bilgileri üzerindeki insan hatası tehdidini ortadan kaldırırsınız. Bu yalnızca zayıf ve yeniden kullanılan parola risklerini ortadan kaldırmakla kalmaz, aynı zamanda son zamanlarda iki düzine büyük doğal gaz tedarikçisi ve ihracatçısında olduğu gibi, bilgisayar korsanlarının mevcut ve eski çalışanların kimlik bilgilerini çalmasını veya satın almasını önlemek.
Farklı ihtiyaçlar için şifrelenmiş parolaları yönetmenin farklı yolları vardır. İş dünyasında şirketler, her sistem için uçtan uca şifrelenmiş parolaları tüm çalışanlarına birden fazla güvenlik düzeyine sahip dijital bir kaleye dağıtabilir. Uçtan uca şifreleme kullanarak, şifreleri, bilmelerine veya görmelerine gerek kalmadan sadece kapıları açmak için anahtar olarak kullanabilen çalışanların kontrolünden kaldırırlar. Şifreleri bilmemek, çalışanların onları bir kimlik avı saldırısında ele geçiremeyecekleri anlamına gelir – bu, Ulusal İstatistik Ofisi’ne göre 2021’deki siber saldırıların %83’ünü temsil eder. Şifreleri bilmemek aynı zamanda çalışanların şifreleri unutmaması anlamına gelir, bu da kuruluşların şifre sıfırlama işlemlerinde tasarruf etmesini sağlar ve üretkenlik.
Anahtarlarınız değil, verileriniz değil
Tersine, şirketler çalışanlarının verilerinin anahtarlarını oluşturmasına ve kontrol etmesine izin verdiğinde, verilerin anahtarlarını kontrol etmezler. Verilerin anahtarlarını kontrol edememek, verileri kontrol edememek ve koruyamamak anlamına gelir. Bilgisayar korsanları bunu ve herhangi bir çalışanın anahtarlarını avlaması veya tahmin etmesi için ne kadar kolay olduğunu biliyor; bu da veri ihlallerinin neden bu kadar yaygın olduğunu açıklıyor. Yalnızca erişimlerini şifreleyen şirketler, verilerinin anahtarları üzerinde tam kontrole sahip olduklarından, verilerinin gözetimi, mülkiyeti ve kontrolüne ilişkin yasal yükümlülüklerini yerine getirebilir.
Artan fiziksel riskler
FIDO’nun önerisinden kaynaklanan sorunlardan hiçbiri, fiziksel dünyaya yayılan ve taşınabilir bir cihazı olan herkesi suçlular için bariz bir hedef haline getiren risklerden daha caydırıcı sonuçlara sahip değildir. Londra’da insanların parmak izi vermeleri ve cihazlarını açmaları için kimliklerini vermeleri için bıçakla tehdit edildiği pek çok fiziksel saldırı vakası rapor edildi. Herkes tüm hesaplarını açmak için mobil cihazında kimliğini kullanırsa, sokakta yürüyen herkes suçlular için hedef cüzdan haline gelir.
Geçtiğimiz on yıllardan öğrendiğimiz gibi, ilk bakışta kullanışlı görünen birçok yeni teknoloji, genellikle büyük boyutlu, öngörülemeyen ve hesaplanmamış riskleri gizler. FIDO’nun erişim için kimlik kullanma önerisi, insanların güvenliğini ve refahını doğrudan etkileyebilir. Neyse ki, bir sonraki parlak yeni nesne için körü körüne her şeye girmeden önce daha iyi bilmek ve uygun risk değerlendirmeleri yapmak için yeterli deneyim ve veri biriktirdik. İnternetle ilgili erken hatalarımızdan bir şey öğrendiysek, o da kolaylık çoğu zaman çok geç olduğunda keşfettiğiniz bir ters tarafı gizler. Tehlikede olan çok şey varken aynı hatayı yapmayalım.
yazar hakkında
Julia O’Toole, MyCena Security Solutions’ın Kurucusu ve CEO’su, dijital erişimi yönetmek, dağıtmak ve güvenceye almak için çığır açan bir çözüm. Bir mucit ve birçok patentin yazarı olan Julia, karmaşık problemler için basit ama yenilikçi çözümler araştırmak ve tasarlamak için matematik, sinirbilim ve teknolojiyi kullanır. Julia’nın araştırma ve uzmanlık alanları arasında siber güvenlik, işbirliği ve arama yer almaktadır. Julia, 2016 yılında, segmentlere ayrılmış erişim yönetimi ve güvenli parola dağıtımında pazar lideri haline gelen MyCena’yı kurdu. MyCena, çığır açan patentli güvenlik sistemi ile şirketleri parola hatası, dolandırıcılık ve kimlik avı, komuta ve kontrol kaybı, fidye yazılımı ve tedarik zinciri siber saldırıları risklerinden korur.
Julia’ya çevrimiçi olarak ([email protected], linkedin.com/in/juliaotoole) ve şirketimizin web sitesi http://www.mycena.co üzerinden ulaşılabilir.