İngiltere hükümeti, bu yılın ilerleyen saatlerinde dijital hizmetlerinde passkey teknolojisini uygulama planlarını açıklayarak geleneksel şifre ve SMS tabanlı doğrulama yöntemlerinden önemli bir kayma işaret etti.
Hükümetin amiral gemisi siber güvenlik etkinliği Cyberuk’ta duyurulan bu geçiş, Gov.uk hizmetlerine erişen vatandaşlar için daha akıcı bir kullanıcı deneyimi sunarken güvenliği artırmayı amaçlamaktadır.
Girişimin yılda birkaç milyon lira tasarruf etmesi ve ülkenin dijital savunmalarını giderek daha sofistike siber tehditlere karşı güçlendirmesi bekleniyor.
.png
)
Hükümetin dijital dönüşüm stratejisi, şu anda hükümet platformlarında kullanılmakta olan geleneksel SMS tabanlı doğrulama sistemlerine alternatif olarak passeyleri tanıtacak.
Passkeyler, akıllı telefonlar veya dizüstü bilgisayarlar gibi belirli cihazlarla doğrudan bağlantılı benzersiz dijital kimlik bilgileri olarak işlev görür ve kısa mesaj yoluyla gönderilen ikincil doğrulama kodlarına olan ihtiyacı ortadan kaldırır.
Kullanıcılar devlet hizmetlerine giriş yapmaya çalıştıklarında, cihazları ek girdi veya doğrulama adımları gerektirmeden kimliklerini doğrulamak için bu dijital anahtarı kullanır.
Passkey’lerin teknik uygulaması, kimlik doğrulama kimlik bilgilerinin potansiyel olarak savunmasız sunuculardan ziyade kullanıcının cihazında güvenli bir şekilde saklandığı kamu anahtarı kriptografisine dayanır.
Bu mimari, paskaları, kimlik bilgisi hırsızlığı ve kimlik avı girişimleri gibi ortak saldırı vektörlerine doğal olarak dirençli hale getirir.
İngiltere’nin Ulusal Sağlık Servisi (NHS), bu yaklaşıma zaten öncülük etti ve küresel olarak kullanıcılarına paskay kimlik doğrulaması sunan ilk hükümet kuruluşlarından biri oldu.
Güvenlik avantajları ve maliyet tasarrufu
Siber güvenlik açısından, passeyler geleneksel kimlik doğrulama yöntemlerine göre önemli avantajlar sunar.
Kimlik doğrulama kimlik bilgileri cihaza bağlı kaldığından ve uzak saldırganlara erişilemediğinden, başarılı şifre müdahalesi veya kimlik avı girişimleri bile kimlik doğrulamalı cihaza fiziksel erişim olmadan etkisiz olacaktır.
Ulusal Siber Güvenlik Merkezi (NCSC) bu teknolojiyi “tasarıma dayanan kimliklere dayanıklı” olarak onayladı ve ulusal siber esnekliği arttırmak için çok önemli.
Güvenlik iyileştirmelerinin ötesinde, girişim önemli verimlilik kazanımları vaat ediyor. Kullanıcılar, kullanıcı adı, şifre ve SMS kodu girişi gerektiren geleneksel yöntemlere kıyasla giriş başına yaklaşık bir dakika kaydedilmiş bekleyebilir.
AI ve Dijital Hükümet Bakanı Feryal Clark, “SMS doğrulaması gibi eski yöntemlerin modern, güvenli pasiflerle değiştirilmesinin, insanların karmaşık şifreleri hatırlamaya veya metin mesajlarını beklemeye gerek kalmadan, insanların temel hizmetlere erişmesini daha hızlı ve daha kolay hale getireceğini” vurguladı.
Hükümet ayrıca, SMS doğrulama masraflarını ortadan kaldırarak, aynı zamanda sahtekarlık ile ilgili kayıpları azaltarak önemli maliyet tasarrufu öngörüyor.
NCSC, Fido Alliance’a katılıyor
Passkey sunum duyurusu ile eşzamanlı olan NCSC, Küresel Sanayi Konsorsiyumu, açık kimlik doğrulama standartları geliştiren FIDO (Hızlı Kimlik Çevrimiçi) İttifakına üyeliğini açıkladı.
Bu stratejik ortaklık, İngiltere’yi uluslararası passey standartlarını ve kimlik doğrulama protokollerini şekillendirmeye aktif olarak katılmaya konumlandırır.
NCSC Baş Teknik Sorumlusu Ollie Whitehouse, kuruluşun “İngiltere’nin parolaların ötesine geçmesi için parolaların ötesine geçmesi için belirtilen bir hedefe sahip olduğunu” ve “tüm kuruluşların güvenliği artırmak, kullanıcılara daha hızlı, sürtünmesiz girişler sağlama ve SMS kimlik doğrulaması üzerinde önemli maliyetler tasarrufu” önerdiğini belirtti.
Bu öneri, NCSC’nin hem kamu hem de özel sektörlerde siber güvenliği artırma misyonuyla uyumludur.
Fido Alliance’ın genel müdürü ve CEO’su Andrew Shikiar, İngiltere’nin yaklaşımını övdü ve “modern, kimlik avlamaya dayanıklı kimlik doğrulamaya öncelik vererek, İngiltere’nin hem kamu hem de özel sektörler için güçlü bir örnek oluşturduğunu” belirtti.
İngiltere devlet kurumları ve FIDO Alliance üyeleri arasındaki işbirliği, kolektif siber esnekliği güçlendiren teknolojilerin geliştirilmesini ve konuşlandırılmasını hızlandırmayı amaçlamaktadır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir