[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Uzak iş gücünün yaygınlaşması ve dijital dönüşümün büyümesi, oturum açma tabanlı saldırı vektörlerinin sayısını artırdı. Çok faktörlü kimlik doğrulama (MFA), genel olarak yetkisiz hesap erişimi elde etmeye yönelik yaygın yöntemlere karşı koruma sağlarken, tüm çok faktörlü kimlik doğrulama yöntemleri karmaşık saldırılara karşı koruma sağlayamaz. Tam sıfır güven erişimi elde etmek için MFA’nın yerini onu tanımlayan standartlar alıyor.
Size tam bir resim sunmak için, kimlik avına dayanıklı kimlik doğrulamayla ilgili temel terminolojiyi ve kavramları belirledim ve bunları bu kullanışlı sözlükte bir araya getirdim. Kimlik avına dayanıklı MFA’yı tam olarak takdir etmek için, kelime dağarcığını bilmek yardımcı olur.
Hesap devralma
Hesap Devralma İşlemini Gerçekleştirmek (ATO), dolandırıcılık yapma niyetiyle bir hedef hesabı başarılı bir şekilde ele geçirmek anlamına gelir. Saldırgan, ilgili tüm izinlere ve erişim ayrıcalıklarına sahip bir kullanıcı olarak başarılı bir şekilde çalışabildiğinde, hesabın güvenliği tamamen ihlal edilmiş olur. ATO genellikle kimlik bilgilerinin çalınmasıyla başlatılır ve sosyal mühendislik teknikleri (oltama saldırıları) kullanılarak veya oturum açma sayfalarını bot tabanlı girişimlerle bombalayarak yapılabilir.
Kimlik avı saldırıları
Kimlik avı saldırıları, sosyal mühendislik tekniklerini kullanarak oturum açma kimlik bilgileri, kredi kartı bilgileri ve hatta para gibi kişisel verileri çalmaya çalışır. Bu tür bir saldırı genellikle, kullanıcıyı kötü amaçlı bir eki açmaya veya sahte bir URL’yi izlemeye ikna etme amacıyla, saygın bir kaynaktan gönderilmiş gibi görünen e-posta iletileri aracılığıyla başlatılır. En çok hedeflenen hizmet türleri, SaaS ve webmail platformlarının yanı sıra ödeme hizmetleridir. Kimlik avı saldırıları, işletmeleri ve bireyleri birçok yönden etkileyen birçok ardışık etki yaratır.
Ortadaki Adam (MiTM) saldırıları
Ortadaki Adam’ı (MiTM) “bir saldırganın iletişim kuran iki taraf arasında dolaşan verileri durdurmak ve/veya değiştirmek için konumlandırdığı bir saldırı” olarak tanımlar. Bir kimlik doğrulama bağlamında bu, “saldırganın talep sahibi ile doğrulayıcı arasında, kaydeden ile Kimlik Bilgisi Hizmet Sağlayıcısı arasında kayıt sırasında veya abone ile Kimlik Bilgisi Hizmeti Sağlayıcısı arasında kimlik doğrulayıcı bağlaması sırasında konumlanacağı” anlamına gelir.
kimlik doğrulama
NIST, “dijital kimlik doğrulamanın, bir dijital hizmete erişmeye çalışan bir öznenin, o öznenin dijital kimliğiyle ilişkili bir veya daha fazla geçerli kimlik doğrulayıcının kontrolünde olduğunu belirlemesi”ni tanımlar.
Tekrar ziyaretlerin uygulanabilir olduğu hizmetler için başarılı bir şekilde kimlik doğrulaması, bugün hizmete erişen öznenin daha önce hizmete erişen özne olduğuna dair makul risk temelli güvenceler sağlar. Kimlik doğrulama, talep sahibinin kimlik bilgilerine bağlı bir veya daha fazla kimlik doğrulayıcıya sahip olduğuna dair güven sağlar. Talep sahibinin yetkilerini veya erişim ayrıcalıklarını belirlemez – örneğin, bir dijital hizmete başarılı bir şekilde eriştikten sonra ne yapmalarına izin verildiği gibi.
2FA
veya 2FA, korunan kaynaklara erişmek için iki farklı türde faktörün birleşimini gerektiren bir kimlik doğrulama yöntemidir. Üç tür kimlik doğrulama faktörü, bildiğiniz bir şey, sahip olduğunuz bir şey ve olduğunuz bir şeydir.
2FA, Tek Faktörlü Kimlik Doğrulama (SFA) oturum açma sürecini geliştirir. Bunu, parola (kimlik avına karşı hassastır) gibi bildiklerinize dayalı bir dizi kimlik bilgisinin yanı sıra telefonunuz, jetonunuz veya akıllı kartınız gibi sahip olduklarınıza bağlı olarak ikinci bir kimlik bilgisi türü gerektirerek yapar. veya parmak izi gibi biyometri dahil olmak üzere ne olduğunuz.
MFA
Çok faktörlü kimlik doğrulama veya MFA, kapılı sistemlere erişime izin vermeden önce gerektirir. MFA, üç tür kimlik doğrulama faktörünün (bildiğiniz bir şey, sahip olduğunuz bir şey ve olduğunuz bir şey) bir kombinasyonu kullanılarak elde edilebilir. Çok faktörlü kimlik doğrulama güvenliği, oturum açma sırasında birden fazla kimlik belirleme aracı gerektirdiğinden, veri ve uygulamalara erişimi doğrulamak için en güvenli yöntem olarak kabul edilmektedir.
Biyometri
Biyometri, bir kimlik doğrulama faktörü (sizin olduğunuz bir şey) olarak kullanılan fiziksel veya davranışsal insan özellikleridir. Genel biyometri parmak izi, yüz tanıma veya ses tanımadır. Biyometri kullanmak, kullanıcıların özel anahtarlarının kilidini açmanın ve böylece FIDO2 veya PKI kimlik doğrulama sürecini tamamlamanın başka bir yoludur. Paroladan daha güvenli olan kullanıcının biyometrisi, güvenlik amacıyla cihazın dışına çıkmaz ve parola kullanmadan güvenli giriş sağlar.
Kimlik avına dayanıklı MFA
Kimlik avına dayanıklı MFA, kimlik avı saldırıları yoluyla kimlik doğrulama sürecini tehlikeye atma girişimlerinden korunan çok faktörlü kimlik doğrulamadır. Bir kimlik doğrulama yöntemini kimlik avına dayanıklı olarak nitelendirmek için kriptografik kayıt yoluyla güçlü, güvenilir bir ilişki, paylaşılan sırları ortadan kaldırma ve yalnızca bilinen ve güvenilir taraflardan gelen geçerli isteklere yanıt verme dahil olmak üzere çeşitli unsurlar gerekir. .
Kimlik avına dayanıklı MFA yöntemleri arasında Hızlı Kimlik Çevrimiçi (FIDO), sertifika tabanlı kimlik doğrulama (CBA), Kişisel Kimlik Doğrulaması (PIV) ve Açık Anahtar Altyapısı (PKI) tarafından yönetilen yapılar yer alır.
SMS OTP’si
Güvenlik uzmanları, SMS kimlik doğrulamasının SIM değiştirme saldırılarına ve genel ağlar üzerinden ele geçirmeye karşı savunmasız olduğunu düşünüyor. Bir mobil cihaza SMS yoluyla bir kimlik doğrulama kodu gönderildiğinde, mesajın hedeflenen alıcıya ulaştığından emin olmalıyız. Bununla birlikte, araştırmalar, SMS mesajlarını maliyet veya zaman olmadan yeniden yönlendirmenin veya ele geçirmenin artan başarısını göstermiştir.
Push bildirim OTP’si
Anlık bildirim kimlik doğrulaması, ilişkili bir mobil cihaza tek seferlik parolalar göndererek oturum açma girişimlerini doğrular. Kimlik avına dayanıklı olmasa da, NIST ve diğer güvenlik kurumları Push Notification OTP’nin SMS OTP’den daha yüksek güvenlik sunduğunu düşünür. Bununla birlikte, belirli zayıflıklar, MFA bombalama saldırılarına karşı savunmasız olmayı içerir (aynı zamanda MFA yorgunluğu olarak da adlandırılır). Güvenlik açığı, sayı eşleştirme ile azaltılabilir. “Numara eşleştirme, kimlik doğrulama talebini onaylamak için kullanıcıyı kimlik platformundan uygulamalarına numara girmeye zorlayan bir ayardır” (Cybersecurity & Infrastructure Security Agency). Ajans, push bildirimi OTP’sinin MFA yorgunluğunu azaltmak için numara eşleştirmenin kullanılmasını önerir.
FIDO2
Fast Identity Online (FIDO) ittifakı, tüketicilerin çevrimiçi hizmetlerde kimlik doğrulaması yapmaları için güvenli bir yol sunmak üzere oluşturuldu. genel anahtar şifrelemesine dayalı küresel bir kimlik doğrulama standardıdır. FIDO Kimlik Doğrulaması ile kullanıcılar, geçiş anahtarları adı verilen kimlik avına dayanıklı kimlik bilgileriyle oturum açar. Geçiş anahtarları cihazlar arasında senkronize edilebilir veya bir platforma veya güvenlik anahtarına bağlanabilir, bu da yalnızca parolayla yapılan oturumların web siteleri ve uygulamalarda güvenli ve hızlı oturum açma deneyimleriyle değiştirilmesine olanak tanır.
Geçiş anahtarları parolalardan ve SMS OTP’lerden daha güvenlidir, tüketiciler için kullanımı daha basit ve servis sağlayıcılar için dağıtması ve yönetmesi daha kolaydır. FIDO2 protokolü şifresizdir ve daha güçlü kimlik doğrulama için standart açık anahtar şifreleme tekniklerini kullanır.
FIDO güvenlik anahtarları veya FIDO kimlik doğrulayıcı
A, her biri bir çevrimiçi hesaba atanmış bir veya daha fazla özel anahtar yerleştirir. FIDO protokolü bir “kullanıcı hareketi” gerektirir: özel anahtarın bir yanıtı imzalamak için kullanılabilmesi için önce kullanıcının parmak izini kullanarak, ikinci faktörlü bir cihazdaki bir düğmeye basarak, bir PIN girerek veya başka bir yöntemle FIDO kimlik doğrulayıcısının kilidini açması gerekir. bir kimlik doğrulama meydan okumasına.
FIDO geçiş anahtarları
FIDO geçiş anahtarı, bir kullanıcı hesabına ve bir uygulamaya veya web sitesine bağlı bir dijital kimlik bilgisidir. Bir kullanıcının cihazında dijital bir pop-up gibi görünür ve kullanıcı tarafından hemen kabul edilebilir. Geçiş anahtarları cihazlar arasında senkronize edilebilir veya bir platforma veya FIDO güvenlik anahtarına bağlanabilir ve yalnızca parolayla yapılan oturum açma işlemlerinin, web siteleri ve uygulamalarda güvenli ve hızlı oturum açma deneyimleriyle değiştirilmesine olanak tanır.
PKI
Açık Anahtar Altyapısı (PKI), açık anahtar şifrelemesi oluşturan ve yöneten tüm varlıklar veya “dijital sertifikalar kullanarak güvenli bilgi alışverişi için kullanılan temel bir altyapı bileşeni” için kullanılan şemsiye terimdir. Başka bir deyişle PKI, verileri imzalamanıza ve şifrelemenize izin veren politikalar, süreçler ve teknolojiler topluluğudur ve tüm güvenilir çevrimiçi iletişimin temelini oluşturur.
PIV
Meslekten olmayanların ifadesiyle, Kişisel Kimlik Doğrulaması (PIV), “iddia edilen kimliğin “iddia edilen kimliğin geçerli olabilmesi için” iki güvenli kimlik doğrulama varlığının çifte kombinasyonu için kimlik bilgileri (biyometri veya kriptografik anahtarlar gibi) içeren bir kimlik kartı veya akıllı kart gibi fiziksel bir eserdir. Kart hamilinin kimliği, saklanan kimlik bilgilerine karşı başka bir kişi (insan tarafından okunabilir ve doğrulanabilir) veya otomatik bir süreç (bilgisayar tarafından okunabilir ve doğrulanabilir) tarafından doğrulanabilir.”
CBA
Sertifika tabanlı kimlik doğrulama (CBA), kullanıcıların parolalar yerine bir istemci sertifikasıyla kimlik doğrulaması yapmasına olanak tanır. Güven, sertifikayı veren tarafça verilir – maksimum güvenlik istendiğinde genellikle bir Sertifika Yetkilisi (CA). Kendinden imzalı sertifikalar da kullanımdadır ancak güvenilir bir CA ile aynı düzeyde doğrulama sağlamazlar. CBA, kimlik avına dayanıklı bir MFA biçimi oluşturmak için diğer yöntemlerle uyum içinde kullanılabilir.
ABD Yürütme Emri 14028
2021’de, Amerika Birleşik Devletleri’nin artan siber tehditlerden korunmasına yardımcı olmak için Beyaz Saray, Federal Hükümette güvenliği artırmak için bir Yürütme Emri (EO 14028) yayınladı. 2024 yılına kadar Federal kurumlar, Sertifika Tabanlı Kimlik Doğrulama (CBA), Kişisel Kimlik Doğrulama (PIV) kartları veya türetilmiş PIV ve FIDO2 kimlik doğrulaması gibi kimlik avına dayanıklı kimlik doğrulama yöntemlerini kullanarak federal sistemlere erişmek için MFA’yı zorunlu kılmalıdır.
Güçlü kimlik doğrulama için ENISA yönergeleri
ENISA, üstün güvenliği için kimlik avına dayanıklı kimlik doğrulamanın kullanılmasını önerir. Ancak ENISA, “mümkün olan yerlerde” daha güvenli kimlik doğrulamanın kullanılması gerektiğini tavsiye ederek bu tavsiyeyi nitelendirdi. Bugün, kimlik avına karşı en yaygın şekilde kullanılabilen yöntemler, FIDO2 güvenlik anahtarları veya fiziksel PKI akıllı kartlarıdır. Donanım yönetimi ve sağlama ile ilgili pratik hususlar ve operasyonel kısıtlamalar, kuruluşların bunları tüm kullanım durumları için dağıtma yeteneğini sınırlayabilir.
Kimlik Avına Dirençli MFA hakkında CISA kılavuzu
Amerika’nın siber savunma kurumu CISA, çok faktörlü kimlik doğrulamanın (MFA) belirli biçimlerini kullanan hesaplara ve sistemlere yönelik tehditleri vurgulayan iki bilgi notu yayınladı. CISA, tüm kuruluşları, kimlik avına ve diğer bilinen siber tehditlere karşı koruma sağlamak için kimlik avına dayanıklı MFA uygulamaya teşvik eder. CISA, kullanıcıların ve kuruluşların CISA bilgi tablolarını ve .
Kimlik avına dayanıklı kimlik doğrulama hakkında daha fazla bilgi edinmek için:
Thales ve Microsoft’tan “” web seminerini görüntüleyin.
Kaynak: , , ve Sözlükler
reklam