Şimdiye kadar, çoğu CISO katılıyorum: Şifreler kimlik doğrulama zincirindeki en zayıf bağlantıdır. Tahmin edilmesi kolay, yönetilmesi zor ve sürekli olarak yeniden kullanıldı. En karmaşık şifre politikaları bile kimlik avı veya kimlik bilgisi doldurmayı durdurmaz. Bu nedenle şifresiz kimlik doğrulama ciddi bir zemin kazanıyor.
Şifresiz kimlik doğrulamasının benimsenmesi, değişime direnç, eski sistemlerle entegrasyon ve başlangıç maliyetleri de dahil olmak üzere zorluklarla birlikte gelir. Kuruluşların ayrıca güvenlik, kullanıcı deneyimi, erişilebilirlik, uyumluluk ve veri gizliliği konusunda endişeleri olabilir.
Bunların üstesinden gelmek için şirketler eğitime yatırım yapmalı, yavaş yavaş yeni çözümler entegre etmeli, uzun vadeli YG’ye odaklanmalı, endüstri standartlarına uyum sağlamalı ve kullanıcılar için birden fazla kimlik doğrulama seçeneği sunmalıdır.
Fido Alliance’ın yakın tarihli bir raporu, şirketlerin% 87’sinin güvenliği artırmak ve kullanıcı deneyimini geliştirmek için paskay konuşlandırmayı veya dağıtmayı planladığını ortaya koyuyor.
Şifresiz Kimin söylediğine bağlı olarak farklı şeyler anlamına gelir. Peki aslında neye benziyor? Ve güvenlik liderlerinin hazırlamak için ne yapması gerekiyor?
Neden Passwordsed Happed
Yubico’ya göre, daha güvenli alternatiflerin bulunmasına rağmen, kullanıcı adı ve şifre kombinasyonları en yaygın kimlik doğrulama yöntemi olmaya devam etmektedir. Bu arada, AI araçlarının yardımıyla kimlik avı saldırıları daha gelişmiş hale geliyor.
Saldırganlar sadece şifreleri çalmaz – seansları kaçırırlar, MFA’yı atlar ve zayıf cihaz hijyenini kullanırlar.
Gerçek şifresiz kimlik doğrulama, bilgiye dayalı sırlar anlamına gelmez-bir kullanıcının hatırlaması gereken şifreler, güvenlik soruları veya pimler yoktur. Ancak şifresiz olarak etiketlenmiş bazı sistemler parolalara geri dönüş olarak güvenmektedir.
Bu piyasada karışıklık yaratır. Bazı satıcılar tanıtıyor Parolasız MFA Bu hala belirli koşullar altında şifre girişine izin verir. Bu gerçekten şifresiz değil – sadece daha uygun bir ilk adımla katmanlı güvenlik.
Güvenlik liderleri satıcılardan uygulamalarını net bir şekilde tanımlamalarını istemelidir. Gerçek bir şifresiz sistem:
- Kullanıcı kimliğini doğrulamak için public-anahtar kriptografisini kullanın
- Kimlik bilgilerini belirli bir cihaza veya kimlik doğrulayıcısına bağlayın
- Şifrelere, yoğun bir şekilde kısıtlanmadıkça, yedek olarak izin vermeyin
FIDO2 standardı (Fido Alliance ve W3C’den) mevcut altın standardıdır. Merkezi bir ortak sır olmadan passeyler ve biyometrik jetonlar kullanarak kimlik doğrulamasını sağlar.
Teknoloji devleri zaten hamle yapıyor. Apple, Google ve Microsoft, cihazlar ve tarayıcılar arasında PassKey desteğini sundu.
OKTA Charlotte Wylie, SVP ve STK’s yardımcısı Charlotte Wylie, “Şifresiz bir strateji, şifre yorgunluğunu azaltmak için en iyi rahatlamayı sunuyor. Şirketler – düşük hesap güvenliği ve kullanıcı deneyimi, kaybedilen üretkenlik ve artan maliyet de dahil olmak üzere, şirketler şifresizleştiğinde ortadan kaldırılıyor” dedi.
CISOS için Şifre Olmadan Strateji İpuçları
Siber güvenlik manzarası daha güvenli, kullanıcı dostu kimlik doğrulama yöntemlerine doğru ilerledikçe, CISOS bu geçişe dikkatle yaklaşmalıdır. İşte doğru yönde hareket etmek için beş ipucu:
Mevcut kimlik doğrulama yığınınızı denetleyin: Parolaların hala nerede kullanıldığını belirleyin: dahili uygulamalar, üçüncü taraf SaaS, eski sistemler. Yapıldıktan sonra, yüksek riskli veya yüksek sürtünmeli kullanım durumlarına öncelik verin.
Yüksek etkili kullanıcı gruplarıyla başlayın: Hassas sistemlere erişimi olan yöneticiler, geliştiriciler ve yöneticilerle pilot şifresiz seçenekler. Yubikeyler veya passeyler gibi güçlü kimlik doğrulayıcılar kullanın.
FIDO2’yi destekleyen kimlik sağlayıcılarından yararlanın: Kimlik Sağlayıcınızın (OKTA, Azure Reklam, Ping, vb.) Modern şifresiz protokolleri desteklediğinden ve mevcut dizin ve uygulamalarınızla entegre edebileceğinizden emin olun.
Kullanıcıları eğitmek ve eğitmek: Parola, yalnızca kullanıcılar sisteme güveniyorsa çalışır. Avantajları açıklayın, kendi kayıt kılavuzları sağlayın ve erişilebilirlik veya cihaz sorunları için alternatifler sunun.
Geri Alım Güvenliğini Terk Etmeyin: İkincil cihaz kimlik doğrulaması veya kimlik doğrulaması gibi kimlik avlamaya dayanıklı yöntemler kullanarak kurtarma akışları oluşturun. Parolaları yedek olarak yeniden tanıtmaktan kaçının.
İleriye Bakış
Bir kuruluş şifresiz kimlik doğrulamasını benimsediğinde, sistemi performansını izlemek, başarısını ölçmek için gerekli hale gelir. CISO’lar için ROI’yi ölçmek ve güvenlik üzerindeki etkisi, çözümün değerini kanıtlamanın anahtarıdır. Sistemin etkinliğini izlemek ve riski başarılı bir şekilde azaltmasını sağlamak önemlidir.
CISOS, kullanıcı benimseme oranları, kimlik avı denemeleri engellenen ve güvenlik olaylarındaki genel azalma gibi temel metriklere odaklanmalıdır. Zamanla, daha az kimlik avı girişiminin geçtiğini, kimlik bilgisi hırsızlığının azalmasını görebilir ve hatta şifre sıfırlamalarıyla ilgili BT destek maliyetlerini düşürebilirler.
İleride, şifresiz kimlik doğrulama endüstriler arasında norm haline gelecektir. Bu teknoloji ilerledikçe, işletmeler riskleri azaltmak, BT destek maliyetlerini düşürmek ve düzenleyici değişikliklerin önünde kalmalıdır.
Yapay zeka ve makine öğrenimi, kullanıcı davranışını izleyerek ve olağandışı kalıpları tespit ederek şifresiz kimlik doğrulamasını artıracaktır. Bu araçlar, giriş işlemini basit tutarken, potansiyel risklere dayalı gereksinimleri ayarlayarak güvenliği güçlendirmeye yardımcı olur.
“Her şeyden önce, gelecek şifresizdir. Birçok şirket bugün şifreden geçiş yapmaya hazır olmasa da (ve birçoğu çeşitli nedenlerden dolayı değil), önümüzdeki on ila yirmi yıl içinde, sektörlerde ve kullanım durumlarında şifresiz bir hareket göreceğimizden eminim, çünkü çok daha güvenli ve kullanıcı dostu oldukları için,” dedi Julianna Lamb, Stytch.