Hemen hemen herkes, bir hesabın kilitlenmesi ve şifreyi sıfırlama ihtiyacı duymanın can sıkıcı sürecine aşinadır. İster aylarca kullanılmadıktan sonra oturum açmayı unutmak ister yeniden erişim kazanmak için kimliğinizi kanıtlamak zorunda kalmak olsun, deneyim sinir bozucu, zaman alıcı ve – ironik bir şekilde – orijinal kimlik doğrulama sürecinden daha az güvenli olabilir.
Yapay zeka (AI) tarafından manipüle edilen belgeler ve benzeri zorluklara odaklanan Nametag danışma kuruluna yakın zamanda katılan Bruce Schneier, “İnsanlar kimlik bilgilerini her zaman kaybediyor. Parolaların sıfırlanması manueldir ve genellikle normal süreçten daha az güvenlidir” diyor. uzak kullanıcı doğrulaması. Sağlam kimlik doğrulama (IDV) çözümlerine olan ihtiyacın günümüzde kuruluşlar için en acil zorluklardan biri haline geldiğini söylüyor.
İşletmelerin uğraşması gereken en büyük güvenlik sorunlarından biri, özellikle dijital dünyada birinin kim olduğunu güvenilir bir şekilde doğrulamaktır. Saldırganlar, kimlik bilgilerini çalmak, kullanıcıların kimliğine bürünmek ve hassas verilere erişim sağlamak için zayıf kimlik sistemlerinden giderek daha fazla yararlanıyor. Yapay zeka destekli derin sahtekarlıklar ve kimlik bilgileri hırsızlığı da dahil olmak üzere siber tehditlerdeki son gelişmeler, birçok eski doğrulama yöntemini geride bıraktı.
“Özdeşleşme şu soruya yanıt verir: ‘Sen kimsin?’ Kimlik doğrulama ‘Kanıtla’ der ve yetkilendirme bize ‘Ne yapabilirsin?’ der.” Schneier, kimlik doğrulamanın insanlar, teknoloji ve güvenin kesişiminde yer aldığını belirtiyor.
İki faktörlü doğrulama gibi kimlik doğrulama sistemleri kimlik bilgilerini doğrulayabilse de genellikle kimlikle ilgili daha büyük soruyu yanıtlamakta başarısız olurlar. Örneğin, şifreler, taranmış belgeler veya biyometrik kimlik doğrulayıcılar gibi geleneksel sistemler sahtekarlığa ve tahrifata karşı savunmasız olabilir. Schneier, ilk parmak izi tarayıcılarının “sakızlı parmak kopyaları” ile, yüz tanıma sistemlerinin ise basit fotoğraflarla kandırılabileceğini belirtiyor.
Bu zayıflıklar, Schneier’in “klavyeden sandalyeye” boşluğu olarak adlandırdığı şeyi kapatmanın, yani fiziksel kişinin dijital kimlik bilgilerine uygun olmasını sağlamanın daha yaygın zorluğunun altını çiziyor. Bugünlerde rakipler, klavye ile sandalye arasına girmek amacıyla kimlik bilgilerini çalmak için giderek daha karmaşık teknikler benimsiyor.
Deepfake teknolojisi, yapay zeka tarafından oluşturulan görsellerin veya videoların biyometrik verileri ikna edici bir şekilde taklit edebildiği yeni bir endişe katmanını ortaya çıkardı. Sonuç, IDV başarısızlıklarının finansal dolandırıcılığı, fidye yazılımı saldırılarını ve ulus devlet siber casusluğunu körüklediği büyüyen bir risk ortamıdır.
Güvenlik risklerinin ötesinde, zayıf kimlik doğrulamanın kuruluşlar için önemli maliyetleri vardır. Kimlik bilgilerinin kaybı ve sıfırlanması, zaman ve kaynak tüketen, işletmeler için en büyük BT yüklerinden biri olmayı sürdürüyor. Yeni kullanıcıların katılımı, özellikle çalışanlarını, müşterilerini veya iş ortaklarını geniş ölçekte doğrulaması gereken kuruluşlar için benzer zorluklar doğurmaktadır. Verimsiz IDV sistemleri gecikmelere, zayıf kullanıcı deneyimine ve kimlik belgelerinin manuel olarak yüklenmesi gibi güvenli olmayan yöntemlere güvenilmesine neden olur.
Schneier, kimlik doğrulamaya yönelik herhangi bir çözümün, ortaya çıkan bu tehditleri doğrudan ele alması gerektiğini söylüyor.
“Bu, saldıranlarla savunanlar arasında bir silahlanma yarışı olacak” diye ekliyor.
Modern IDV’yi Farklı Kılan Nedir?
Schneir, Nametag gibi IDV şirketlerinin tehdit aktörleri tarafından kullanılan giderek daha karmaşık hale gelen araçlara ayak uydururken sağlam güvenlik, ölçeklenebilirlik ve kullanılabilirliği dengelemeye odaklandığını söylüyor. Modern çözümler, ortaya çıkan tehditleri ele almak için birden fazla doğrulama katmanını içerir. Örneğin, Nametag’in Deepfake Savunma teknolojisi, yapay zeka tarafından oluşturulan kimlik belgelerini ve gelişmiş enjeksiyon saldırılarını tespit edip engelliyor; bunların her ikisi de, deepfake ve sentetik medya geliştikçe kritik sorunlar haline geldi.
Geleneksel yöntemler ayrıca genellikle kullanıcıların kimlik belgelerini manuel olarak yüklemesini gerektirir, bu da düşmanların yararlanabileceği anlaşmazlıklar ve güvenlik açıkları yaratır. Schneier, kullanıcıların kimliklerini doğrulamak için ek uygulamalar veya yazılım indirmelerini zorunlu kılmanın, benimseme konusunda yaygın bir caydırıcı faktör olduğunu söylüyor.
Modern IDV sistemleri, karmaşık saldırıları engellemenin yanı sıra, kimlik bilgileri kurtarma süreçlerinin otomatikleştirilmesi, yeni çalışanların veya müşterilerin katılımının sağlanması ve hassas işlemler veya hesap erişimi için kullanıcıların doğrulanması da dahil olmak üzere işletmeler için pratik kullanım örneklerini kolaylaştırabilir.
Schneier, “Bence bu, kurumsal bir sorun sorununu çözüyor; bu da, insanların kimlik bilgilerini kaybettiklerinde veya yeni kullanıcılar kazandırdıklarında onları yenilemenin maliyeti anlamına geliyor” diyor. “Daha iyi, daha hızlı ve daha güvenli.”