Çok Faktörlü Kimlik Doğrulama (MFA) uzun zamandır güvenli dijital uygulamaların temel taşı olarak duyurulmuştur. Ancak, artık sıklıkla “eski MFA” olarak adlandırılan geleneksel MFA biçimleri, gelişen siber tehditler karşısında giderek daha fazla modası geçmiş ve yetersiz olarak görülmektedir. Bu makale, eski MFA’nın günümüz siber güvenlik ortamında neden Ölü Varış (DOA) olarak kabul edildiğini araştırmaktadır.
Siber Tehditlerin Evrimi
Siber tehdit manzarası son birkaç yılda önemli ölçüde evrim geçirdi. Siber suçlular daha karmaşık hale geldi ve geleneksel güvenlik önlemlerini atlatmak için kimlik avı, sosyal mühendislik ve aracı saldırıları gibi gelişmiş taktikler kullanıyor. Genellikle bildiğiniz bir şeye (şifre gibi) ve sahip olduğunuz bir şeye (kısa mesaj kodu veya kimlik doğrulama uygulaması gibi) dayanan eski MFA artık bu gelişmiş saldırıları engellemek için yeterli değil. Fidye yazılımı saldırılarının %90’ı kullanıcı kimlik bilgileri kullanılarak gerçekleşiyor ve bunların büyük çoğunluğu artık eski MFA saldırısını da içeriyor.
Eski MFA’nın Sınırlamaları
Eski MFA’nın en büyük sınırlaması, ortada bulunan insandır. Bir insana, kendisinin olduğunu doğrulamak için tıklaması gereken bir kod veya uygulama verilir. Ancak insanları bu eylemi yapmaya (veya kodu güvenilir bir tarafa vermeye) kandırmak kolaydır. Her insan değil… ancak 1000 çalışanınız varsa, belki %10’unu kodlarını vermeye veya beni rahatsız etmesini engellemek için bir uygulamaya dokunmaya ikna edebilirim. Ancak. %10’a veya hatta %1’e ihtiyacım yok. %0,1’e ihtiyacım var ve ben varım. Herhangi biri çalışanlarını o kadar iyi eğitebilir ki %0,1’i bile testi geçemez? Cevabı zaten biliyorsunuz.
Roger Grimes (KnowB4) günümüzde tüm eski MFA’ların kötü niyetli kişiler tarafından nasıl tehlikeye atıldığını gösteren 11 yolu yayınladı:
- SMS tabanlı aracı saldırıları
- Tedarik zinciri saldırıları
- Tehlikeye atılan MFA kimlik doğrulama iş akışı atlama
- Çerez gönderme saldırıları
- Sunucu taraflı sahtecilikler
- Sosyal Mühendislik
- Çalınan Telefonlar
- SMS veya diğer kodların insan eliyle iletilmesi
- Basit SMS metni çoğaltma alma sistemi
- Çalınan rastgele sayı tohumları
- MFA yorgunluk saldırıları
USB belleklerin de etkinliğini tehlikeye atan ciddi sorunları var:
- Güvenli veya kullanışlı değil
- Kolayca hacklenebilir, kolayca çalınabilir, kolayca evde bırakılabilir
- Herhangi bir zamanda mülkiyetin kimde olduğundan emin olunmuyor
- Sahte olanlar toplu halde mevcuttur
- USB bağlantı noktaları, kötü amaçlı yazılım içeren sahte bellek çubuklarından hızlı veri hırsızlığına kadar 1 numaralı güvenlik tehdididir
- Açık USB portlarına izin verilmiyor birçok hükümet bilgisayarı veya en güvenli işletmeler için
- USB anahtarlarının çoğu USGOV kurumu tarafından kullanılmasına izin verilmez
Ve son olarak, her 20 saniyede bir değişen kodlar gibi token’larda bile ortada kötü niyetli bir aktörle bilmeden kod paylaşabilen ve paylaşacak bir insan bulunur.
SMS tabanlı kimlik doğrulama gibi eski MFA yöntemleri, kimlik avı saldırılarına karşı oldukça hassastır. Siber suçlular, kullanıcıları sahte web siteleri veya e-postalar aracılığıyla kimlik doğrulama kodlarını ifşa etmeleri için kolayca kandırabilirler. Kod elde edildikten sonra, saldırganlar kullanıcının hesabına erişebilir ve MFA sürecini etkisiz hale getirebilir.
SMS tabanlı MFA’nın bir diğer önemli zaafı SIM takasıdır. Bu tür saldırıda, bir siber suçlu bir mobil operatörü kurbanın telefon numarasını yeni bir SIM karta aktarmaya ikna eder. Aktarım tamamlandığında, saldırgan kimlik doğrulama kodları da dahil olmak üzere kurbana yönelik tüm SMS mesajlarını alır. Bu, MFA korumasını tamamen atlatır.
Bu bilinen yöntemlerden de anlaşılacağı üzere, bilgisayar korsanları, kullanıcıların artık kolayca geçilebilen eski MFA’ya sahip olduklarını bilerek hesaplara kolayca erişebiliyorlar.
Yeni nesil MFA Çözümlerinin Yükselişi
Geleneksel MFA’nın eksikliklerini gidermek için, sağlam güvenlik sağlamak amacıyla gelişmiş teknolojilerden ve bağlam farkında mekanizmalardan yararlanan modern MFA çözümleri ortaya çıkmıştır.
Parmak izi, yüz tanıma ve iris taramaları gibi biyometrik kimlik doğrulama, geleneksel yöntemlerden önemli ölçüde daha yüksek bir güvenlik seviyesi sunar. Biyometrik her bireye özgüdür ve kopyalanması zordur, bu da saldırganların atlatmasını çok daha zorlaştırır. Dahası, FIDO2 biyometrik cihazları insanı resmin dışında tutar; yani teslim edilecek bir kod veya tıklanacak ikinci bir uygulama yoktur.
Giyilebilir bir biyometrik kimlik doğrulayıcı, kullanıcının gerçek onaylı kullanıcı olduğunu garanti eder. Ve bir sosyal mühendislik saldırısı durumunda, kullanıcının sağlaması gereken bir kod olmazdı çünkü biyometrik bir cihazın ideal olarak kullanıcı okuması olmamalıdır. Kötü bir aktöre teslim edilecek hiçbir şey yoktur. Ve giyilebilir cihazlar kullanışlı ve kullanımı kolaydır.
Yapay zeka tarafından üretilen kimlik avı saldırıları ve MFA yorgunluğu saldırıları, yeni nesil MFA’yı engellemez ve yalnızca acil değişim ihtiyacını güçlendirir.
Yapay zeka tarafından üretilen deepfake’lerin yükselişiyle, Zoom veya Teams’de gördüğünüz ve duyduğunuz kişinin gerçek patronunuz olabileceği veya olmayabileceği bir dünyaya giriyoruz. Yeni nesil biyometrik MFA, görüşmedeki kişilerin söyledikleri kişi OLDUĞUNDAN emin olmak için standart bir sorun haline gelecek ve konuşmayı sürdürmek için kişinin parmak izine kilitlenmiş giyilebilir bir cihaz (örneğin) gerekecek. Görüntü ve ses kimliği garantilemek için yeterli olmayacağından.
Güzel Sanatlar Yüksek Lisansının Geleceği
MFA’nın geleceği, bu modern biyometrik çözümleri benimsemek ve eski, savunmasız yöntemlerden uzaklaşmak konusunda yatmaktadır. Kuruluşlar, gelişen tehditlere karşı dayanıklı MFA çözümleri uygulayarak siber güvenliğe proaktif bir yaklaşım benimsemelidir. Bu, yalnızca teknolojiyi yükseltmeyi değil, aynı zamanda kullanıcıları sağlam kimlik doğrulama uygulamalarının önemi konusunda eğitmeyi de içerir.
Yeni nesil MFA, “asla güvenme, her zaman doğrula” ilkesiyle çalışan Zero Trust güvenlik modelinin kritik bir bileşenidir. Zero Trust mimarisinde, tüm kullanıcılar, cihazlar ve uygulamalar için sürekli doğrulama gereklidir ve bu da yalnızca yetkili kuruluşların hassas kaynaklara erişebilmesini sağlar. Yeni nesil MFA’yı Zero Trust çerçevesine entegre ederek, kuruluşlar güvenlik duruşlarını önemli ölçüde iyileştirebilir.
Güvenlik en önemli unsur olsa da, kullanıcı deneyimi göz ardı edilmemelidir. Yeni nesil MFA çözümleri, sağlam güvenlik ve kullanıcı rahatlığı arasında bir denge sağlamalıdır. Biyometrik giyilebilir kimlik doğrulama, kullanıcı deneyiminden ödün vermeden yüksek güvenlik sağlayan bir teknoloji örneğidir. Bu teknolojiler gelişmeye devam ettikçe, daha sorunsuz ve kullanıcı dostu hale gelecektir.
Çözüm
Günümüzün karmaşık siber tehditleri karşısında eski MFA gerçekten DOA’dır. Her saat, eski MFA’yı hackleyerek büyük bir fidye yazılımı saldırısı gerçekleşiyor. Kötü niyetli kişiler bunu küçük (ve istismarı eğlenceli) bir engel olarak görüyor. Geleneksel MFA yöntemlerinde bulunan güvenlik açıkları, daha gelişmiş, dayanıklı kimlik doğrulama çözümlerine doğru bir geçişi gerekli kılıyor. Yeni nesil MFA teknolojilerini benimseyerek, kuruluşlar dijital varlıklarını daha iyi koruyabilir, kullanıcı güvenini koruyabilir ve siber suçluların önünde kalabilir. MFA’nın geleceği burada ve onu benimsemenin zamanı geldi.
Yazar Hakkında
Kevin Surace, ihlallerin, veri kaybının ve fidye yazılımlarının önlenmesi gereken kuruluşlar için sosyal mühendislik, kötü amaçlı yazılım ve kurcalamaya karşı dayanıklı yeni nesil çok faktörlü kimlik doğrulamayı sunan Token’ın Başkanıdır. İşletmeleri devrim niteliğinde değiştirmek ve inovasyonu yönlendirmek için yapay zekanın gücüne tutkuyla bağlıdır. Milyar dolarlık girişimler kurmada başarılı bir geçmişe sahip olan Kevin, şirketlerin yapay zeka odaklı dönüşümün dinamik manzarasında gezinmesine yardımcı olmak için bir konuşmacı, danışman ve düşünce lideri olarak uzmanlığını kullanmıştır. Kevin’a LinkedIn veya X üzerinden ve şirket web sitemiz https://www.tokenring.com/ adresinden çevrimiçi olarak ulaşılabilir.