Bu Help Net Security röportajında, ForgeRock CTO’su Eve Maler, dijital kimliklerin çevrimiçi hizmetlere güvenli bir şekilde erişme şeklimizde nasıl kritik bir rol oynamaya devam ettiğini anlatıyor. Maler ayrıca, merkezi olmayan dijital kimliklerin uygulanmasında çeşitli endüstrilerin karşılaştığı zorlukların altını çiziyor.
Merkezi olmayan dijital kimlik sistemleri hangi zorluklarla karşı karşıyadır ve bunların üstesinden nasıl gelinebilir?
Merkezi olmayan kimlik, gelişmekte olan bir alandır ve merkezi olmayan dijital kimliklerin çeşitli endüstrilerde ilgi görmeye başladığı heyecan verici bir zamandayız. Merkezi olmayan dijital kimlik sistemlerinin karşılaştığı en büyük zorluk, sistem karmaşıklığına yol açtığı ve hem hizmet sağlayıcıların hem de özel kimlik sağlayıcıların iç işleyişinde ve değişen kullanıcı deneyimlerinde değişiklikler gerektirdiği için benimsemedir.
Ayrıca, bir kuruluşun kişisel verilerle olan ilişkisini ve bu verileri inceleme becerisini yeniden düşünmeyi gerektirir. Hem kuruluşlar hem de son kullanıcılar, yine de anlamlı kişisel veri kontrolü sunan anlayışlı ve kişiselleştirilmiş hizmetler oluşturmanın yeni yollarını yeniden belirlediklerinde daha fazla benimseme görmeyi bekleyebiliriz.
Merkezi olmayan dijital kimlik sistemlerinin gerçek dünya senaryolarında başarılı bir şekilde uygulanmasına ilişkin örnekler verebilir misiniz?
Gerçek dünyada birkaç kullanım durumu görmeye başlıyoruz. Merkezi olmayan dijital kimlik sistemlerinin uygulanmasının en güçlü örneklerinden biri, bağlam açısından ABD’deki mobil sürücü belgesi (mDL) hareketidir; gizliliğe duyarlı bir şekilde gerçek zamanlı olarak sorgulanacak.
Fiziksel bir sürücü ehliyeti oluşturmak için kullanılan ve elektronik bir okuyucu tarafından okunabilen aynı veri öğelerinden oluşur. MDL hareketinin hız kazanmasının nedenlerinden biri, etkileşimlerinin, farklı ABD eyaletlerinde bile sistemler arasında birlikte çalışabilirliği destekleyen, amaca yönelik oluşturulmuş bir dizi standart tarafından tanımlanmasıdır.
AB’de, insanların sınır ötesi hareketi gibi girişimler için dijital kimlik cüzdanlarına yönelik kapsamlı planlamada ilerleme görüyoruz. İnsanların dijital cüzdan işlevi görmesi için etkinleştirilen mobil uygulamaları, bu bağlamlarla ilgili kişisel bilgileri sağlayabilecekleri şekilde kullanabilecekleri daha hedefli kullanım durumları da vardır – örneğin bir sağlık veya perakende organizasyonunda.
Bugüne kadarki dağıtımlar çok büyük değil, ancak önemli dikeylerde hız ve doğruluk sağlamaya yardımcı oluyorlar. Önümüzdeki yıllarda bu kullanım durumlarından daha fazlasının ortaya çıktığını göreceğiz.
Yapay zeka, makine öğrenimi ve blok zincir gibi gelişmekte olan teknolojiler, merkezi olmayan dijital kimlikleri nasıl mümkün kılar?
Blockchain ile başlayalım. Merkezi olmayan kimliğe yol açan araştırmanın orijinal adı “blok zinciri kimliği” olarak biliniyordu. Blok zinciri veya dağıtılmış defter, kesinlikle gerekli olmasa da, hizmetlerin bir kullanıcının dijital cüzdanından paylaşmayı seçtiği “doğrulanabilir kimlik bilgileri” kullanmasına yardımcı olan önemli bir teknolojidir. Bu kimlik bilgileri, her biri yetkili bir kaynak tarafından verilen – verilen – cüzdana yerleştirilen güvenli veri paketleridir.
Örneğin, Motorlu Taşıtlar Departmanı (DMV), araç kullanma ehliyetiniz olduğunu belirten bir kimlik belgesi veren kuruluş olabilir. Kimlik bilgisi bir blok zincirinde saklanmaz, ancak doğrulama hizmeti, verenin kimliğini doğrulamak için tipik olarak bir blok zincirinde depolanan “doğrulanabilir bir veri kaydına” atıfta bulunabilir. Öyleyse bir blok zincirine giden şey, yalnızca onu kimin yayınladığına dair bilgidir. Blok zinciri, kimin ne tür kimlik bilgileri verdiğinin halka açık bir kaydı olarak hizmet eder.
Cüzdan teknolojileri ortaya çıkmaya devam ederken, yapay zeka (AI) ve makine öğrenimi (ML) akıllı kimlik doğrulamada kritik bir rol oynayacaktır. Dijital cüzdan, kullanıcıların kim olduğunu bilir ve kullanıcılar, Face ID gibi cihaz üzerindeki biyometri ile bir dijital cüzdanın kilidini açabilir. Bu, sihirli bağlantıları geliştirerek inanılmaz parolasız deneyimleri destekleyebilir.
Bununla birlikte, bu cüzdan teknolojisinin güvenliği ve doğru kişinin onu kullandığından emin olunması – cüzdandan kullanıcıya bağlantı – o zaman gerçekten önemli hale gelir. Sonuçta, bir telefonun kilidi açıldıktan sonra başkaları tarafından kullanılabilir ve kilit açma yöntemi bu olduğunda birden fazla kişinin parmak izini kaydetmek mümkündür. AI, “yanlış kullanıcının” farklı davrandıkları için bir cüzdan kullandığını sessizce tespit etmede yararlı olabilir. Parolasız herhangi bir kimlik doğrulama yöntemi, bu şekilde ek yapay zeka denetimi katmanlarından yararlanır. Yapay zeka, ne kadar dijitalleşirsek çok önemli bir rol oynayacaktır. Kullanıcı için külfetli olmayan bir şekilde daha ayrıntılı kimlik doğrulama sağlar.
Merkezi olmayan dijital kimliklerin geleneksel kimlik doğrulama ve kimlik doğrulama sistemlerini nasıl dönüştüreceğini düşünüyorsunuz?
Bir son kullanıcı, yetkili bir düzenleyici tarafından önceden kontrol edilen ve daha sonra cüzdanlarında güvenli bir şekilde saklanan hizmet verileri sunabilirse, genellikle bir hizmete kaydolmaya çalışırken geçirdikleri tüm kimlik doğrulama süreci bu deneyimden ayrılabilir.
İnsanlar bir gün ehliyet alabilecek ve ertesi gün, hafta veya yıl, ikna edici bir şekilde bir hizmet sağlayıcıya yeterince yaşlı olduklarının kanıtlandığını veya ehliyetleri olduğunu söyleyebilecekler. ya da neyiniz var? Bahsedildiği gibi, kullanıcılar cüzdanlarının kilidini açarak ve onlar hakkında bilinmesi gerekenleri paylaşarak tamamen şifresiz bir şekilde kimlik doğrulaması yapabilirler.
Bu şekilde, merkezi olmayan yaklaşım kaliteyi güçlendirebilir ve parolasız kimlik doğrulama deneyimini bugün zaten mümkün olanın ötesinde geliştirerek taviz vermek zorunda kalmamamızı sağlayabilir. Biyometrik cihaz kilidinin açılmasına güvenmek, gizliliği iyileştirmek için de özellikle güçlüdür. Geleneksel parolalar çok zayıf, modası geçmiş ve etkisizdir; cüzdan tabanlı kimlik bilgileri, kullanıcıların bir daha asla oturum açmak zorunda kalmayacakları, hatta bir hesap için kaydolmak zorunda kalmayacakları bir dünyaya bir adım daha yaklaşmalarına yardımcı olabilir.
Hem güvenli hem de kullanıcı dostu merkezi olmayan bir dijital kimlik sistemi tasarlarken dikkate alınması gereken temel faktörler nelerdir?
Merkezi olmayan kimliğin başarılı olması için güvenli ve kullanıcı dostu bir deneyim çok önemlidir. İlk tavsiyem, bilgi isterken deneyimin sorunsuz ve saygılı olmasını sağlamaktır.
Kuruluşlar, kimlik bilgileri aracılığıyla ellerinde daha büyük miktarda doğrulanabilir gerçek veriye sahip olduklarında, bunların BT altyapılarına doğru bir şekilde yerleştirildiğinden emin olmaları gerekir. İkinci tavsiyem, bu verilerin kullanılması ve güvenliğinin sağlanması için birleşik bir yaklaşım ve doğru veri akışlarını ve kullanıcı yolculuklarını sağlamak üzere düzenlemeyi sağlamak için olgun kimlik ve erişim yönetimi (IAM) sistemlerini kullanmaktır.
Üçüncüsü, merkezi olmayan kimlik sistemlerinin güvenlik ve mahremiyetle ilgili bölümlerinin sağlam bir şekilde uygulanmasını sağlayın, böylece bugün merkezi olmayan kimlik tarafından verilen sözler gerçekleşebilir. Merkezi olmayan kimlik ve cüzdanlar için standartlar, cüzdan sahibinin veri kullanım izinlerini iptal etmesine izin vermenin bir yolunu tanımlar. Bu durumda kuruluşların doğru şeyi yapması ve iptal olursa hazırlıklı olması önemlidir.
Son olarak, dijital cüzdan ortamı şu anda çok gürültülü ve karmaşık, bu nedenle kimlik cüzdanlarıyla etkileşim konusunda esnek olmak önemlidir. Büyük dijital cüzdan oyuncularının yanı sıra daha niş özel sağlayıcıların, veren ve doğrulayıcı rollerindeki hizmetlerle mümkün olduğunca sorunsuz bir şekilde birlikte çalışmasını sağlamak için standartlar burada devreye giriyor.
GDPR ve CCPA gibi veri gizliliği düzenlemelerinin artmasıyla, merkezi olmayan dijital kimlik sistemleri bu yasalara uyumu nasıl sağlıyor?
Uyumlu olmanın mutlaka güvenlik veya gizliliği garanti etmediğini not etmek önemlidir. Bununla birlikte, merkezi olmayan dijital kimlik sistemlerinin ardındaki temel fikir, hizmetin kişisel verilere maruz kalmasını en aza indirerek uyumsuzluk olasılığını ortadan kaldırmaktır. Bunun doğru olup olmadığını henüz bilmiyoruz; Her şeyin nasıl yürüdüğünü görmek için büyük ölçekli üretim dağıtımlarından elde edilen deneyime ihtiyaç duyulacaktır.
Merkezi olmayan dijital kimliklerin yaygın olarak benimsenmesiyle ilişkili bazı potansiyel riskler nelerdir ve bunlar nasıl hafifletilebilir?
Standartların ve akışların yanlış – veya kötü niyetli – uygulanması bir risktir. Bu hizmetlerden bazıları kimlik bilgileri biçiminde kişisel verileri istiyorsa, bunları uzun süre tutuyorsa ve iptal talimatlarına uymuyorsa ne olacak? Bu, öncekinden çok daha fazla havuzda yüksek kaliteli verilerin çok daha fazla kopyasını oluşturabilir.
İşler yolunda giderse, fikir insanların kişisel verilerinin ayak izini en aza indirmektir. İşler ters giderse, maksimize edebiliriz. Dijital kimlik cüzdanları, kimlik bilgilerini merkezileştirmeye, yani bu verileri kelimenin tam anlamıyla bireylerin cüzdanları biçiminde “kenara” koymaya çalışır. Bir noktada, işlerini yapabilmeleri için bu verilerin işletmelerin merkezine girmesi gerekiyor. Bu noktada verilere ne olduğu, gerçek risktir.