SecureAuth’a göre, kullanıcı kimlik bilgileri siber saldırılar için en önemli vektör olmaya devam ederken, kuruluşlar mevcut kimlik doğrulama girişimlerinin etkinliğini yeniden düşünmek için büyük bir baskı altında.
Ek olarak, siber sigorta taşıyıcıları, şirketlerin herhangi bir siber sigorta kapsamı sağlamadan veya daha yüksek primler ödemeden önce kimlik doğrulama üzerinde güçlü kontroller göstermelerini şart koşuyor.
Katılımcılar geleneksel MFA’nın hiç olmamasından daha iyi olduğu konusunda hemfikir olsalar da, en çok siber saldırılara karşı duyarlılığı (%54) ve kullanıcılar için yarattığı sürtüşme (%30) ile ilgileniyorlar.
MFA kimlik doğrulama etkinliği
BT ve güvenlik uzmanları, geleneksel MFA’nın güvenlik riskleri konusunda endişeli; %55’i, metin mesajları ve telefon görüşmeleri kullanarak tek seferlik parolalara (OTP) güvenmenin onları siber saldırılara açık bıraktığını bildiriyor.
Yanıt verenlerin yalnızca %5’i, geleneksel MFA’nın kimlik bilgileriyle ilgili siber saldırılarla mücadele edebileceğinden çok eminken, %40’ı biraz emin. Ek bir %21’lik kesim, geleneksel MFA’nın, kullanıcı benimseme oranları çok düşük olduğundan, bilgisayar korsanlarını etkili bir şekilde caydırıcı olarak kullanılamayacağını düşünüyor.
Ve ankete katılanların yarısından fazlası, geleneksel MFA ile devam etmeleri halinde kuruluşlarının siber sigorta kapsamını kaybedeceğinden emin değil veya endişeli.
Parolasız bir ortama geçiş
Parolasız bir ortama geçmeyle ilgili soru üzerine, %65 gibi büyük bir oran, önümüzdeki 24 ay içinde parolasız teknolojileri uygulamayı planlıyor. Yaklaşık üçte biri bunu önümüzdeki altı ay içinde yapmayı planlıyor ve diğer üçte biri de 12-24 aylık ufka bakıyor.
FIDO Alliance İcra Direktörü ve CMO’su Andrew Shikiar, “FIDO Alliance’ın 2022 Çevrimiçi Kimlik Doğrulama Barometresi raporunda, parola kullanımının azaldığını bulduk, ancak yine de insanların %70’inin belirli bir ayda en az bir kez bir parolayı kurtarması gerekiyordu,” dedi.
“Şirketler, eski MFA çözümleri gibi kimlik doğrulama için daha fazla yol sunsa da, bu teknolojiler hala ‘MFA bombalama’, ‘ortadaki adam’ ve diğer saldırılarla kolayca kullanılabilir. SecureAuth’un Kimlik Doğrulama Durumu Raporu, kuruluşların eski MFA biçimlerinin ötesine ve şifresiz teknolojilere geçme zamanının geldiğini daha da doğruluyor,” diye ekledi Shikiar.
Kimlik doğrulama öncelikleri
Kimlik doğrulama güvenliği en önemli önceliktir
Yanıt verenlerin %84’ü, kimlik doğrulama ve erişim yönetimini ilk 5 güvenlik önceliği olarak görüyor.
Alt satır: Bu sonuçlar, son derece kalabalık bir pazar ve tehdit ortamında BT ve güvenlik ekipleri için kimlik doğrulama ve erişim yönetiminin önemini göstermektedir.
Çoklu Kimlik Sağlayıcılar (IdP’ler) yaygındır
Yanıt verenlerin %76’sı birden çok IdP kullanıyor; bu, siber güvenlik araçlarının olağan konsolidasyonunun aksine şaşırtıcı bir eğilim. Yanıt verenler, yüksek kullanılabilirlik / yük devretme, benzersiz kullanım durumu gereksinimleri ve tercih edilen türünün en iyisi yaklaşım nedenlerinin altını çizdi.
Alt satır: Siber saldırıların %80’inden fazlası kimlik bilgilerine odaklandığından, uygulayıcıların birincil IdP ürünlerinin çökmesi veya bir saldırı nedeniyle güvenliğinin bozulması ihtimaline karşı bir yedekleme sistemine sahip olmaları gerekir.
Cihaz güveni ne yazık ki yeterince kullanılmıyor
Katılımcıların %25’ine göre cihaz güveni hiç kullanılmıyor. Yanıt verenlerin %50’den azı bunu mobil güvenlik için kullanırken yalnızca %25’i Mac iş istasyonlarını korumak için kullanıyor.
Alt satır: Kuruluşlar, her kullanıcının dijital yolculuğunun başlangıcı olarak cihaz güvenini kullanmayarak güvenlik duruşlarını iyileştirmenin basit ama etkili bir yolunu kaçırıyorlar.
SecureAuth CEO’su Paul Trulove, “Birçok kuruluş, müşteri ve çalışan hesaplarını ve kimlik bilgilerini kötü niyetli faaliyetlerden koruma konusunda istikrarlı bir ilerleme kaydediyor” dedi.
“Ancak, bu ankete göre, eski MFA’ya bağlı olan geleneksel kimlik doğrulama yaklaşımlarının rakip gelişmelere ayak uyduramadığı ve kimlik bilgilerinin siber saldırılardan korunmasını sağlamak için daha fazlasının yapılması gerektiği açıktır. Çok büyük sayıda kuruluşun önümüzdeki iki yıl içinde parolasız kimlik doğrulama teknolojisini uygulamayı planladığını görmek güven verici. Ancak şifresiz yeterli değildir. Kuruluşların gerçekten güvenli olması ve kullanıcılara sorunsuz bir deneyim sunması için, bir kullanıcının ön kimlik doğrulamadan yetkilendirme sonrasına kadar tüm dijital yolculuğunu yöneten sürekli kimlik doğrulamaya doğru ilerlemesi gerekiyor.”