Çoğu siber güvenlik uzmanı ve siber sigorta sektörü herkese MFA almasını söylüyor. Birçok siber güvenlik uzmanı, bir kişinin veya kuruluşun siber güvenlik riskini en iyi şekilde azaltmak için yapabileceği en iyi şeyin MFA kullanmak olduğunu söylüyor. Ulusal olarak tanınan bazı uzmanlar ve en büyük güvenilir siber kuruluşlar, MFA’nın tüm bilgisayar korsanlığının %99’unu önlediğini söyleyecek kadar ileri gitti! Kulağa beyinsiz gibi geliyor.
Benim acı tahminim, siber güvenlik endüstrisinin siber güvenlik saldırılarını azaltmanın en iyi yolu olarak MFA’yı kullanmaya devam edeceği ve ardından bu yıl MFA kullanan kişi ve kuruluşların hala çok fazla saldırıya uğradığını öğreneceği yönünde. Bir yıl içinde insanlar, herhangi bir MFA kullanmanın, lanse edildiği gibi her derde deva bir çözüm olmadığını öğrenecekler. Gerçek aşikar hale geldikçe bilgisayar korsanlığı neredeyse hız kesmeden devam edecek ve kayıplar artmaya devam edecek.
MFA iyidir ve herkes onu değerli verileri ve sistemleri korumak için mümkün olan her yerde kullanmalıdır.
Ne yazık ki, sigorta sektörü ve müşterileri HERHANGİ BİR MFA kullanmanın riski azaltmada düşündükleri kadar yardımcı olmayacağını öğrenecekler. Ne yazık ki, MFA’nın yaklaşık %90 ila %95’i, değiştirmeyi amaçladıkları şifreler kadar kolayca kırılabilir. Evet, doğru okudun. Bilgisayar korsanları onlarca yıldır MFA’nın çoğunu atlıyor ve ABD hükümeti en azından 2017’den beri insanlara kolayca kimlik avı yapılabilen MFA kullanmamalarını söylüyor. Tüketiciler ve sigorta sektörü bunun nedenini öğrenmek üzere.
Telefon numaralarına bağlı MFA (SMS tabanlı ve ses tabanlı MFA gibi), “tek seferlik” kodlar kullanır veya kolayca kimlik avı yapılabilen “push tabanlı” teknolojiler kullanır. Bu, bir saldırganın bu tür MFA’lara karşı parolalara karşı olduğu kadar iyi çalışan basit bir sosyal mühendislik saldırısı kullanabileceği anlamına gelir. Bilgisayar korsanlarının MFA kullanıcılarına kimlik avı yapmak için kullandıkları çeşitli teknikler hakkında bilgi edinmek istiyorsanız, daha fazla ayrıntı için şu makaleye bakın: https://www.linkedin.com/pulse/dont-use-easily-phishable-mfa-thats-most – Roger Grimes.
Kolayca kimlik avı yapılabilen MFA’yı hacklemek, siber güvenlikte iyi bilinir. Teorik bir risk değildir. Zayıf MFA, on yılda milyonlarca kez saldırıya uğradı. Öyle ki ABD hükümeti, 2017’de NIST SP 800-63’te kullanmamasını söyledi. 2021’de Cumhurbaşkanlığı kararnamesi (EO 14028), “…sistemler, telefon numaralarını SMS veya sesli aramalar için kaydeden protokoller gibi kimlik avına direnemeyen kimlik doğrulama yöntemleri için desteği sonlandırmalıdır. -zaman kodları veya push bildirimleri alın. Bu hemen hemen bugün kullanılan MFA’nın %90 ila %95’ini tanımlar. 2022’de OMB, “… kimlik avına dayanıklı MFA’nın gerekli olduğunu” belirtti. Bu direktifler yalnızca ABD hükümetinin yetkisi altındaki kuruluşlar için geçerli olsa da, dünya çapındaki her kuruluş ve kişi için geçerli olmalıdır. Riskler aynı.
Açık olmak gerekirse, tüketiciler mümkün olduğunca kimlik avına dayanıklı MFA kullanmalıdır. Ancak her iki durumda da, birinin kullandığı MFA çözümünün kolayca kimlik avına açık veya kimlik avına dayanıklı olup olmadığına bakılmaksızın, tüm MFA kullanıcıları, kendi MFA türlerine yönelik yaygın saldırı türleri ve bu saldırıları nasıl tanıyacakları, önleyecekleri ve bildirecekleri konusunda eğitilmelidir. . İnsanlara bazı temel eğitimler olmadan şifre kullanmalarını söylemiyoruz. MFA için de aynısını yapmamız gerekiyor.
Ve birine MFA kullanması gerektiğini söylüyorsanız, herhangi bir MFA değil, PHISHING-RESISTANT MFA dediğinizden emin olun. Dünyalar kadar fark var. Bu yıl fazlasıyla netleşecek bir fark. Hangi tür MFA’ların kimlik avına dayanıklı olduğuyla ilgileniyorsanız, sürekli güncellenen bir liste: https://www.linkedin.com/pulse/my-list-good-strong-mfa-roger-grimes.