Yalnızca parola içeren kimlik bilgilerinin kişiler ve kuruluşlar için en yüksek siber riski oluşturduğu iyi bilinen ve istatistiksel olarak kanıtlanmış bir gerçektir. Parolalar, sosyal mühendislik ve kimlik avı gibi çok çeşitli saldırılarla kolayca ele geçirilir ve genellikle çevrimiçi olarak paketlenir ve satılır.
Pandemi sırasında ve sonrasında uzaktan çalışmanın yaygın olarak benimsenmesiyle, daha sıkı güvenlik ihtiyacı, kuruluşların nihayet çok faktörlü kimlik doğrulama (MFA) çözümlerini benimsemesi için bir dönüm noktası oluşturdu. MFA onlarca yıldır var ve pazarda her sektöre ve kuruluşa uygun çok sayıda seçenek var. Ancak MFA, doğası gereği yalnızca parola içeren kimlik bilgilerinden daha güvenli olsa da, tüm MFA çözümleri eşit yaratılmamıştır ve saldırganların bunları atlatmasını önlemek için her birinin uygun şekilde yapılandırılması ve yönetilmesi gerekir.
MFA’nın öncülü, kimlik doğrulama için “birden fazla faktör” gerektirerek – bildiğiniz bir şeyin, sahip olduğunuz bir şeyin, olduğunuz bir şeyin ve yaptığınız bir şeyin birleşimi – bir saldırganın işini, örneğin yalnızca çalınan bir parolayla çok daha fazla hale getirmesidir. Daha güçlü. Ne yazık ki, MFA iki zayıf faktöre dayandığında — örneğin bir parola (bildiğiniz ve kolayca hatırlayabileceğiniz bir şey) ve bir mobil anında iletme bildirimi (bir mobil kimlik doğrulayıcı uygulaması gibi sahip olduğunuz bir şeye teslim edilir) — yine de güvenliği ihlal edilebilir. Örneğin, kötü niyetli bir oyuncu, bir parola elde etmek için bir sözlük saldırısı kullanabilir ve ardından, MFA kullanarak bir doğrulama adımıyla karşılaştığında, kullanıcıyı tekrarlanan istekleri onaylaması için bombalamak ve kandırmak için anlık bildirim kimlik avı kullanabilir. Bu tekniğe genellikle MFA yorgunluğu denir ve yakın zamanda bir genç tarafından Uber’e başarılı bir saldırı gerçekleştirmek için kullanılmıştır.
Kimlik Avına Dayanıklı MFA
İyi haber şu ki, parolasız kimlik doğrulama desteği içeren Fast Identity Online (FIDO 2.0) belirtim grubuna göre standartlara dayalı kimlik avına dayanıklı MFA çözümleri var. Ayrıca, Secure Technology Alliance’ın çabalarına dayanan akıllı kart standartları ve özellikleri gibi donanım tabanlı seçenekler de vardır.
Birçok MFA çözümü, “sizin bir şeysiniz” kimlik doğrulama faktörü için biyometri kullanır. Biyometrinin güzelliği, aşağıdaki temel özelliklere sahip olmalarıdır:
- Evrensel: Bir sistemi veya uygulamayı kullanan herkesin o özelliğe (örn. yüz, parmak, ses) sahip olması beklenebilir.
- Eşsiz: Her insan, özelliğin benzersiz, farklı ve ayırt edilebilir yönlerine sahiptir (örneğin, yüz özellikleri, parmak izi çıkıntıları ve çukurları, ses tonu ve tonlama)
- Kalıcı: Özellik, eşleştirmeyi gerçekleştirmek için makul ölçüde kararlı, kalıcı ve değişmezdir.
- koleksiyonluk: Özellik seti, yakalama sırasında kolaylıkla elde edilebilir, ölçülebilir ve işlenebilir
- Savunulabilir: Özellik kötüye kullanım, yanlış kullanım, hırsızlık, taklit ve ikameye karşı savunulabilir
- Performans: Bu özellik, eşleştirme ve canlılık tespiti ile birleştirildiğinde doğruluk, hız, ölçek ve kullanım kolaylığı ile çalışır.
- kabul edilebilir: Kişisel özelliklerini kullanması beklenen nüfus, istekli benimseyenler ve kaydolanlar
Deepfake Sorunu
Biyometriye yönelik eleştirileri (önyargı, toplama, kötüye kullanım, gizlilik ve gözetleme) bir kenara bırakırsak, tehdit aktörleri artık onları aşmak için derin sahtekarlık ve sahtekarlık gibi sunum saldırısı türlerini kullanıyor. Kulağa bir film senaryosundan fırlamış gibi gelse de, son yıllarda finans kurumları ve bankalar yeni hesap oluşturma, kredi başvuruları, ödemeler ve işlem anlaşmazlıkları sırasında benzeri görülmemiş bir dolandırıcılıkla karşılaştı. Bu ve diğer yüksek düzeyde düzenlemeye tabi sektörlerin, “elektronik müşterinizi tanıyın” (eKYC) olarak adlandırılan kimlik doğrulama ve doğrulama işlemlerini gerçekleştirmesi yasal olarak zorunludur. Ne yazık ki, birçok yasal başvuru sahibi karmaşıklığı nedeniyle kanıtlama ve doğrulama sürecini tamamlamakta başarısız olmakla kalmıyor, aynı zamanda kötü aktörler gerçek insanları taklit ediyor ve sentetik verileri kullanarak sahte belgelerde ve biyometrik kayıt sırasında kimliklerini “gizlemeye” çalışıyor.
Neyse ki, derin sahtekarlıklar ve sahtekarlık, kötü aktörler tarafından tespit edilemeyen tekniklerle (pasif canlılık tespiti gibi) engellenebilir. Yalnızca tedarikçi firma çözümlerini doğrulamakla kalmayan, aynı zamanda etkin bir şekilde dağıtıldığından emin olmak için çözümün uygulanmasını da doğrulayacak olan birkaç üçüncü taraf test etme ve sertifikalandırma laboratuvarı vardır. Ve daha geçen ay, yüz, parmak izi, iris dahil olmak üzere bir dizi biyometrik modalite için sunum saldırısı algılama (PAD) yöntemlerinin daha geniş kapsamıyla güncellenen “Biyometrik Kimlik Sahtekarlığına Karşı El Kitabı”nın üçüncü baskısı yayınlandı. ses, damar ve imza tanıma.
MFA’nın kuruluşlara parolalar üzerinden koruma konusunda önemli bir yükseltme sağladığına şüphe yok. Bununla birlikte, çoğu siber güvenlik teknolojisi gibi, MFA da saldırganlar ve savunucular arasındaki sürekli çekişmeden etkilenmez. Kuruluşların en son tehditlere kurban gitmemek için hangi çözümü seçtiklerini ve nasıl uyguladıklarını dikkatlice düşünmeleri gerekir.