One Identity’de AD Güvenlik ve Yönetim Ekibi Lideri Dan Conrad tarafından
Kimlik doğrulama, şu anda siber güvenlikteki en sıcak konulardan biridir. Biyometri, MFA ve bir dizi başka kimlik doğrulama yöntemi parolanın üstünlüğünü tehdit etmeye devam ederken, sektör profesyonellerinin tüm bunlar hakkında ne düşündüğünü keşfetmeye değer olduğunu düşündük.
Biz de öyle yaptık. InfoSecurity Europe 2022’de One Identity, işletmelerin ve çalışanlarının parolalara ve kimlik doğrulamaya nasıl yaklaştıklarının bir resmini elde etmek için 100’den fazla güvenlik ve BT uzmanıyla anket yaptı.
İşletmeleri için en büyük güvenlik tehdidini ne düşündükleri sorulduğunda ve Ankete katılanların yüzde 56’sı, yönetici görevleri için şifreleri paylaşan kullanıcılar olduğuna inandıklarını söyledi. Bu, parolasız kimlik doğrulama için bir argüman değilse, ne olduğundan emin değiliz. Bunu takip etti Katılımcıların yüzde 25’i, en büyük güvenlik tehdidinin, kötü niyetli bağlantılara tıklamak veya hileli ekleri açan kullanıcılar olduğuna inanıyor. Toplu olarak bu, ankete katılanların yüzde 80’inin insan hatasının bir kuruluşun güvenliğine yönelik en büyük tehdidi oluşturduğuna inandığı anlamına geliyor.
İlginçtir ki, çoğunluk (yüzde 62) hızla büyüyen bir segment olan siber saldırıların önlenmesinde en önemli faktör olarak personel eğitimini gördü (Yüzde 30) sıfır güven modelini benimsemenin daha önemli olduğunu belirtti.
Çok faktörlü kimlik doğrulamaya geçerken, bazı yüreklendirici istatistiklerle karşılaşıyoruz. Ankete katılanların yüzde 99’u, şirketlerinin uzaktan erişim için MFA’yı benimsediğini ve yüzde 97’sinin zorunlu olduğunu söyledi. Bu, zaten bildiğimiz şeyi, yani bağımsız bir kimlik doğrulama yöntemi olarak parolanın artık kullanılmadığını doğrular.
Kullanıcıların şifrelerle olan bağlantılarına baktığımızda bazı ilginç sonuçlar görüyoruz. Ankete katılanların dörtte birinden biraz fazlasının bir parolayla duygusal bir bağı olsa da (yüzde 28), çoğunluk favori bir şifreleri olduğunu söyledi (yüzde 84). Bundan, çoğu insan parolaları duygusal nedenlerle yeniden kullanmasa da, muhtemelen pratik nedenlerle kullandıklarını çıkarabiliriz. Parolaları yeniden kullanmanın tehlikelerinin herkesten daha fazla farkında olan BT ve güvenlik uzmanlarının bu kötü alışkanlıkta ısrar etmesi endişe verici.
Bu, geleneksel şifrelerin kullanımına karşı bir başka işarettir – eğer bilenler en iyi uygulamaları takip etmiyorsa, sıradan bir kişinin bunu yapmasını nasıl bekleyebiliriz? Gerçek şu ki, modern kullanıcıların o kadar çok hesabı var ki, kurdukları herkes için yeni bir şifre oluşturmak ve hatırlamak artık pratik değil. Bunu, bu sorunları ortadan kaldıran modern kimlik doğrulama yöntemlerini destekleyen başka bir nokta olarak ele alacağız.
Kullanıcıların parolaları yeniden kullandığı açık olsa da, yanıt verenlerin çoğunun bir sistemin önemine bağlı olarak en azından parolalarına karmaşıklık ekledikleri (yüzde 96) ortaya çıktı. Belki de şaşırtıcı olmayan bir şekilde, yüzde 76’sı bankacılık veya finansal hizmetlerin üst düzey bir parola gerektirdiğini gördü, ancak yalnızca yüzde 7’si iş e-postalarının aynı korumayı hak ettiğini düşündü. Bu anlaşılabilir bir bakış açısı olabilir, ancak hassas bilgileri düzenli olarak e-posta yoluyla paylaşan kuruluşlar için iyiye işaret değildir.
Son olarak, BT ve güvenlik uzmanlarının parolalarını nasıl sakladığını belirliyoruz. Burada, en azından, biraz daha yüreklendirici istatistikler elde ediyoruz:
- Ankete katılanların yüzde 65’i, genellikle şifreleri saklamanın en güvenli ve en uygun yolu olarak kabul edilen şifre yöneticilerini kullandıklarını söyledi.
- Yüzde 23’ü oturum açma ayrıntılarını bir yere yazdıklarını söyledi, bu ideal olmasa da birden fazla hesapta tek bir parola kullanmaktan daha güvenli
Görünüşe göre, tüm giriş ayrıntılarını hatırlayabildiklerini iddia eden bazı siber bilginlerle karşılaştık, ancak bu, endişe verici sayıda hesap için şifreleri yeniden kullandıklarını gösteriyor.
Buradaki anahtar paket, şifrenin yolda olmasıdır. Bu sonuçlar, geleneksel parolaların artık kendi başlarına amaca uygun olmadığının bir başka kanıtı olarak hizmet ediyor – BT güvenlik alanındaki liderler bile, uygun olmadığı için en iyi uygulamaları takip etmekte başarısız oluyor. İşletmelerin toplu olarak alternatif kimlik doğrulama yöntemleri uyguladığını ve zorunlu tuttuğunu gördük ve bu eğilimin toplumun geri kalanına yansıması çok uzun sürmeyecek.