Müşteri kimliği, kurumsal güvenlik yığınının en kırılgan parçalarından biri haline geldi. Ekipler kimlik doğrulamanın önemli olduğunu biliyor ancak kuruluşlar, kullanıcıları sinirlendiren ve riski artıran yöntemler kullanmaya devam ediyor. Descope’un yeni araştırması, şirketlerin müşteri kimliğini ve arka planda oluşan sorunları nasıl yönettiğini gösteriyor.
İnanç ve uygulama arasında giderek büyüyen bir uçurum
Bulgular, güvenlik liderlerinin değer verdiklerini söyledikleri şeyler ile kullandıkları şeyler arasında bir uyumsuzluk olduğunu gösteriyor. Kuruluşlar, kimlik doğrulamanın işletmeleri için önemli olduğu konusunda hemfikirdir. Büyük bir pay ayrıca daha güçlü yöntemlerin müşteri deneyimini iyileştirdiğine inanıyor. Buna rağmen kuruluşların %87’si hâlâ şifrelere veya diğer yüksek sürtünmeli yaklaşımlara güveniyor. Yalnızca küçük bir kesim bu yöntemlerin kullanıcı deneyimi veya güvenlik açısından işe yaradığına inanıyor.
Şirketler dolandırıcılık, tekrarlanan hesap kurtarma döngüleri ve güncelliğini kaybetmiş sistemlere bağlı mühendislik maliyetleriyle uğraşmaya devam ediyor. Ekipler sorunu anlasa da, sınırlı kaynaklar, rekabet eden öncelikler ve yeni özelliklerin sunulmasına devam etme baskısı, kimlik çalışmasını bir kenara itiyor.
Herkes sevmese de şifreler hakimdir
Kuruluşlar şifrelerin güvenliğe ve müşteri deneyimine zarar verdiğini biliyor. Buna rağmen çoğu, göçlerin maliyetli veya yıkıcı olması nedeniyle onlara bağlı kalıyor. Katılımcıların yalnızca çok küçük bir yüzdesi şifrelerin en etkili seçenek olduğuna inanıyor ancak üçte ikiden fazlası şifreleri hâlâ birincil yöntem olarak kullanıyor.
Çoğu kuruluş, MFA’yı kendi ortamlarında bir yerde kullandığını iddia eder, ancak çok azı bunu müşteriye yönelik tüm uygulamalarda uygular. Bu eşitsiz kapsam, şirketleri öngörülebilir dolandırıcılığa maruz bırakıyor ve saldırganların yararlanabileceği açıkların oluşmasına neden oluyor. MFA’nın benimsenmesi genellikle durur çünkü dahili ekipler işi ilerletmek için zaman, bütçe veya uzmanlığa sahip değildir.
Kuruluşların %70’inden fazlası geçiş anahtarlarını benimsemeyi planlıyor veya ilk adımları zaten attı.
Ekipler, mevcut sistemlerinin önemli bir yeniden düzenleme yapılmadan geçiş anahtarlarını destekleyebileceğinden emin değiller. Diğerleri ise ürün, mühendislik, pazarlama ve güvenlik ekiplerinin müşteri kimliği yükseltmelerine nasıl öncelik verileceği konusunda her zaman hemfikir olmaması nedeniyle iç uyum konusunda zorluk yaşıyor. Bu, şifrelerin varsayılan olarak kaldığı, şifrelerin birkaç yerde desteklendiği hibrit bir modele yol açmaktadır.
Geliştiriciler ağırlığı taşıyor
Kuruluşların yarısından fazlası, kimlik doğrulama konusunda uzman olmayan geliştiricilere güveniyor. Bu ekipler, temel ürün görevlerinin yanı sıra kimlik çalışmalarını da dengeliyor ve bu da yavaş ilerlemeye, tutarsız uygulamaya ve yinelenen hatalara yol açıyor.
Karar vericiler, geliştiricilerin kimlik doğrulama için harcadığı zamanı hafife aldıklarını itiraf ediyor. Pek çok kuruluşta kimlik çalışması, bir ihlal, bir kesinti veya gelir kaybı, dikkatin yenilenmesine neden olana kadar birikmiş işleri azaltır. Bağlam değiştirme yaygındır. Geliştiriciler kimlik doğrulama, uyumluluk gereksinimleri ve ürün geliştirmeleri arasında geçiş yapar; bu da hata olasılığını artırır ve teslimatı yavaşlatır.
Descope kurucu ortağı Rishi Bhargava, “Mühendislik ve kimlik ekipleri, müşteri kimliği söz konusu olduğunda yuvarlak deliklere kare çiviler yerleştirmeye çalışıyor. Aşırı gergin geliştirme ekipleriyle yerel veya iş gücü tabanlı çözümleri sürdürmek, kullanıcı ihtiyaçları geliştikçe, yeni ürün ihtiyaçları ortaya çıktıkça veya karışıma yapay zeka ajanları eklendikçe geride kalmanın bir reçetesidir” dedi.
Güvenlik ve müşteri deneyimi farklı yönlere çekiliyor
Kimlik doğrulama sorunları güvenliğin yanı sıra geliri de zayıflatır. Kuruluşlar, oturum açma sırasında kullanıcının ayrılmasının, mühendislik sunumundaki gecikmelerin ve yarıda bırakılan işlemlerin güncel olmayan kimlik doğrulama akışlarından kaynaklandığını bildirmektedir. Bu sorunlar nadiren tek bir bütçe kalemi olarak ortaya çıkar, ancak bunlar birikerek gelir kaybına ve daha yüksek işletme maliyetlerine neden olur.
20.000’den fazla çalışanı olan şirketler, kimlik doğrulamaya bağlı olarak daha yüksek oranda ihlal ve müşteri desteği sıkıntısı bildiriyor. Ölçek, parçalanmış sistemler ve tutarsız politikalar güvenlik ve mühendislik ekiplerinin daha fazla iş yapmasına neden olduğundan yükü daha da büyütür.
Ankete katılanların yaklaşık dörtte üçü, güvenlik ile müşteri deneyimi arasında doğru dengeyi bulmanın zor olduğunu söylüyor. Takımların farklı öncelikleri var. Güvenlik ekipleri riskin azaltılmasına odaklanır. Ürün ekipleri dönüşüm ve elde tutmaya odaklanır. Kimlik ekipleri, varsa her ikisini de birbirine bağlamaya çalışır.
Sonuç genellikle kimseyi tatmin etmeyen yaklaşımların bir karışımıdır. Bazı kuruluşlar meşru kullanıcıları yavaşlatan kontroller sunar. Diğerleri saldırganlara açıklık yaratacak şekilde sürtünmeyi azaltır. Bu kararlar birden fazla paydaşı kapsadığı için ilerleme yavaştır ve uygulamalar arasında çoğu zaman tutarsızdır.
Yapay zeka odaklı otomasyon, müşteri kimlik sistemlerini zorlamak üzere
Agentic AI, müşteri kimliğini daha karmaşık hale getirecek şekilde ayarlandı. Yasal kullanıcılar adına gerçekleştirilen rutin eylemlerden, oturum açma ve hesap oluşturma akışlarını hedef alan büyük ölçekli saldırılara kadar her cephede otomatik etkinlik artacaktır.
Güvenlik ekipleri, değerlendirilmesi gereken daha fazla trafikle ve kullanıcının amacını neyin yansıttığı konusunda daha az kesinlik ile karşı karşıya kalacak. Saldırganlar, yüksek hacimli hesap ele geçirme girişimlerini gerçekleştirmek ve normal davranışlara uyum sağlayan sentetik kimlikler oluşturmak için yapay zekayı kullanacak.
Bir dizi kimlik doğrulama kurulumu bu ortam için hazır değil çünkü parolalara veya etkinlikteki hızlı değişimlere uyum sağlayamayan diğer statik kontrollere dayanıyorlar. Kuruluşların, değişen kalıplara uyum sağlayabilen, şüpheli davranışları erkenden işaretleyebilen ve yine de güvenilir kullanıcılara sorunsuz bir deneyim sunabilen kimlik sistemlerine ihtiyacı olacak.