Saldırganların, kurumsal sistemlere erişim elde etmek veya fidye yazılımı dağıtmak için karmaşık yöntemler kullanmasına gerek yoktur; yalnızca kimlik bilgilerini satın alabilir veya çalabilir ve oturum açabilirler.
İşletmeler, kullanıcılara neredeyse imkansız olan “güvenli parolalar” sağlama görevini yükleyerek, nihayetinde insanlara güvenlik konusunda çok büyük ve haksız bir sorumluluk veriyor. Sonuç olarak, birçok kuruluş kendilerini ve müşterilerini saldırganlardan korumak için bir zar atmaya varan şeylere güveniyor.
Yara bantları kurşun deliklerini düzeltmez
Verizon Veri İhlali Soruşturma Raporu ve araştırma üstüne çalışma bize, “paylaşılan sırlar” olarak da bilinen parolaların, kullanıcıları doğrulamak için temelde güvensiz bir yöntem ve kuruluşlar için en büyük güvenlik açığı olduğunu hatırlatıyor.
Ne yazık ki çoğu kuruluş, parola kullanımıyla ilişkili riskleri azaltma yükünü kullanıcılarına yüklüyor: çalışanlarının veya müşterilerinin daha uzun/daha güçlü parolalar oluşturmasını ve sık sık parola değişikliklerini zorunlu kılmasını istiyor.
Bu, sorunu çözmez ve çok sinir bozucu bir kullanıcı deneyimi yaratır. Aslında, son araştırmalar ortalama bir kişinin 100 şifre kullandığını ortaya çıkardı – bu herkes için göz korkutucu bir görevdir. Hataların yapılması ve bir yorgunluk unsurunun ortaya çıkması hiç de şaşırtıcı değil.
Dahası, bu güvenlik yaklaşımı, güvenlik ihlalleri şifreler dahil milyarlarca kişisel veri kaydının dark web’de kolayca erişilebilir olduğu anlamına geldiğinde bile, kullanıcının tüm ilgili kişisel bilgilerini güvende tutmaktan sorumlu olduğu anlamına gelir.
“Güçlü” parolalar bir efsanedir
Açık olmak gerekirse, “güvenli şifre” diye bir şey yoktur. Saldırganlar, kullanıcıları parolalarını vermeleri için kandırmak veya parolaları çalmak için kötü amaçlı yazılım dağıtmak için sosyal mühendislik tekniklerini kullanır. Bir çalışan veya müşteri verilen tüm tavsiyelere uysa ve “uzun, güçlü bir parola” seçse bile farketmez. Bu modası geçmiş tavsiye, daha güçlü parolaları “kırmanın” (şifresini çözmenin) daha zor olduğu gerçeğine dayanmaktadır. Saldırganlar parolaları “kırmak” yerine, zaten şifrelenmemiş olduklarında basitçe çalarlar. Düşmanlar uç noktada kötü amaçlı yazılım dağıtır veya ortadaki düşman (AitM) tekniklerini kullanır. Kötü amaçlı yazılım, üç karakterlik bir parolayı veya üç bin karakterlik bir parolayı (özel karakterler içersin veya içermesin) eşit derecede çalabilir.
Bu nedenle, harfleri ve sembolleri karıştırmak ve mükemmel on iki karakterli şifreyi oluşturmak sorunu çözmek için hiçbir şey yapmaz: “güçlü” şifreleri çalmayı kolaylaştıran sosyal mühendislik teknikleri ve hazır araçlar vardır. Bu nedenle, kuruluşunuzun veya müşterilerinizin daha uzun, daha güçlü parolalar kullanmaları halinde güvende olacaklarını varsaymak bir efsanedir. Parolalar kullanımda kaldıkları sürece çalınacak ve her türlü siber suçu işlemek için kullanılacaktır.
Parola yöneticilerinin sınırlamaları
Bir son kullanıcının kendisini kısmen korumak için yapabileceği tek şey, her hesap için benzersiz bir parola seçmektir. Bu, saldırganın parola doldurma yaklaşımını kullanma yeteneğini sınırlayabilir, yani saldırganın bir hesap için çalınan kimlik bilgilerini kullanması ve bunları diğer çeşitli hesaplarda kullanmaya çalışması. Bu teknik genellikle başarılıdır çünkü çalışanlar ve müşteriler genellikle birden çok sitede aynı parolayı kullanır.
Şifre yöneticilerini girin. Bu yaklaşımın popülaritesi arttı çünkü kullanıcıların tüm uygulamaları, sistemleri ve hizmetleri için benzersiz parolalar oluşturmasına ve saklamasına olanak sağlıyor. Böylece, Facebook şifreleri çalınırsa, saldırgan bu şifreyi bankalarına giriş yapmak için kullanamaz. Ancak, parola yaklaşımının kaçınılmaz eksikliklerini gidermez. Parola yeniden kullanım saldırılarını sınırlar ancak yukarıda belirtilen diğer saldırıları durdurmaz.
Parola yöneticileri, ortadaki saldırgan veya uç noktadaki saldırgan taktiklerini engellemek için hiçbir şey yapmaz. Aynı oturum açma akışı oradadır, tek fark, bu parolanın kullanıcı yazmaya karşı parola yöneticisinden gelmesidir. Ayrıca bir sosyal mühendislik saldırısına karşı hiçbir şey yapmaz – kullanıcı yine de o şifre yöneticisini açabilir, şifreye bakabilir ve kötü adama verebilir.
Ancak parola yöneticilerinin başka bir dezavantajı daha vardır: Riski büyük ölçüde yoğunlaştırırlar. Kullanıcının tüm parolaları bulutta ve kullanıcının cihazında tek bir veritabanında saklandığından, bir ihlalin potansiyel etkisi çok daha fazladır. Ve şifre yöneticileri, şifre veri tabanını – tahmin ettiniz – bir şifre ile korur! Bir saldırgan bu ana parolayı çalabilirse, tüm parolalarınıza erişebilir. Örneğin, Aralık 2022’de, parola yöneticisi LastPass saldırıya uğradı ve saldırganlar diğer şeylerin yanı sıra müşteri kasası verilerinin yedeklerini alarak kaçtı.
Sonuç olarak, parola yöneticileri günümüzün bağlantılı ekonomisi için gereken güvenlik düzeyini sağlamaz. Peki, alternatif nedir?
MFA ile ilgili sorun
MFA genellikle parola güvenlik açığı için bir çözüm olarak selamlanır. Tek bir şifre istemek yerine, kullanıcılardan kimliklerini doğrulamak ve hesaplarına erişmek için birden fazla bilgi girmeleri istenir. Bununla birlikte, birinci nesil MFA, genellikle kolayca hacklenebilen başka bir faktör eklediğinden zayıftır.
Örneğin, e-posta veya SMS yoluyla gönderilen tek seferlik şifreler ve sihirli bağlantılar kolayca avlanır ve push bildirimleri, saldırganların “itme yorgunluğu” yaşayan kullanıcılara birden fazla istek gönderdiği “ani bombalama” saldırıları gibi sosyal mühendislik taktiklerine tabidir. ”. Saldırganlar, birinci nesil MFA’yı atlamayı son derece kolaylaştıran ve iki zayıf faktörün güçlü bir güvenlik çözümü olmadığını açıkça ortaya koyan açık kaynaklı araçlara sahiptir.
Gelecek şifresiz, kimlik avına dayanıklı MFA’da
Çalışan ve müşteri hesaplarını korumak ve son kullanıcıların üzerindeki yükü kaldırmak için köklü bir yaklaşım değişikliği gerekiyor. Küresel olarak kuruluşlar, yeni nesil, güvenli kimlik doğrulama teknolojilerini uygulamak için ortak bir çaba sarf ediyor. Birçoğu, açık anahtar kriptografisini modern cihazlarda bulunan yerleşik biyometrik kimlik doğrulama ile birleştiren parolasız ve kimlik avına dayanıklı kimlik doğrulama yaklaşımlarına geçiyor. Bu, kimlik avına karşı çok güçlü iki faktör sağlar.
FIDO2 (Çevrimiçi Hızlı Kimlik) standardını kullanan çözümler, yeni nesil parolasız, kimlik avına dayanıklı MFA için temel sağlayacaktır. FIDO tabanlı çözümler, kullanıcılar ve web siteleri arasında özel iletişim sağlamak için Aktarım Katmanı Güvenliğinde (TLS, diğer adıyla tarayıcıdaki kilit) küresel olarak dağıtılan ortak/özel anahtar şifrelemesi olan geçiş anahtarlarını kullanır. Bu yaklaşım, ortadaki adam saldırıları riskini azaltır.
Özel anahtarların, modern uç nokta cihazlarına yerleşik uluslararası bir güvenli kripto işlemci olan Güvenilir Platform Modülünde (TPM) depolanmasını da sağlayan çözümler, uç noktadaki adam saldırılarını önemli ölçüde azaltır.
Kuruluşlar, kullanıcıları sitelerin, hizmetlerin ve uygulamaların güvenliğini sağlama sorumluluğundan kurtararak, siber güvenlikteki en zayıf halkalara dönüşümsel bir destek sağlayabilir. Parolaya bağımlı dijital hizmetlerin büyümesinin kötü aktörlerin başarısıyla eşleşmeye devam ettiği bir dünyada bu, kullanıcı deneyimini etkilemeden daha iyi koruma sağlama baskısı altındaki güvenlik ekipleri için bir kazan-kazan anlamına geliyor.