Bu Help Net Security röportajında, rf IDEAS Başkanı David Cottingham, kuruluşların geçiş anahtarları uygularken bekleyebilecekleri temel avantajları tartışıyor.
Cottingham, özellikle B2B alanında geçiş anahtarlarının benimsenmesiyle ilgili yanlış anlamaları ele alıyor.
Kuruluşlar geçiş anahtarlarını uygulamaya koyduklarında hangi temel faydaları bekleyebilirler?
Parolalar uygulandığında, kullanıcılar kimlik avı saldırılarına ve parola yeniden kullanım durumlarına karşı ekstra bir koruma katmanına sahip olur. Bu, savunmasız parolaları bir çift kriptografik anahtarla değiştirebilen dijital bir kimlik bilgisi kullanılarak elde edilir. Bir anahtar herkese açıktır ve sunucuda saklanırken, diğeri özeldir ve kullanıcının cihazında güvenli bir şekilde saklanır, bu da kullanıcıların müdahaleye veya manipülasyona açık hassas kimlik bilgileri girmesine bağımlı olmadığı anlamına gelir.
Çalışanlar için, geçiş anahtarları, artırılmış güvenlik önlemleri ve zaman ve maliyet tasarrufu dahil olmak üzere iyileştirilmiş bir kullanıcı deneyimi avantajı sağlar. Aslında, geçiş anahtarları uygulandığında, çalışanlar oturum açma süresinde %75 ve parola sıfırlamalarında %95 azalma yaşarlar. Geçiş anahtarları parolalardan iki kat daha hızlıdır ve hassas kimlik bilgilerinin bir sunucu ihlal edildiğinde bile korunmasını sağlarken cihazlar arasında tutarlı erişim sağlar. BT ekipleri, özellikle parola yönetimine olan ihtiyacı ortadan kaldıran geçiş anahtarlarından yararlanır ve bu da genellikle parola ile ilgili sorunları ele almak için kullanılan değerli BT zamanını ve kaynaklarını serbest bırakır.
Ayrıca, geçiş anahtarları akıllı kartlar ve tek oturum açma (SSO) kimlik doğrulaması gibi diğer kimlik doğrulama yöntemleriyle eşleştirildiğinde, oturum açma deneyiminin farklı yönlerini ele alarak kullanıcı erişimini basitleştirebilir ve kimlik doğrulama süreçlerini hızlandırabilir.
Özellikle çeşitli kullanıcı tabanlarına sahip büyük kuruluşlarda, geçiş anahtarlarının benimsenmesini etkileyebilecek herhangi bir kullanılabilirlik zorluğu var mı?
Parolaların benimsenmesini etkileyebilecek birkaç kullanılabilirlik zorluğu vardır. Bunların arasında en önemlisi uyumluluktur, çünkü parolalar güncel olmayan işletim sistemlerinde veya eski cihazlarda çalışmayabilir. Teknik engelleri aşan kullanıcı direnci, parolalar gibi yeni bir teknolojiyi benimsemedeki başarısızlığın nedenidir. Sonuçta, kullanıcılar 1960’ların başından beri parolaları kullanıyor.
Geçiş anahtarlarının nasıl sağlanacağı konusunda eğitim ve öğretimin vurgulanması, teknoloji konusunda bilgili olmayan kullanıcılar için kayıt işleminin zorlayıcı olabileceği için benimseme için önemlidir. Kuruluşun çeşitli kültüründeki benzersiz zorlukları ele almak ve kullanıcıları eğitmek için küçük gruplarla veya departmanlarla başlamak en iyisi olabilir.
Kuruluşlar güvenliği artırmak ve üretkenliği optimize etmek için geçiş anahtarlarını benimsemeye başlıyor ve her yeni uygulamada olduğu gibi zorluklar olacak. Geçiş anahtarı uygulaması, çalışanların katılımını sağlayacak ve geleneksel parolalardan geçiş anahtarlarına sorunsuz bir geçişi sağlayacak erken benimseyenler olarak üst düzey liderlikle başlamalıdır. Planlamaya ve sağlam politikalar ve süreçler oluşturmaya yönelik önceden yapılan yatırım, uygulamanın başarısı için kritik öneme sahip olacaktır.
FIDO, yakın zamanda şifreli anahtarların uygulanması ve olumlu bir son kullanıcı deneyimi yaratılması için tasarım ilkelerine yardımcı olmak amacıyla Tasarım Kılavuzları adında bir kütüphane oluşturdu.
Avantajlarına rağmen, sizce geçiş anahtarları sektörde neden henüz yaygın olarak benimsenmedi?
Avantajlarına rağmen, geçiş anahtarları henüz B2B ortamında yaygın olarak benimsenmedi. Şimdiye kadar, benimseme tüketici ortamında daha yaygındı. İşletme organizasyonları arasında benimseme eksikliğinin birincil nedeni, BT profesyonelleri arasında geçiş anahtarları konusunda eğitim eksikliğidir. Bazı BT profesyonelleri hala geleneksel parolalarla ilişkili riskleri anlamıyor. Örneğin, veri ihlallerinin %81’i zayıf veya çalınan parolaların sonucudur. Ayrıca, geçiş anahtarlarının, bilgisayar korsanları tarafından kullanılan yaygın bir saldırı biçimi olan kimlik avına dayanıklı bir yöntem olduğu yaygın olarak bilinmemektedir.
BT profesyonellerinin geçiş anahtarlarının faydalarını anladığını varsayarsak, yaygın bir şekilde benimsenmesinin önündeki diğer engel, uygulama anlayışının eksikliği olmuştur. Kuruluşlar, kullanıcıları için geçiş anahtarlarını nasıl dahil edecekleri ve çıkaracakları, sağlayacakları, dağıtacakları ve yönetecekleri konusunda hala net bir resme sahip değiller. Kullanıcıya sorunsuz bir deneyim sağlamak ne kadar önemliyse, BT yöneticilerine de sorunsuz bir uygulama deneyimi sağlamak da bir o kadar önemlidir.
İşletmeler arasında geçiş anahtarı uygulaması hakkında hangi yaygın yanlış anlamalarla karşılaştınız?
Geçiş anahtarlarının tüketici tabanlı bir kimlik doğrulama yöntemi olduğu konusunda büyük bir yanlış anlama vardır. Ancak, işletmeler geçiş anahtarlarının avantajlarından tam olarak yararlanabilir. Aslında, kuruluşların bir kimlik avı saldırısıyla karşı karşıya kalmaları durumunda bireysel tüketiciler kadar, hatta daha fazla kaybedecekleri şeyler vardır.
Bir diğer yaygın yanlış anlama, uyumluluk ve teknik sınırlamaları ele alan WebAuthn standartlarının önemi nedeniyle geçiş anahtarlarının web uygulamalarıyla sınırlı olduğudur. Ancak geçiş anahtarları masaüstü ve mobil uygulamalar için de kullanılabilir.
Birçok kişi, geçiş anahtarlarının çok faktörlü kimlik doğrulaması için biyometri kullanımını gerektirdiğine inanıyor. Ancak, modernize edilmiş platformlar, bir pin ile eşleştirilebilen bir kimlik doğrulama faktörü olarak çalışan rozetlerini kullanabilir. Parmak izi veya yüz tanıma gibi biyometri bir faktör olarak kullanılabilirken, gerekli değildir. Son olarak, geçiş anahtarları kimlik avı gibi riskleri önemli ölçüde azaltsa da, kusursuz değildir. Kullanım durumlarına ve tehditlere bağlı olarak her zaman dikkate alınması gereken başka güvenlik önlemleri ve güvenlik açıkları vardır.
Başarılı bir şekilde uygulanan geçiş anahtarlarına dair gerçek dünya örneklerini ve bu uygulamalardan hangi derslerin çıkarılabileceğini paylaşabilir misiniz?
Geçiş anahtarlarını ilk benimseyenlerimiz arasında üretim, konaklama ve sağlık sektörlerindeki müşterilerimiz yer alıyor. Ayrıca, Target ve Yahoo gibi kurumsal kuruluşlar hem tüketici hem de iş gücü ortamları için geçiş anahtarları uyguladı. Öğrendiğimiz önemli derslerden biri, kuruluşların mevcut çalışan rozetlerini FIDO özellikli bir okuyucuyla birlikte kullanılmak üzere bir FIDO geçiş anahtarı olarak kullanmaya çok istekli olmalarıdır. Dahası, kimlik rozetlerini FIDO geçiş anahtarlarına dönüştürmenin oldukça sorunsuz olduğunu ve bazı uygulamaların bir gecede tamamlandığını gördük.