‘Parolasız’ Kimlik Doğrulamanın Vaadi ve Sınırlamaları
Perception Point CTO’su Tal Zamir tarafından
“Şifrenizi giriniz Lütfen.”
Takip etmesi gereken bir parola yöneticisi olmayanlar için bu, stresli, hatta paniğe neden olabilecek bir istemdir. Ancak parolaların sıklıkla neden olduğu ağırlaştırmanın ötesinde, bir parolanın sağladığı güvenlik artık ödün vermeye değmeyebilir. Bir şifreyi aşmak, sözde karmaşıklığına bakılmaksızın, günümüzün kurnaz siber tehdit aktörleri için genellikle çocuk oyuncağıdır ve oldukça uzun bir süredir de öyle olmuştur.
Mayıs ayında Google, kullanıcıların oturum açma kimlik bilgilerini doğrulamak için parmak izi, kaydırma deseni, PIN veya yüz tanıma gerektiren dijital kimlik doğrulamanın bir sonraki aşaması olan şifreleri geçiş anahtarlarıyla değiştirme kararını duyurdu. Apple ve Microsoft aynı geçiş için hazırlanırken, parola güvenliği yakında büyük ölçüde geçerliliğini yitirecek.
Bu güvenlik revizyonları, büyük ölçüde bilgisayar korsanlığı kitlerine ve yeni yapay zeka destekli kimlik avı araçlarına erişilebilirlik nedeniyle 2022’de 2021’e kıyasla dünya çapında %50 artan kimlik hırsızlığı saldırılarına yanıt olarak öncelik kazandı. Teknoloji devleri, fiziksel bir geçiş anahtarı gerektirerek, parolaların ve Çok Faktörlü Kimlik Doğrulama (MFA) kodlarının ele geçirilmesi durumunda bile saldırganların kullanıcı hesaplarına yetkisiz erişim sağlamasını çok daha zorlaştırmayı amaçlıyor. Bu proaktif yaklaşım, teknoloji devlerinin güvenlik önlemlerini güçlendirmeyi ve kullanıcılara karmaşık siber saldırılara karşı ek bir koruma katmanı sağlamayı amaçlıyor.
Ancak geçiş anahtarları, siber güvenlik yapbozunun yalnızca bir parçasıdır. Umut verici bir sonraki adım olsalar da, gelişen tehdit ortamlarına karşı dirençli kalmayı umuyorlarsa, bireylerin ve kuruluşların güvenlik duruşlarını daha da güçlendirmeleri gerekecek.
Kimlik doğrulama güvenliğine doğru ilk adım
Kusursuz olmasa da, ‘şifresiz’ kimlik doğrulama, geleneksel parola tabanlı kimlik doğrulamaya göre önemli bir gelişmedir. Kullanıcılar, geçiş anahtarlarını kullanarak, karmaşık parolaları hatırlamaya veya hangi parolanın hangi hesaba ait olduğunu çözmeye gerek kalmadan birden çok hesapta oturum açmak için basit ve kullanımı kolay bir sistem kurabilir ve daha uygun bir kullanıcı deneyimi sunar. Ayrıca geçiş anahtarları, güvenli olmayan yaygın uygulamalar olan zayıf parolalar ve parolaların yeniden kullanımıyla ilişkili riskleri ortadan kaldırır. Şaşırtıcı bir şekilde, insanların %85’i birden çok sitede aynı parolaları kullanıyor ve bu da onları bilgisayar korsanlığı saldırılarına karşı daha savunmasız hale getiriyor. Parolasız kimlik doğrulama mutlak güvenliği garanti etmese de, parolayla ilgili riskleri azaltmada uzun bir yol kat eder.
Fiziksel geçiş anahtarlarını çalmanın veya çoğaltmanın parolalara veya belirteçlere göre daha zor olması, World Wide Web Konsorsiyumu, FIDO Alliance ve Microsoft’un geçiş anahtarlarını kullanıcı güvenliğinin geleceği olarak tanıtmasına yol açmıştır.
Parola tabanlı kimlik doğrulamadan geçiş anahtarı tabanlı kimlik doğrulamaya geçiş hız kazandıkça, kullanıcılar, çalışanlar ve güvenlik ekipleri için parolasız yaklaşımın bilgisayar korsanlarına karşı tamamen bağışık olmadığını akılda tutmaları çok önemlidir. Fiziksel geçiş anahtarlarının ek güvenliğine rağmen, saldırganlar yine de kimlik doğrulama güvenlik açıklarından yararlanmanın yollarını bulabilirler. Özellikle, parolalara hiç dayanmayan çok sayıda başka tehdit vektörü ve bilgisayar korsanlığı tekniği vardır, bu nedenle tek başına bir geçiş anahtarı kararlı saldırganları savuşturmak için yeterli olmayabilir. Bu nedenle, tetikte olmak ve geçiş anahtarı kimlik doğrulamasıyla birlikte diğer güvenlik önlemlerini uygulamak önemlidir.
Örneğin, bilgisayar korsanları, uygulamalarını devralmak ve verilere erişmek için virüslü cihazlarda uzaktan kontrol edilen kötü amaçlı yazılımları ele geçirmek için uzaktan erişim truva atlarından (RAT’ler) yararlanır. Benzer şekilde, oturum açma belirteçleri içeren cihazlarda saklanan tanımlama bilgilerini çalarak oturumları ele geçirebilirler. Gelişmiş sosyal mühendislik saldırıları da önemli bir tehdit olarak ortaya çıktı. Bu tür tehditler, özellikle de iş e-postası güvenliği ihlali (BEC), kimlik bilgisi hırsızlığı gerektirmez, ancak bu saldırıların yalnızca 2022’de ikiye katlandığı göz önüne alındığında, yine de endişe vericidir.
Bazı açılardan, geçiş anahtarlarıyla siber güvenlik, kullanıcıları daha savunmasız bırakabilir; geçiş anahtarlarıyla, bir tehdit aktörü bir kullanıcının cihazına erişim sağlarsa, potansiyel olarak kullanıcının tüm hesaplarına ve uygulamalarına erişebilir. Bu, saldırganın yalnızca aynı oturum açma kimlik bilgilerine sahip hesaplara erişim sağlayabildiği parolaların aksinedir.
Bir değişiklik yeterli olmayabilir.
İşletmeler tarafından iletişim ve işbirliği için en çok kullanılan kanallardaki siber saldırılar, saldırganların kurbanlarını belirli bir eylemde bulunmaya ikna etmek için hedef odaklı kimlik avı, etki alanı sahtekarlığı ve yapay zeka destekli kimliğe bürünme gibi bir dizi taktik kullanmasıyla giderek daha karmaşık hale geliyor. Ve bu gelişmiş saldırılar mutlaka parolaların veya kullanıcı oturumlarının çalınmasını içermediğinden, parolasız kimlik doğrulama çözümleri kullanıma sunulduğunda nihayetinde bunları önlemede etkisiz olacaktır.
Sonuç olarak, kullanıcılar ve güvenlik ekipleri, şirketlerini etkili bir şekilde korumak için çok katmanlı bir yaklaşım benimsemeye devam etmelidir. Kuruluşlar, siber güvenlik farkındalığı eğitimini iyileştirmenin yanı sıra, şimdiye kadarki en gelişmiş ve kaçamak tehditleri belirleyip kullanıcılarına ulaşmasını önleyen gelişmiş e-posta güvenliği ve web tarayıcı güvenliği gibi modern güvenlik sistemlerini kullanmaya çalışmalıdır. Ayrıca, SOC ve müdahale ekiplerine olayları hızlı bir şekilde analiz etmek ve düzeltmek için gerekli bilgileri sağlamak için güvenlik sistemlerinden gelen veriler ilişkilendirilmelidir.
Daha güvenli bir siber gelecek için çabalamak
Parolasız kimlik doğrulamaya geçiş, güvenlik ihlallerini azaltmada kesinlikle etkili olacaktır. Ancak her derde deva olarak tedavi edilemez. Bunun yerine, çok önemli olmasına rağmen, siber güvenlik alet kemerinde başka bir araç – gerekli birçok güvenlik önleminden sadece biri – haline gelecek.
Saldırganlar, parolasız ortamlarda bile boşlukları aramaya ve bunlardan yararlanmaya devam edecek ve bu nedenle, hem bireyler hem de kuruluşlar, kendilerini artan siber karmaşıklığa karşı korumak istiyorlarsa benzer şekilde çok katmanlı bir yaklaşım benimsemelidir.
yazar hakkında
Tal Zamir, teknolojinin nasıl çalıştığını yeniden tasarlayarak iş zorluklarını çözen bir yazılım endüstrisi lideri olarak 20 yıllık bir geçmişe sahip olan Perception Point’in CTO’sudur. Tal, çok sayıda çığır açan siber güvenlik ve sanallaştırma ürününe öncülük etti ve Perception Point’e katılmadan önce, uç nokta düzeyinde çalışan yeni nesil bir web izolasyon platformu olan Hysolate’i kurdu. Tal’e çevrimiçi olarak LinkedIn ve şirketimizin web sitesinden ulaşılabilir.