FIDO Alliance, parolaların olmadığı, açık anahtar şifrelemesine dayalı güvenli, kimlik avına karşı dayanıklı kimlik doğrulaması uygulayan bir dünya sağlamak için çalışmaktadır. Bu parolalar, dijital bir hesaba veya uygulamaya erişmek için kullanılabilen FIDO teknolojisi tabanlı kimlik bilgileridir. Dünyanın en iyi teknoloji devleri tarafından desteklenmektedir. Parolalar, insanların bu dijital hesaplara ve uygulamalara güvenli bir şekilde erişme biçimini şimdiden kökten değiştiriyor.
Bunun nedenini görmek kolaydır – parolaları hatırlamak zordur, çalınması veya kimlik avı yapılması kolaydır ve hem kullanıcılar hem de BT ekipleri için yönetilmesi zaman alıcıdır. Parola ile ilgili siber suçlar artıştadır ve bir veri ihlalinin ortalama maliyeti yaklaşık 4,5 milyon dolardır – itibar kaybından bahsetmiyorum bile. Bu zorlukların yanı sıra, işletmeler çok faktörlü kimlik doğrulama (MFA) ve siber sigorta benimsemesi için de katı düzenlemelerle karşı karşıyadır. Aralık 2023 itibarıyla 7 milyardan fazla çevrimiçi hesabın FIDO teknolojisini kullanarak parolasız oturum açma özelliğini kullanması şaşırtıcı değildir.
Passkey’lerin Faydaları
Kurumsal ortamda, geçiş anahtarları birçok önemli avantaj sunar. Kimlik avı saldırılarına karşı dirençlidirler ve kurumsal sunucularda yalnızca genel anahtarlar saklandığından kurumsal ağ ihlali yoluyla tehlikeye atılamazlar. Kullanıcıların PIN veya biyometrik aracılığıyla cihazın sahibi olduklarını doğrulamaları gerektirilerek güvenlik daha da güçlendirilir; bu da kimlik bilgisi hırsızlığı veya kaybı riskini azaltır. Bu ve diğer güvenlik avantajlarının gerçekleştirilmesi, çoğu kimlik doğrulama yolculuğunun rahatlığını da artırabilen birkaç dağıtım ön koşulu gerektirir.
İşgücü kullanım durumları için, parola anahtarları çalışanların parola yetersizliklerini ortadan kaldırmaya yardımcı olurken, kuruluşların kimlik avıyla ilgili olayların yüksek maliyetlerinden ve itibar risklerinden kaçınmasını sağlar. Bu, özellikle sıkı bir şekilde düzenlenen eyalet ve yerel hükümet birimleri, kolluk kuvvetleri, kritik altyapı ve yüksek güvencenin hayati önem taşıdığı diğer kuruluşlar için önemlidir. Parola anahtarları, kullanıcıların hatırlaması gereken eski, bilgi tabanlı kimlik bilgilerinden, ellerinde taşıdıkları modern, sahiplik tabanlı kimlik bilgilerine geçişi kolaylaştırarak bu tehditlerle mücadeleye yardımcı olur.
Geçiş Anahtarları Nasıl Çalışır?
Geçiş anahtarları, açık anahtar şifrelemesini kullanarak parolasız, güçlü kimlik doğrulaması sağlamak için FIDO açık standartlarından yararlanır. Şekil 1, saldırganların kullanıcının özel anahtarına erişimi olmadığı için FIDO kimlik doğrulamasının yaygın bir kimlik avı saldırısının (aradaki adam) riskini nasıl ortadan kaldırdığını gösterir.
Şekil 1: FIDO kimlik doğrulaması, meydan okuma ve yanıtlama süreciyle başlar. Her bir geçiş anahtarı veya özel anahtar yalnızca tek bir hesap için kullanılabilir ve optimum güvenlik için kullanıcı, bir telefonun kilidini açmak için kullanılanlara benzer bir kullanıcı doğrulama yöntemiyle (PIN veya biyometri) bu geçiş anahtarının sahipliğini kanıtlamalıdır. Ancak o zaman hesaba erişilebilir.
Anahtar Türleri – Kullanım Durumlarım İçin En İyisi Hangisi?
Başlangıçta, geçiş anahtarları yalnızca güvenlik anahtarları veya akıllı kartlar olarak bilinen özel donanım belirteçlerinde saklanabiliyordu. Kullanıcılar kendilerini doğrulamak için bunları bir bilgisayara veya telefona sundular. Günümüzün geçiş anahtarları bulutta saklanabilir ve dijital hesaplara erişmek için sıradan akıllı telefonlarda kullanılabilir, bunun nedeni de yüksek teknoloji ekosisteminden (örneğin, Google ve Apple) bu tür geçiş anahtarlarına yönelik genişletilmiş destektir. Bu, kullanıcılara platformla senkronize geçiş anahtarları (“senkronize” geçiş anahtarları) veya cihaza bağlı geçiş anahtarları arasından seçim yapma olanağı sunarak yüksek düzeyde güven sağlar. Farklılıklar, kurumsal yöneticilerin anlaması için önemlidir:
1. Senkronize Parolalar: Bulutta saklanan senkronize edilmiş geçiş anahtarları tüketici uygulamaları için idealdir. Farklı kullanıcı aygıtlarından erişilebilirler ve kullanıcıların her birini yeniden kaydettirmek zorunda kalmadan bir hesaba erişmek için birden fazla aygıt kullanmalarını sağlarlar. Bu tür geçiş anahtarları ek donanım veya yazılım gerektirmediği için kullanıcı dostudur ancak kullanıcıların halihazırda sahip olduğu en popüler akıllı telefonları kullanır.
2. Cihaza bağlı geçiş anahtarları: Bu geçiş anahtarları güvenliği artırır ve dijital olarak paylaşılamayan ek bir donanım parçası gerektirdiğinden ekstra bir güvenlik katmanı sunarken geniş bir desteğe sahiptir. Belirli bir oturum açma kimlik bilgisini belirli bir cihaza (örneğin, bir Crescendo Güvenlik Anahtarı veya Akıllı Kart) bağlarlar. Cihaza bağlı geçiş anahtarlarının, özellikle akıllı kartla avantajı, BT sistemlerine ve kapılara erişmek için kullanılabilmesidir – kullanıcının tesis içindeki kapılara erişmek için bu cihaza bağlı olduğundan emin olunması. Bu, akıllı kartın gözetimsiz bırakılmamasını sağlar, bu da bir güvenlik ihlali senaryosu yaratır.
AWS gibi birkaç kuruluş, B2B müşterilerini doğrulamak için cihaza bağlı geçiş anahtarlarını destekler. Bu, daha yaygın kuruluş ve iş gücüne yönelik uygulamalarla el ele gider. Cihaza bağlı geçiş anahtarları daha fazla güvenlik sunar ve çapraz platform desteğiyle sertifikalı, kullanıcı dostu ve taşınabilir bir kimlik doğrulama çözümü gerektiren bu uygulamalar için daha uygun olma eğilimindedir. Bu geçiş anahtarları ayrıca minimum kurulum gerektirir, kullanımı kolaydır ve taşınması kolay küçük boyutlarda ve çeşitli biçimlerde mevcuttur.
Eşzamanlı ve cihaza bağlı geçiş anahtarları arasındaki seçime ek olarak, dikkate alınması gereken birkaç başka kurumsal dağıtım en iyi uygulaması daha vardır. Bunlar arasında kullanıcı deneyimini kişiselleştirmek, birden fazla kullanım durumunda “birleşik erişim” akıllı kartlarının değerini güçlendirmek ve iş gücü üretkenliğini artırmak yer alır.
Passkey Dağıtımı İçin En İyi Uygulamalar
Her işletmenin geçiş anahtarı benimseme yolculuğu, sektörlerine, halihazırda sahip oldukları sistemlere ve ele almaları gereken çalışan kullanım durumlarına bağlı olarak benzersiz olacaktır. Dikkate alınması gereken şeyler arasında mevcut kimlik doğrulama sistemleriyle (donanım ve yazılım) entegrasyon kolaylığı, bir veya daha fazla satıcıyı dahil etme kolaylığı ve çalışanların mevcut kimlik doğrulama yollarında (cihazlar ve sistemler) kesintiler yer alır.
İdeal olarak, geçiş anahtarı çözümleri uçtan uca şifresiz bir deneyim sunmalıdır. Bu, temaslı ve temassız okuyucular (cihazlara dahil edilebilir veya onlara bağlanabilir) tarafından okunan kurumsal sınıf cihaza bağlı geçiş anahtarı doğrulayıcıları ve arka uç kimlik doğrulaması dahil olmak üzere uçtan uca bir çözüm gerektirir. Bu, özellikle yüksek düzenleyici veya kurumsal gereksinimleri olan kuruluşların, en yüksek değere ulaşma süresine sahip benzersiz, uçtan uca iş gücü yolculuklarını uyarlamasını sağlar.
İşletmeler için kimlik bilgisi seçenekleri, ideal olarak, çeşitli kullanım durumlarına göre esneklik sağlamak için hem güvenlik anahtarlarını hem de akıllı kartları içermelidir. Güvenlik anahtarları, uzaktan erişim güvenliğini artırmak için güçlü çok faktörlü kimlik doğrulama (MFA) ve parolasız kimlik doğrulama için okuyucusuz bir çözüm sunar. Öte yandan akıllı kartlar, birleşik erişimin ek avantajını sağlar; bu, çalışanların hem tesislere fiziksel erişim hem de dijital kaynaklara parolasız erişim (yani, iş istasyonu oturum açma ve ağ erişimi) için zaten alışkın olduğu kimlik rozetlerinden yararlanabilecekleri anlamına gelir. Bu çok teknolojili, birleşik kimlik bilgisi seçenekleri genellikle mantıksal erişim için FIDO2, PKI ve OATH’yi destekler ve ayrıca, geleceğe yönelik dağıtımları etkinleştirmek için çeşitli arka uç kimlik doğrulama yetenekleri tarafından desteklenmelidir.
Son olarak, bir FIDO şifresiz kimlik doğrulama çözümü, iki önemli yetenekle iş gücü üretkenliğini ve operasyonel verimliliği artırabilir. İlk olarak, çözüm mantıksal erişim teknolojileri (FIDO, PKI ve OATH) arasında paylaşılan bir PIN’e sahip olma seçeneği sunabilir, böylece çalışanların aynı cihaz için iki PIN’i hatırlamalarına gerek kalmaz. Ayrıca bir PIN kurtarma yeteneğine de sahip olabilir – bazı kimlik bilgileriyle, PIN unutulursa veya kilitlenirse, kimlik bilgisi artık kullanılamaz. Bu yetenek, geçiş anahtarlarının uzaktan kilidinin açılmasını sağlayarak yardım masası çağrılarını azaltır ve yapılan yatırımın değerini en üst düzeye çıkarır.
İşletmelerin, koruma ve kullanım kolaylığı arasında en iyi dengeyi kurabilmeleri için MFA seçeneklerinin daha geniş evreninde geçiş anahtarlarını giderek daha fazla dikkate almaları gerekiyor. FIDO teknolojisi ve geçiş anahtarları halihazırda bir organizasyonun stratejisinin bir parçası olsun veya yöneticilerin iş gücüne kademeli olarak dahil etmeyi planladığı bir şey olsun, günümüzün uçtan uca FIDO şifresiz çözümleri, ilk dağıtımların yanı sıra gelecekteki yükseltmeler için de yolu açıyor.
Cihaza bağlı geçiş anahtarlarını seçen işletmeler ihtiyaç duydukları güvenliğe ulaşır ve akıllı kart kullananlar için bu geçiş anahtarlarını hem kapıdan içeri girmek hem de iş uygulamalarına ve iş istasyonlarına erişmek için bir çalışan kimlik rozeti olarak kullanmanın ek avantajı vardır. Bu yüksek değerli, birleşik erişim yeteneği, iş gücü/kurumsal ortamlarda kolayca entegre edilebilen tek ve kullanışlı bir cihazla sunulur. Parolasız kimlik doğrulaması ile üretkenliği artırırken güvenlik yatırımlarının değere dönüşme süresini en üst düzeye çıkarır.
