Yazan: Sam Rehman, Kıdemli Başkan Yardımcısı, Bilgi Güvenliği Baş Sorumlusu, EPAM Systems, Inc.
Parola kullanmak, gittiğiniz her yere büyük bir anahtar seti taşımak gibidir. Örneğin kapılardan geçebilirsiniz, ancak onları kaybederseniz, sadece sıkışıp kalmakla ve hiçbir yere gidememekle kalmazsınız, aynı zamanda artık başka biri onları kullanabilir ve gitmemesi gereken yerleri ziyaret edebilir. Bu senaryoda olduğu gibi verimsizlik meydana geldiğinde bir değişiklik yapılması gerekir. Aynı şey, bir güvenlik sözleşmesi olarak genellikle yanlış bir güvenlik hissi veren şifreler için de geçerlidir. Bir araştırma, her üç katılımcıdan ikisinin, kaydetmedikleri takdirde şifrelerini unutacaklarını ortaya çıkardı. Birden fazla biçimde kaydedilenler çalınma olasılığını artırır. Benzer şekilde, Amerikalıların yarısından fazlası her ay en az beş kez şifre sıfırlama işlemi gerçekleştiriyor ve her seferinde 10 dakika sürüyor. Parola sıfırlamalar aynı zamanda saldırganların sistemlere sızması için de önemli bir araçtır ve çok sık kullanıldığı için savunucuların anormallikleri tespit etmesi zordur.
Dahası, insanlar çevrimiçi alışveriş yapmaya, çalışmaya ve etkileşime girmeye devam ettikçe, şifreleri ve buna bağlı olarak korudukları özel bilgiler kötü aktörlere karşı daha savunmasız hale geliyor. Parolalarla ilgili tüm sorunlara rağmen, parolasız bir gelecek mümkün müdür ve bunu başarmak için ne gerekir?
Parolasız ve Sıfır Güven
Geçmişte, uygulamalar arasındaki etkileşimleri ve bunların internete erişimlerini sınırlandırma süreci veya güvenlik duvarı, siber güvenlik için başvurulan stratejiydi. Ancak çitler artık kaleyi elinde tutmuyor ve sıfır güven ön planda olmaya başladı. Sıfır güven olgunlaştıkça, kamuoyu bunun tek bir ürün değil, ileri teknoloji çözümlerini, süreçlerini ve politikalarını kapsayan bir kavram olduğunu kabul etmeye devam ediyor. Sıfır güvenin temel ilkelerinden bazıları, genellikle yeniden sertifikalandırma olarak adlandırılan, risk tespiti ve kimlik doğrulamanın kullanıcının işlemi (neye eriştiği, nerede, ne zaman vb.) bağlamında değerlendirilmesini içerir.
Sıfır güvenin bir diğer temel direği de kimliğin sık sık doğrulanmasıdır. Ve konu kişinin kimliğini güvence altına almaya geldiğinde, temel hususlardan biri güçlü kimlik doğrulamadır. Parolasız geçişin ivme kazanmaya devam etmesinin temel nedenlerinden biri, kullanıcıyı tanımlamanın temel bir bileşeni olduğu için güçlü kimlik doğrulamaya yönelik baskıdır. Pek çok kişi artık sıfır güvenin kimlik doğrulama ilkelerine uymadığı için şifrelerin bozulduğunun farkında. Benzer şekilde, şifre sahibinin bildiği her şey, hatırladığı her şey, kötü niyetli bir aktör, kimlik avı, telefon dolandırıcılığı veya başka kötü niyetli yöntemlerle bunları sosyal mühendislikle elde edebilir.
Biyometriye Çok Fazla Güvenmenin Kusurları
Parolasız uygulamaların yükselişinin ardındaki ikinci neden ise biyometridir. Bir kişinin telefonunda yüz kimliğinin veya parmak izi kimliğinin bulunması çok kullanışlıdır ve çalınabilecek şifreleri hatırlama sıkıntısını ortadan kaldırır. Ek olarak, bu biyometrik kimlik doğrulama yöntemleri, kriptografik tabanlı kimlik doğrulama sorunlarının üstesinden gelir. Bununla birlikte, şifresiz sistemlerin kusurları vardır, özellikle de telefon biyometrisine çok fazla bağımlı olduklarında ve merkezi kimlik doğrulamaya tam olarak bağlanmadıklarında. Bir kişinin telefonunda biyometri kullanmak sahte bir güvenlik duygusu yaratır çünkü telefonun kime ait olduğu doğrulanmaz.
Örneğin, birçok kişi çocuğunun veya başka bir aile üyesinin biyometrik kimlik parmak izini telefonuna kaydetmektedir. Bir işlem bildirimini doğrulamak için biyometri kullandıklarında, bu süreç, işlemi doğrulayan kullanıcının hesap sahibi mi yoksa telefona kayıtlı başka bir kişi mi olduğunu doğrulayamaz. Böyle bir yöntem, son kullanıcının kimliğini doğrulamadığı için sıfır güvene uymamaktadır. Ne yazık ki çoğu şifresiz çözüm, hesap sahibi ile telefondaki biyometri arasındaki bu boşluğu kapatamaz.
Biyometri sahibi ile hesap sahibi arasında bağlantı yoksa, bir saldırgan sahte hesap kurtarma veya yeni cihaz kayıt sürecinden geçerek biyometri bilgilerini sahibinin hesabına bağlayarak hesap sahibinin kimlik bilgilerine erişebilir. Bu senaryo, şifresizliğe geçişin Aşil topuğudur ve şifresiz bir modeli benimsemek isteyen şirketlerin bu boşluğu doldurması gerekir.
Çok Faktörlü Kimlik Doğrulama ve Merkezi Olmayan Veri Depolama
Parolasız biyometrik çok faktörlü kimlik doğrulama çözümü, yeni telefon veya hesap kurtarma planlarındaki boşluğu veya güvenlik açığını giderebilir. İdeal durumda bu çözüm, telefon biyometrisine dayanmamalı, ancak herhangi bir cihaz veya tarayıcıdan erişilebilen güvenli, merkezi bir biyometri veritabanına göre kimlik doğrulaması yapmalıdır. Böyle çok faktörlü bir yöntem, kullanıcının cihazları arasında tekrarlanabilir; ayrıca biyometrinin rahatlığını ve kimlik doğrulamasını ortadan kaldırmaz.
Parolasız biyometrik çok faktörlü kimlik doğrulama çözümünün bir diğer önemli bileşeni, biyometrik verileri merkezi olmayan bir ağ üzerinden güvence altına alma yeteneğidir. Bu merkezi olmayan ağ, işletmelerin biyometrik verileri (veya herhangi bir kişisel veriyi) benzersiz ve yenilikçi bir şekilde korumak için gereken altyapıyı uygulamasına olanak tanıyacak; dahası, kimlik doğrulaması için merkezi bir tesisin faydalarını korurken, verilerin depolandığı ve korunduğu merkezi olmayan bir yöntemin güvenliğini de korur.
Tipik olarak insanlar merkeziyetsizliği duyduklarında akıllarına blockchain gelir. Ancak kimlik veya biyometrik verileri depolamak için blockchain’den daha iyi çözümler var. Blockchain, aynı deftere güvenen birçok taraf arasındaki işlemleri paylaşmak için yeterli olsa da, düzenlenemez veya kullanıcılar kaldırılamaz. Günümüzde Genel Veri Koruma Yönetmeliği veya GDPR uyumlu olmak için kullanıcıların kaldırılabilmesi gerekiyor. Alternatif olarak işletmeler, biyometrik ve diğer hassas verileri sıfır bilgi kanıtları ve çok taraflı bilgi işlem gibi kavramlara dayalı merkezi olmayan bir ağ üzerinde depolayabilir ve güvence altına alabilir.
Kullanıcı Deneyimi ve Şifresiz Çözümler
Markalar şifresiz biyometrik modellere geçerken kullanıcı deneyimini de unutmamalı. Parolasız kimlik doğrulama süreçleri rahat ve doğal olmalıdır; kullanıcıların sürekli olarak birçok farklı döngüden geçmesi optimal değildir. Benzer şekilde, işletmelerin de hizmet verdikleri çeşitli nüfusları hatırlaması gerekiyor, özellikle de herkesin teknoloji konusunda bilgili olmaması nedeniyle. Bazı eski nesiller için QR kodunu taramak karmaşık olabilir. Bir çözüm seçerken (çok faktörlü kimlik doğrulamaya ve veri depolama için merkezi olmayan bir ağa sahip bir çözüm bulmanın yanı sıra), farklı popülasyonlara hitap eden birden fazla yöntem sunan bir satıcı seçin.
yazar hakkında
Sam Rehman, EPAM Systems’de Bilgi Güvenliği Baş Sorumlusu (CISO) ve Siber Güvenlik Başkanıdır ve burada bilgi güvenliğinin birçok yönünden sorumludur. Bay Rehman’ın yazılım ürünü mühendisliği ve güvenliği alanında 30 yılı aşkın deneyimi vardır. EPAM’ın CISO’su olmadan önce Bay Rehman, Cognizant’ın Dijital Mühendislik İşi Başkanı, Arxan’ın CTO’su ve Oracle’ın Sunucu Teknolojisi Grubunda çeşitli mühendislik yönetici rolleri de dahil olmak üzere sektörde bir dizi liderlik görevi üstlendi. EPAM’daki ilk görevi Teknolojiden Sorumlu Başkan ve Küresel Teslimat Eş Başkanı olarak gerçekleşti.
Bay Rehman, yazılım güvenliği, bulut bilişim, depolama sistemleri ve dağıtılmış bilişim konularında patentli buluşlara sahip bir seri girişimci, teknoloji uzmanı ve müjdecisidir. Çok sayıda güvenlik ve bulut şirketine stratejik danışman olarak hizmet vermiştir ve çok sayıda güvenlik sektörü yayınına düzenli olarak katkıda bulunmaktadır.