“Parolasız” terimi, iyi bir nedenle bu tür bir çözüm sunduğunu iddia eden satıcı sıkıntısı olmayan modaya uygun bir pazarlama terimidir. Parolayı hatırlamak zor ve nahoş bir iştir, parola sıfırlama işlemleri zaman alıcıdır ve her zaman doğru şekilde çalışmaz ve parola sorunları çalışan üretkenliğini azaltır ve çok fazla yardım masası talebi oluşmasına neden olur. Belki de en önemlisi, bu kimlik doğrulama biçiminin modası geçmiş ve güvensizdir.
Ne zaman böyle bir kategori teknoloji alıcıları için heyecan verici olsa, pek çok satıcı türü kendilerini sohbete dahil etmeye çalışır. Terim, orijinal anlamı sulandırarak, bitişik kategorilere uyacak şekilde gerilir ve bükülür. Sonuç olarak, birçok satıcı, gerçekte parolasız olmayan teknoloji ürünleri sunarken aktif olarak “parolasız” çözümlerini tartışıyor.
Kuruluşun büyük bir bölümünün artık uzak yaşam tarzları yaşıyor olması, daha iyi, daha güvenli kimlik doğrulama ihtiyacını büyütüyor ve bu noktada parolasız kimlik doğrulama devreye giriyor. Ancak bir ortamın gerçekten parolasız olduğunu nasıl anlarsınız?
Parolasız bir kullanıcı deneyimi değildir; bu sadece bir yan ürün. Parolasız bir mimaridir. Bu bir strateji.
Kimlik doğrulama sistemi kullanıcının bunları hatırlamasını ve bir forma girmesini gerektirmese bile parolaların var olabileceğini anlamak önemlidir. Bu kullanıcı gereksiniminin kaldırılması, kesinlikle çalışanların üretkenliğine fayda sağlayabilecek ve yardım masası üzerindeki yükü azaltabilecek bir iyileştirmedir. Ancak, bir parola veya başka bir paylaşılan sır varsa, güvenlik açıkları devam eder.
Paylaşılan Sır Nedir?
Gerçekten parolasız olması için çözüm, paylaşılan gizli tabanlı kimlik doğrulamasından yararlanamaz. Paylaşılan bir sır, insanlar tarafından kullanılan en eski kimlik doğrulama biçimidir. Bu, size sırrın ne olduğu söylenmedikçe tahmin edilmesi son derece zor olan belirli bir bilgi parçasıdır. Her iki taraf da sırrı biliyorsa, erişim haklarını veya ayrıcalıklarını doğrulamak için bunu kullanabilirler.
Filmlerde gördüğünüz konuşmaları düşünün. Birisi bir kuruluşa girmek isterse, o kişi kapıyı çalar ve diğer taraftaki huysuz bir çalışan ‘Parola nedir?’ diye sorar. Katılımcı, parolayı belirtir ve bu, erişime izin vermek için yeterli kabul edilir. Bu, en basit haliyle paylaşılan bir sırdır. Bilgi işlem ortamlarında paylaşılan sırlar farklı şekillerde iletilir, ancak aynı temel stratejiyi izlerler. Her iki taraf da aynı bilgiyi biliyor ve iletmeyi bekliyor. Parolalar, bilgi işlem ortamlarında en yaygın paylaşılan sır biçimidir.
Paylaşılan Sırlarla Çok Sayıda Güvenlik Açıkları Geliyor
Parolalar ve diğer paylaşılan sırlar çeşitli güvenlik riskleri taşır:
- Kaba kuvvet ve sözlük saldırıları
- Parola yeniden kullanımı ve kimlik bilgileri doldurma
- “Dark web”de satılan oturum açma kimlik bilgileri
- E-dolandırıcılık
- Sosyal mühendislik saldırıları
- Anahtar günlüğü
- Ekran kazıma
- Ortadaki kötü niyetli aktör (MITM)
İnsanların parola seçme ve hatırlama gereksinimini ortadan kaldırmak, yeniden kullanım ve sözlük ya da kaba kuvvet saldırıları gibi bu güvenlik açıklarından bazılarını azaltabilir. Ancak, parolalarla ilişkili tüm güvenlik açıklarını ortadan kaldırmaz.
Pek çok sözde “şifresiz” çözüm, yalnızca halen geçerli olan parolaları gizler. Bu, bu çözümleri bir tür şifre yöneticisi veya kasa yapar. Bazıları çoklu oturum açma (SSO) ve diğer parola soyutlama katmanlarını kullanırken, diğerleri parolaları betiklere ve çeşitli otomasyon yaklaşımlarına gömer. Parolasız yerine, sözde parolasız veya daha az parolalı çözümler olarak adlandırabiliriz.
Yine, bu tür çözümler daha iyi kullanıcı deneyimleri sunar, çünkü bir kullanıcının bir parolayı hatırlaması ve girmesi gerekmez, ancak bunları güvenlik açısından parolasız olmakla karıştırmayın. Parolalarla gelen güvenlik açıkları hala var:
- Gömülü şifreler hala şifredir.
- Parola soyutlama katmanları hala parolaları kullanır.
- Ve nihayetinde, paylaşılan sırlar hala mevcuttur.
Kimlik kanıtı başka bir mekanizmadan gelmelidir. Bugün bunu sağlamanın tek pratik mekanizması, ortak anahtar altyapısı (PKI) teknolojisi aracılığıyla dijital kimliktir.
Gerçek Parolasız Mimari PKI Tabanlıdır
PKI, özel ve genel anahtarlardan (asimetrik sırlar) oluşan bir şifreleme mimarisine dayanır ve parolalarla ilgili birçok sorunu önler. Özel anahtar, görünüşte rasgele sayılardan oluşan uzun bir diziye benzer ve önceden anlaşılan bir algoritmaya dayalı olarak, genel anahtar olarak adlandırılan şeyi hesaplamak için kullanılabilir. Bu, görünüşte rasgele sayıların farklı, uzun bir dizisidir.
Şifreleme algoritmaları, özel anahtarı hesaplamak için genel anahtarı kullanmanın bir yolu olmadığı için özeldir. Böylece, genel anahtar herkesle paylaşılabilir ve özel anahtar hala güvendedir. Aynı zamanda, yalnızca özel anahtarın sahibi, genel anahtarla şifrelenmiş herhangi bir şeyin şifresini çözebilir.
Kuruluşlar, kullanıcıların kimliklerine ve bir ortamda kullanılan makinelere (yani yazılım, cihazlar, botlar vb.) PKI tabanlı dijital sertifikalar ekleyerek, tüm dijital aktörlerin CISO’ların istediği erişim ve izinlere sahip olmasını sağlayan parolasız bir mimari uygulayabilir. sahip olmak. Ancak bunu yapmak, yalnızca bir cihazın veya sunucunun kimliğini kriptografik olarak sağlamakla ilgili değildir çünkü BT ekiplerinin, cihazı kullanan kişinin amaçlanan kullanıcı olduğundan da emin olması gerekir. Bunu yapmak için bir PIN gerekir.
Kimlik doğrulama dünyasında bir ifademiz var, “Sahip olduğun ve olduğun ya da bildiğin şey.” Parolasız kimlik doğrulamayı güvenle kullanmak için bunlardan ikisinin kurulmasına ihtiyacımız var. Bu durumda, erişim veya izin verilen kişinin mülkiyetinde olduğu kriptografik olarak kanıtlanmış bir cihaz “sahip olduğunuz şeydir”. Bu cihazı kullanmak için bir PIN veya eşdeğeri ya da bir biyometrik ile kilidini açabilmeniz gerekir. Bu, “bildiğin şey” veya “olduğun şey”dir.
PIN’lerin ve PIN eşdeğerlerinin parola olmadığını anlayın. Bir PIN, saklandığı cihazdan ayrılmaz. PIN’ler, yalnızca uygun sahipleri için cihazlara erişim sağlar. Sır hiçbir zaman bir ağ üzerinden dışarı çıkmadığından, parola saldırıları PIN’ler üzerinde çalışmaz.
Ayrıca, yardım masalarının yükünü azaltmak için Sertifika Yaşam Döngüsü Yönetimi (CLM) aracılığıyla kullanıcılara yetki vermek ve sertifikaları süre dolmadan önce yenilemek için güçlü otomasyon alternatifleri mevcuttur ve destek ekibine zaman kazandırır.
Bu parolasız bir mimaridir ve maksimum güvenliktir.
Gerçek Şifresizliğe Giden Yol
Gerçek evrensel parolasız kimlik doğrulama, öngörülebilir gelecekte pek çok kuruluş için pratik olmayacaktır çünkü bazı mevcut sistemlerin parolasız hale getirilmesi çok zor veya pahalı olacaktır. Bu, hiçbir koşulda PKI tabanlı kimlik doğrulamayı destekleyemeyebilecek bazı eski sistemleri içerir.
Kuruluşların güvenliği artırmak için yapabileceği şeyler olduğunu unutmayın. Aşamalı veya hibrit bir yaklaşım düşünün. Asimetrik sırları (gerçek parolasız) destekleyen ve desteklemeyen sistemlerin envanterini çıkarın ve mümkün olan en yakın çözümleri arayın.
Çeşitli sistemlerin, süreçlerin, ortamların ve departmanların göreli risklerini değerlendirin ve ardından “paranın karşılığını en iyi şekilde ödeyin” stratejisini izleyerek şifresiz uygulamayı parçalar halinde uygulayın. Bu durumlarda, işletmeler yine de “daha az parola” stratejisi izleyebilir. Örneğin, bazı sistemler asimetrik sırları desteklemeyebilir ancak bir tür SSO ile simetrik belirteçleri destekleyebilir. Bu, ortadan kaldırılamayan parolaların acısını azaltacaktır. Kullanıcı deneyimi, daha az destek sorunuyla daha iyi ve daha güvenli olacaktır.
Sorunlu sistemler güncellendikçe bunlara şifresiz ekleme imkanı. En düşük ortak payda yanılgısına kanmayın, “şifresiz uygulamayı her yerde uygulayamazsam, hiçbir yerde uygulamaya zahmet etmeyeceğim.”
Parolalar günün her saniyesinde ağdan geçiyor ve kaçınılmaz olarak kötü aktörlerin eline geçecek. Bazı yerlerde kullanılmaları gerekse bile, beraberinde gelen riski en aza indirmeye çalışın. CISO’ların yaratıcı olması, ancak dikkatli bir envanter alması ve bu sistemler üzerinde ödev yapması gerekir. Bazı kullanım durumları için “sözde parolasız” yeterince iyi olabilirken, diğerleri gerçek parolasız gerektirebilir. Farkı anladığınızdan emin olun.
yazar hakkında
Tim Callan, Sectigo’nun Uyum Direktörüdür. Şirketin CA uygulamalarının endüstri ve düzenleyici gerekliliklere ve şirketin yayınlanan Sertifika Uygulamalarına uygun olmasını sağlamaktan sorumludur. Tim, başarılı B2B yazılım ve SaaS şirketlerinde strateji ve ürün lideri olarak yirmi yılı aşkın deneyime, SSL ve PKI teknoloji alanlarında on beş yıllık deneyime sahiptir.
Tim’e çevrimiçi olarak LinkedIn’de ve şirketimizin web sitesinde https://sectigo.com/contributors/tim-callan ulaşılabilir.