Joshua Parsons, Ürün Pazarlama Müdürü, Enzoic
Veri ihlallerinin olağan hale gelmesi ve parolaların temel neden olarak bulunması nedeniyle, güvenlik ekipleri siber savunmalarını geliştirmeye yardımcı olacak parola alternatifleri arıyor. Bu, çoklu oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve parolasız kimlik doğrulama dahil olmak üzere artan sayıda seçenekle sonuçlanmıştır.
Bu yeni kimlik doğrulama seçeneklerinin, parolalarla ilgili sayısız sorunun yanıtı olduğu düşünülüyor. Bir kullanıcının artık karmaşık bir parolayı hatırlaması gerekmez; bunun yerine kimlik doğrulama, sahip oldukları, bildikleri veya oldukları bir şey kullanılarak gerçekleştirilir. Buna örnek olarak bir donanım belirteci, bir akıllı telefon, tek seferlik bir parola (OTP) veya parmak izi gibi bir biyometrik işaretleyici verilebilir.
Apple, Google ve Microsoft, şifresiz bir gelecek için baskı yapanlar arasında ve yukarıda belirtilen alternatifler ivme kazanıyor. Kimlik doğrulama ile mevcut sürtüşmenin çoğunu ortadan kaldırma fikri kesinlikle çekici; ancak, parolaların aniden gereksiz olacağını düşünmek için biraz erken. Pek çok parolasız çözümün arkasına baktığınızda, sık sık kimlik doğrulamanın altında hala bir parola olduğunu görürsünüz.
O halde, şifrelerin hala oyunda olduğu yerleri keşfedelim.
Arıza Koruması Olarak Parolalar
Apple cihazları kullanıyorsanız, muhtemelen Touch ID ile ilgili sorunlarla karşılaştınız. Örneğin, sensörde kalıntı veya sistemle ilgili bir sorun varsa Touch ID artık çalışmaz. Bu olduğunda, şifrenizi girmeniz gerekir. Bu nedenle, Touch ID kullansanız bile her uygulamanın güvenliği bir parolaya bağlıdır. Dijital ekosistemde giderek yaygınlaşan biyometri ile bu zorluklar Apple ürünleriyle sınırlı değil. Sonuç olarak, biyometrik kimlik doğrulama için yedek olarak bir şifreye sahip olunması devam edecektir.
Arka Uçta Kimlik Doğrulama
Parolaların kalıcı olmasının bir başka nedeni de, güvenlik zincirinin bir noktasında sistemin kimliğini doğrulamak için kimlik bilgilerine hâlâ ihtiyaç duyulmasıdır. Örneğin, fiziksel bir ofise girmek için biyometrik bir yöntem kullanırsanız ve bu yöntem işaretçiyi okuyamazsa, sistem varsayılan olarak benzersiz bir erişim kodu kullanır. Bununla birlikte, BT yöneticisi verileri analiz etmek için oturum açtığında ve kimlik bilgilerinin bütünlüğünü sağlamak için ilişkili bir çözüm olmadan bir parola kullanıyorsa, sistemin genel güvenliği hâlâ potansiyel olarak tehlikeye atılmış bir parolaya bağlıdır.
Parolasız Duman ve Aynalar
Bu örnekler, parolasız kimlik doğrulamanın – arzu edilirken – henüz bir gerçeklik olmadığını göstermektedir. Ancak, yöntemin tek kusuru bu değildir. Biyometri ve diğer görünmez güvenlik stratejileri, aşağıdakiler de dahil olmak üzere bazı ek zorluklara sahiptir:
- Maliyet Kısıtlamaları
Bu yeni kimlik doğrulama teknolojilerinin çoğundan yararlanmak, genellikle dizüstü bilgisayarların ve diğer cihaz donanımlarının güncellenmesini gerektirir. Bu nedenle, kuruluşların tüm çalışanlarının yerleşik biyometrik tarayıcılara sahip ekipmana sahip olmasını sağlayabilmesi için önemli bir zaman ve para yatırımı gerekecektir.
- Entegrasyon Engelleri
Parolasız bir sistem uygulamak, eski teknolojilerle uyumsuzluğun üstesinden gelmeyi gerektirebilir. Çok sayıda kullanıcısı, birden çok uygulaması, hibrit altyapısı ve karmaşık oturumları olan kuruluşlar için bu sistemlerin dönüştürülmesi önemli kaynaklar gerektirir. Karmaşık sistemlerin mevcut birlikte çalışabilirliği ve parola kullanma kolaylığı düşünüldüğünde, bu durum mevcut durumla karşılaştırıldığında ürkütücü görünüyor.
- Esneklik Eksikliği
Parola kolayca değiştirilebilir, düzenlenebilir ve güncellenebilir, ancak parolasız çözümlerde durum böyle değildir. Örneğin, sesli imzalara veya retinal taramaya dayanan sistemlerde bir ihlal olursa ve kullanıcıların verileri açığa çıkarsa, bir biyometrik işaretleyici oluşturamaz veya sıfırlayamazsınız. Ayrıca, derin sahte teknoloji daha yaygın hale geldikçe, kötü aktörlerin insanların biyometrik tanımlayıcılarını ele geçirmesi ve yeniden kullanması daha da kolay olacaktır.
Parolasız çözümler daha yaygın hale geldikçe, bilgisayar korsanları güvenlik açıklarından yararlanmak için her türlü fırsatı arayacaktır. Bu tehditle mücadele, aşırı çalışan güvenlik ekiplerine ek bir yük getirecektir.
Şifre Sorunu
Parolalarla ilgili sorunlar, zayıf kimlik bilgilerinden yaygın yeniden kullanıma kadar iyi bir şekilde belgelenmiştir. Parolaların kalıcı olduğu göz önüne alındığında, kuruluşlar dikkatlerini parolasız seraptan uzaklaştırmalı ve bunun yerine parola koruma stratejilerini modernleştirmeye odaklanmalıdır.
Veri ihlallerinin sürekli bir tehdit oluşturduğu bir dünyada, her oturum açmada şifreleri güvenliği ihlal edilmiş kimlik bilgilerinden oluşan canlı bir veritabanına karşı taramak çok önemlidir. Parolanın yedek olarak mı yoksa birincil kimlik doğrulama aracı olarak mı kullanıldığına bakılmaksızın, şirketlerin açık kimlik bilgilerinin kullanımını sürekli olarak izlemesi çok önemlidir. Enzoic’in güvenliği ihlal edilmiş dinamik kimlik bilgisi tarama çözümü, şirketlerin tüm süreci otomatikleştirmesine, güvenliği hızlı ve verimli bir şekilde iyileştirmesine olanak tanır. Veritabanı günde birkaç kez otomatik olarak güncellendiğinden şirketler, parola güvenliklerinin BT departmanının manuel çalışmasına gerek kalmadan en son güvenlik ihlali istihbaratını ele alacak şekilde otomatik olarak geliştiğinden emindir.
Kimlik bilgilerini oluşturulurken taramak ve daha sonra bütünlüklerini sürekli olarak izlemek, parola güvenliğine yönelik modern bir yaklaşımın önemli bir bileşenidir. Daha önce güvenli olan bir parolanın güvenliği ihlal edilirse, kuruluşlar uygun eylemi otomatikleştirebilir; örneğin, bir sonraki oturum açmada parolayı sıfırlamaya zorlamak veya BT sorunu araştırana kadar erişimi tamamen kapatmak.
Parolasız çözümler ortaya çıkmaya devam edecek ve kuruluşların farklı seçenekleri keşfetmesi gerekiyor. Ancak, parolaların öngörülebilir gelecekte kimlik doğrulama karışımının hayati bir parçası olarak kalacağını ve buna göre güvence altına alınması gerektiğini kabul etmelidirler.
Enzoic’in dinamik parola tehdidi istihbaratı ve bunun parola hijyenini güçlendirmeye nasıl yardımcı olabileceği hakkında buradan daha fazla bilgi edinin.
yazar hakkında
Joshua J. Parsons, Enzoic’te Ürün Pazarlama Müdürüdür ve burada pazara yenilikçi tehdit istihbaratı çözümleri getirmek için stratejilerin geliştirilmesine ve uygulanmasına liderlik etmektedir. Dijital inovasyona ve bunun bireyleri ve kuruluşları sürekli değişen siber tehditlerden korumak için nasıl kullanılabileceğine ömür boyu ilgi duymuştur. Topluluğa geri vermeye güçlü bir şekilde inanan Joshua, mezun olduğu Michigan Üniversitesi aracılığıyla bilgi güvenliği ve pazarlama ile ilgilenenlere akıl hocalığı yapıyor. İş dışında en yakın kitapçıda bulunabilir veya şehrin yerel kahve ortamını keşfedebilir.
Joshua’ya çevrimiçi olarak Linkedin (linkedin.com/in/jjparson) ve şirketimizin web sitesi http://www.Enzoic.com/ üzerinden ulaşılabilir.