Şifre Henüz Ölmedi. Bir Donanım Anahtarına İhtiyacınız Var


Ağustos ayında, İnternet altyapısı şirketi Cloudflare, çok sayıda teknoloji şirketini ihlal etmeyi başaran devasa bir suçlu kimlik avı çılgınlığında yüzlerce hedeften biriydi. Bazı Cloudflare çalışanları kimlik avı mesajlarıyla kandırılırken, saldırganlar şirketin sistemlerinde daha derine inemediler. Bunun nedeni, Cloudflare’nin güvenlik kontrollerinin bir parçası olarak, her çalışanın tüm uygulamalarda oturum açarken kimliğini kanıtlamak için bir fiziksel güvenlik anahtarı kullanması gerektiğidir. Haftalar sonra şirket, Cloudflare müşterilerine indirimli anahtarlar sunmak için donanım kimlik doğrulama belirteci üreticisi Yubikey ile bir işbirliği yaptığını duyurdu.

Bununla birlikte, donanım belirteçlerinin güvenlik korumasında yüksek olan tek şirket Cloudflare değildi. Bu ayın başlarında Apple, kullanıcı hesaplarında iki faktörlü kimlik doğrulamayı ilk kez kullanıma sunduktan yedi yıl sonra, Apple Kimlikleri için donanım anahtarı desteğini duyurdu. Ve geçen hafta, Vivaldi tarayıcısı Android için donanım anahtarı desteğini duyurdu.

Koruma yeni değil ve birçok büyük platform ve şirket yıllardır donanım anahtarı benimsemeyi destekledi ve çalışanların bunları Cloudflare’ın yaptığı gibi kullanmasını zorunlu kıldı. Ancak ilgi ve uygulamadaki bu son artış, bir dizi artan dijital tehdide yanıt olarak geliyor.

Abnormal Security’de tehdit istihbaratı direktörü ve FBI için eski bir dijital davranış analisti olan Crane Hassold, “Fiziksel kimlik doğrulama anahtarları, hesapların ele geçirilmesine ve kimlik avına karşı korunmak için günümüzde en etkili yöntemlerden bazılarıdır” diyor. “Bunu bir hiyerarşi olarak düşünürseniz, fiziksel belirteçler, e-posta doğrulamasından daha etkili olan SMS doğrulamasından daha iyi olan kimlik doğrulama uygulamalarından daha etkilidir.”

Donanım kimlik doğrulaması çok güvenlidir, çünkü anahtara fiziksel olarak sahip olmanız ve onu üretmeniz gerekir. Bu, çevrimiçi bir kimlik avcısının dijital bir hesaba girmek için birisini parolasını veya hatta bir parola artı ikinci faktör kodunu vermesi için kandıramayacağı anlamına gelir. Bunu zaten sezgisel olarak biliyorsunuz, çünkü kapı anahtarlarının tüm önermesi budur. Birisinin ön kapınızı açmak için anahtarınıza ihtiyacı olacaktır ve anahtarınızı kaybederseniz, bu genellikle dünyanın sonu değildir, çünkü onu bulan kişi hangi kapının kilidini açtığını bilemez. Dijital hesaplar için, üzerinde küçük bir devre çipi olan akıllı kartlar, dokunma kartları veya yakın alan iletişimi kullanan fob’lar dahil olmak üzere, FIDO Alliance olarak bilinen bir teknoloji endüstrisi derneğinin standartlarına göre oluşturulmuş farklı türde donanım anahtarı vardır. veya cihazınızdaki bir bağlantı noktasına takılan Yubikey’ler gibi şeyler.

Muhtemelen düzinelerce hatta yüzlerce dijital hesabınız vardır ve hepsi donanım belirteçlerini desteklese bile, hepsi için fiziksel anahtarları yönetmek zor olacaktır. Ancak en değerli hesaplarınız ve diğer oturum açma işlemleri için yedek olan hesaplarınız (yani e-postanız) için donanım anahtarlarının güvenlik ve kimlik avına karşı dayanıklılığı, önemli ölçüde gönül rahatlığı anlamına gelebilir.

Bu arada, yıllarca süren çalışmanın ardından teknoloji endüstrisi nihayet 2022’de uzun süredir vaat edilen şifresiz bir geleceğe doğru büyük adımlar attı. Hareket, yine FIDO standartları üzerine inşa edilmiş “geçiş anahtarları” adı verilen bir teknolojinin arkasında ilerliyor. Apple, Google ve Microsoft’un işletim sistemleri artık bu teknolojiyi desteklemektedir ve diğer birçok platform, tarayıcı ve hizmet bunu benimsemiştir veya benimseme sürecindedir. Amaç, kullanıcıların zayıf parolalar gibi güvenli olmayan geçici çözümler kullanmamaları için dijital hesap kimlik doğrulamalarını yönetmelerini kolaylaştırmaktır. Ne kadar dilerseniz isteyin, her yerde bulunabilmeleri sayesinde parolalar yakın zamanda kaybolmayacak. Geçiş anahtarlarıyla ilgili tüm bu dedikoduların arasında, donanım belirteçleri hala önemli bir koruma seçeneğidir.

Bağımsız kimlik gizliliği ve güvenlik danışmanı Jim Fenton, “FIDO geçiş anahtarlarını parolalar ve donanım tabanlı FIDO kimlik doğrulayıcıları arasında bir yere konumlandırıyor ve bence bu adil bir tanımlama,” diyor. “Geçiş anahtarları birçok tüketici uygulaması için muhtemelen doğru cevap olsa da, donanım tabanlı kimlik doğrulayıcıların finansal kurumlardaki personel gibi daha yüksek güvenlikli uygulamalar için bir rolü olmaya devam edeceğini düşünüyorum. Ve daha fazla güvenlik odaklı tüketiciler, özellikle verileri daha önce ihlal edilmişse, net değerleri yüksekse veya yalnızca güvenlikle ilgileniyorlarsa, donanım tabanlı kimlik doğrulayıcıları kullanma seçeneğine sahip olmalıdır.”

Dijital güvenlik yapılacaklar listenize bir en iyi uygulama daha eklemek ilk başta gözünüzü korkutsa da, donanım belirteçlerinin kurulumu aslında kolaydır. Ve onları birkaç kez kullanarak çok fazla mesafe kat edeceksiniz, ahem, anahtar hesaplar.



Source link