Kimse şifreleri sevmez. Veya daha spesifik olarak, hiç kimse şifreleri hatırlamaya çalışmaktan hoşlanmaz, özellikle de şirket sistemleri kullanıcıları her 60 veya 90 günde bir şifrelerini değiştirmeye zorladığında.
Endüstri standartları, sekiz ila 12 karakter arasında karmaşık bir dizi büyük ve küçük harf, sayı ve simge içeren, kullanıcıların sık sık şifre değiştirmesini teşvik edecek şekilde geliştirildi. Kimlik bilgisi hırsızlığını engellemesi gerekiyordu, bu yüzden şirketler bunu zorunlu kıldı.
Ancak Ulusal Standartlar ve Teknoloji Enstitüsü, dijital kimlik kurallarını iyileştirmek amacıyla şifre önerilerini değiştiriyor.
Ajans artık kullanıcıların şifrelerini yılda dört veya altı kez değiştirmelerini önermiyor. Bunun yerine, önceki parolanın ele geçirilmesi durumunda yeni bir parola kullanılması gerekir.
NIST, şifrelerin en az sekiz karakterden oluşması gerektiğini söylese de, tüm karmaşık kombinasyonlar olmadan 15 karakterden oluşan şifreler ve 64 karaktere kadar parolalar öneriyor.
Değişikliklerin nedeni, bu gereksinimleri zorlamanın aslında şifreleri zayıflattığı teorisidir.
Bu, şifre yorgunluğundan muzdarip olan herkes için harika bir haber gibi görünüyor, ancak giderek daha fazla kişi, ister üçüncü taraf bir seçenek ister işletim sistemlerinde yerleşik araçlar olsun, bir tür şifre yöneticisi kullanıyor.
Pek çok şirket, kimlik bilgilerine koruma katmanları eklemek için bir tür çok faktörlü kimlik doğrulamaya veya biyometrik sisteme ihtiyaç duyar ve bazıları şifre aşamasını tamamen atlamanıza izin verir.
Kimlik doğrulama teknolojisindeki ilerlemeler bile şifrelerin sonu anlamına gelmiyor.
Okta’nın teknik strateji ve ortaklıklardan sorumlu başkan yardımcısı Stephen Lee’ye göre, şifreler hiçbir yere gitmiyor çünkü mevzuata uygunluk kapsamında gerekli olmaya devam ediyorlar.
Okta’nın Oktane konferansında Lee, “Ve bunun bir kısmı eski bir şey çünkü çoğu uygulama hala şifre kullanıyor” dedi.
Bazen başka seçenek yoktur. Diğer kimlik doğrulama teknolojilerini kullanma konusunda engelleri olan endüstriler ve şirketler var. Örneğin pek çok devlet kurumu çalışanların ofislerinde akıllı telefon bulundurmalarına izin vermiyor, dolayısıyla SMS veya uygulama tabanlı yetkilendirmeye dayanan kimlik doğrulayıcıları kullanamıyorlar.
Kimlik tabanlı saldırıların önlenmesi
Okta’nın CSO yardımcısı Charlotte Wylie’ye göre şifreler artık şimdiki zamana ait değil; geçmişte kalan bir şey olarak düşünülmeli. Bunlar hantaldır ve zayıf şifrelerin tahmin edilmesi çok kolaydır.
Bu durum kimlik tabanlı saldırılara yol açarak sadece kullanıcıları değil aynı zamanda ürettikleri verileri de açığa çıkarıyor.
Yönetim açısından bakıldığında, verileri ve ağları korumanın anahtarı, doğru kişilerin doğru zamanda doğru erişime sahip olmasını sağlamaktır. Belirli parola yönergelerini vurgulamak yerine yaşam döngüsü yönetimini temel alan bir kimlik yönetişim aracı kullanmak daha iyidir.
Wylie, Las Vegas’taki Oktane’de yaptığı bir konuşma sırasında, “Kimlik ve güvenlik el ele gider, dolayısıyla bu, kimliğin sıfır güvenden korunmasıyla ilgilidir” dedi.
Giderek artan sayıda saldırı kimlik içeriyor; bu da erişimin sıkı bir şekilde yönetilmesini ve güvenliğin kimlik çözümlerine dahil edilmesini önemli kılıyor.
Wylie, “Müşterilerimizin kimlik tabanlı saldırı olasılığını azaltmak için bu teknolojiyi olabildiğince çabuk benimsemelerini istiyoruz” dedi.
Kullanıcıların doğru uygulamalara veya verilere doğru zamanda erişmesini sağlayacak, kimlik yönetimini ve sürekli bağlamsal kimlik doğrulama yetkilendirmesini destekleyen bir hareket var.
Zscaler iş ve kurumsal geliştirme başkan yardımcısı Punit Minocha’ya göre, kimlik yönetimi çözümlerine odaklanmak ve daha geleneksel kimlik doğrulama modellerinden uzaklaşmak kesintileri önlüyor, yetkisiz erişimden kaynaklanan güvenlik riskini ortadan kaldırıyor ve daha iyi bir işbirliği sağlıyor.
Sürekli bağlamsal kimlik doğrulama yetkilendirmesi sayesinde, güvenlik ekipleri şüpheli erişimi ve olası kimlik bilgisi hırsızlığını gerçek zamanlı olarak yakalayabilir. Lee, sıfır güven mimarileri ve tek oturum açma ve kimlik erişim yönetimi gibi çözümlerle parolanın öneminin azaldığını söyledi.
Odak noktasını kimlik yönetimine ilişkin araçlara kaydırmak, çalışanları işe alırken veya işten çıkarırken şirketlere de fayda sağlar. Ayrıca çalışanların yeni rollere geçtiğinde veya yeni projeler üstlendiğinde de yardımcı olabilir; BT’nin erişimi eklemesi ve kaldırması zaman alır.