Bu Help Net Security röportajında Stytch CTO’su Julianna Lamb, parolasız kimlik doğrulamanın avantajlarını tartışıyor. Parolaların ortadan kaldırılması, veri ihlallerini azaltır ve oturum açma sürecini basitleştirerek kullanıcı deneyimini iyileştirir.
Lamb ayrıca geçiş anahtarları gibi parolasız kimlik doğrulama yöntemlerinin teknik zorluklarını ve ekonomik sonuçlarını da ele alıyor.
Kullanıcı deneyimi açısından şifresiz geçişin faydaları nelerdir?
Günümüzde veri ihlallerinin büyük çoğunluğu insan unsurunu içeriyor ve bugün kötü aktörlerin en yaygın “giriş yolu” hâlâ çalıntı veya güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla oluyor. Bunun nedeni, parolaların kullanıcılara büyük bir yük getirmesidir; ya farklı uygulamalar için çok sayıda parolayı hatırlamanız, parolaları yeniden kullanmanız (tavsiye edilmez) ya da bir parola yöneticisi hizmeti kullanmanız (bunun benimsenmesi nispeten düşüktür) gerekir. Parolalar aslında şirketler veya kullanıcılar için artık çalışmayan eski bir kimlik doğrulama biçimidir.
Şirketler şifresiz hale gelerek ihlal riskini önemli ölçüde azaltabilir ve aynı zamanda müşterileri için kaydolma ve oturum açma işlemlerini çok daha kolay hale getirebilir. Sihirli bağlantılar, OAuth veya Geçiş Anahtarları gibi yöntemlerle kimlik doğrulama bir veya iki tıklamayla gerçekleştirilebilir, bu da erişim hızını artırır ve gecikmeleri azaltır, kullanıcıyı elde tutma ve erişilebilirliği artırır. Parolasız kimlik doğrulama yöntemleri aynı zamanda parola sıfırlama isteklerini ortadan kaldırarak destek maliyetlerini düşürür ve büyüyen kullanıcı tabanıyla kolayca ölçeklenirken parolanın kötüye kullanılmasıyla ilgili dahili tehditleri de en aza indirir.
Kuruluşlar parolasız kimlik doğrulamayı uygularken hangi teknik zorluklarla karşılaşabilir?
Geçiş anahtarları gibi parolasız kimlik doğrulama yöntemleri, son kullanıcılar için görünüşte basit olsa da, geliştiricilerin ortak parolaları uygularken halletmesi gereken pek çok karmaşıklık olabilir. Bu, birden fazla platform için mimari oluşturmayı, bu platformlardan gelen her güncellemeye uyum sağlamayı, hesap kurtarma ve kilitleme sorunlarını ele almayı, oluşturma ayarlarını yapılandırmayı ve otomatik doldurma ve senkronizasyon gibi kullanıcı arayüzü karmaşıklıklarını yönetmeyi içerir. Bu sorunlar daha sonra kopuk bir kullanıcı deneyimine neden olabilir ve işletmeleri güvenlik sorunlarına karşı savunmasız bırakabilir, bu da başlangıçta parolasız kimlik doğrulamasına geçişi engelleyebilir.
Bir kuruluş için parolasız kimlik doğrulamasına geçişin ekonomik sonuçları nelerdir?
Parolasız kimlik doğrulama akışları daha hızlı ve daha kolay olup sonuçta daha iyi kullanıcı deneyimleri, etkileşim oranları ve yaşam boyu değer sağlar. Aslında, müşterilerin şifresiz kimlik doğrulamayı entegre ettikten sonra katılım sırasında %80’den fazla dönüşüm oranı elde ettiğini gördük. Parolasız geçiş, güvenliği ve rahatlığı artırarak kullanıcı deneyimini geliştirir.
Öncelikle araştırmalar, her şifre sıfırlama akışının üretkenlik ve destek süresi kaybında 70 dolardan fazlaya mal olduğunu gösteriyor. Toplamda ortalama bir kuruluş, şifrelerin yarattığı rahatsızlıklardan dolayı her yıl yaklaşık 5,2 milyon dolar kaybediyor. Parolasız geçiş, bu masrafları önemli ölçüde azaltır veya ortadan kaldırır ve çalışanlar oturum açmak ve parolaları yönetmek için zaman harcamadığında, genel üretkenlik artar ve bu da bir kuruluşun yatırım getirisinin artmasına yol açar.
Son olarak, şifrelerin hesapları korumada başarısız olduğu durumlarda maliyet daha da ciddi olur. Yapay zeka destekli dolandırıcılar, parola püskürtme, kimlik bilgileri doldurma ve bot destekli kimlik avı saldırıları gibi yöntemlerle daha karmaşık hale geldikçe, bu tür saldırılar daha da yaygınlaşacak. Geçiş anahtarları gibi parolasız kimlik doğrulama yöntemleri, kimlik avı ve kimlik bilgisi doldurmaya karşı daha dirençli olup şirketleri önemli mali kayıplardan ve itibar kaybından kurtarır.
Yeni parola doğrulama yöntemlerine ve teknolojilerine yatırım yaparken her zaman yapılması gereken bir başlangıç mali yatırımı olsa da, bu başlangıç ön maliyetlerinin, kuruluşların bir veri ihlali veya kimlik avı saldırısı sonucunda kaybedeceği paradan önemli ölçüde daha az olduğuna inanıyoruz.
Parolasız kimlik doğrulamayı benimserken düzenleme ve uyumlulukla ilgili hususlar nelerdir?
İşletmelerin, parolasız kimlik doğrulamayı benimserken çeşitli düzenleme ve uyumluluk hususlarını göz önünde bulundurabilmesi gerekir. kullanıcı verilerini koruyun Ve yasal gerekliliklere uymak, farklı coğrafyalarda ve sektörlerde. Buna, özellikle biyometrik verilerin işlenmesi ve kullanıcı onayının alınmasıyla ilgili olarak, GDPR ve CCPA gibi veri koruma yasalarına uygunluğun sağlanması da dahildir.
Birlikte çalışabilirliği ve güvenliği sağlamak için FIDO Alliance gibi kuruluşlar tarafından belirlenen kimlik doğrulama standartlarına bağlılık gerçekten önemlidir. Kuruluşların sağlam güvenlik önlemleri alması, düzenli değerlendirmeler yapması ve veri kullanımı ve koruma uygulamaları konusunda şeffaflığı sürdürmesi gerekiyor.
ADA ve WCAG yönergelerine bağlılık gibi erişilebilirlik uyumluluğu, engelli kullanıcılar için kapsayıcılık sağlar. Bu hususların ele alınması, yasal risklerin azaltılmasına, kullanıcı güveninin oluşturulmasına ve parolasız kimlik doğrulama sistemlerinde genel güvenliğin geliştirilmesine yardımcı olur.
Parolasız kimlik doğrulamanın geleceğinde hangi eğilimleri öngörüyorsunuz?
Her şeyden önce gelecek şifresizdir. Pek çok şirket bugün şifresiz geçişe geçmeye hazır olmasa da (çoğu çeşitli nedenlerden dolayı hazır değil), önümüzdeki on ila yirmi yıl içinde tüm sektörlerde şifresiz geçişe geçeceğimizden ve kullanımda olacağımızdan eminim. çünkü çok daha güvenli ve kullanıcı dostudurlar.
Artık geçişin daha hızlı gerçekleşeceğini düşünmemizin nedenlerinden biri de geçiş anahtarları. Bu, kurucu ortağım ve benim özellikle heyecanlandığımız, şifresiz bir kimlik doğrulama formudur. WebAuthn (geçiş anahtarlarına güç sağlayan teknoloji) birkaç yıl önce ilk kez tanıtıldığında heyecanlanmıştık ancak kullanıcı deneyiminde hala yaygın olarak benimsenmesini durdurabilecek birkaç engelin olduğunu fark ettik. Yani, WebAuthn cihaz açısından kısıtlıydı: şifrenizi birden fazla cihazda kullanmak için ya küçük bir fiziksel donanım parçasını takip etmeniz gerekiyordu VEYA akıllı telefonunuzda biyometri gibi bir şey kullanabiliyordunuz ancak bu, şifreyi cihazınızda kullanamayacağınız anlamına geliyordu. diyelim ki masaüstünüz. Ancak bugün pek çok insan hayatını birden fazla cihazda yaşıyor; bu belki de şifrelerin WebAuthn’da hâlâ sahip olduğu tek avantajdı.
Ancak geçiş anahtarlarıyla, WebAuthn’a güç sağlayan bu genel anahtar şifrelemesi artık cihazlarda, hatta işletim sistemlerinde (Android ve MacBook’a sahip nadir türler için) kullanılabilir. Bu, parola yöneticilerinin güncellenmesi veya parolaların manuel olarak hatırlanması gibi zaman alıcı bakımlar gerektirmeden, parolaların kolaylıkla değiştirilebilmesini sağlar.
Bu teknolojinin kolaylığına, son zamanlarda haberlere konu olan kimlik bilgisi kaynaklı veri ihlallerindeki artış da eklendiğinde, kullanıcıların ve şirketlerin benzer şekilde yeni bir kimlik doğrulama yöntemini benimseme konusunda çok daha istekli olduklarını düşünüyorum. Geçiş anahtarlarının, şirketlerin ve kullanıcıların parolasız bir geleceğe tam geçiş yapmalarına yardımcı olmada bir dönüm noktası olacağına kesinlikle inanıyorum. Önümüzdeki birkaç yıl içinde kurucu ortağım ve ben, uygulamaların büyük çoğunluğunun, baskın kimlik doğrulama seçeneği olarak geçiş anahtarlarına sahip olacağını tahmin ediyoruz.