Alex Laurie, Ping Identity Küresel Satış Mühendisliği Kıdemli Başkan Yardımcısı
Şifreler onlarca yıldır bizimle birlikte. Sorun şu ki, insanların hatırlayamayacağı kadar çok şey var; bunun büyük harfi mi, rakamı mı yoksa özel bir karakteri mi var? Çoğu zaman bilmiyoruz. Bu yüzden sorumluluğu bir şifre yöneticisine devrediyoruz ve formlar otomatik olarak doldurulmadığında tekrar hüsrana uğruyoruz.
Sinir bozucu olsa da, şifreler aynı zamanda her yıl milyarlarca dolarlık dolandırıcılığın kapısıdır. İnsanların hatırlayamayacağı kadar karmaşık şifreler talep etmenin, hizmetlere erişmenin tek yolu haline geldiği bu yolda devam edemeyiz.
Google, 2019’da cihazdaki çok faktörlü kimlik doğrulama (MFA) istemlerinin otomatik botların %100’ünü, toplu kimlik avı saldırılarının %99’unu ve sizin adınıza giriş yapmaya çalışan bilgisayar korsanlarının hedefli saldırılarının %90’ını önlediğini tahmin etti. Bu büyük bir başarıydı. Ancak suçlular duruma uyum sağladı ve şu anda güvenlik arayışında kötü adamların gerisinde kaldığımızı bir kez daha kanıtlayan ihlaller görüyoruz. Ve MFA çalışırken, bir saldırı sırasında yüzlerce kimlik doğrulama istemi alan bir kullanıcının, saldırganın erişim sağlaması için yalnızca bir kez yanlış düğmeye basması yeterlidir.
Artık bu sorunların şifresiz bir yaklaşımla ortadan kaldırılmasının zamanı geldi. Bu, kullanıcının hesabını bir kez oluşturmasını ve ardından oturum açma girişiminin gerçek olup olmadığını ölçmek için anlık bildirimler, tek kullanımlık şifreler ve biyometri gibi çeşitli yöntemleri kullanmasını gerektirir. Yapay zeka yenilikleri sayesinde bu, kuruluşlar için son derece gerçek ve doğru bir olasılıktır.
Peki şifresiz kimlik doğrulama pratikte nasıl çalışıyor? Sistem, ilk evcil hayvanınızın adı olan şifre gibi bildiğiniz bir şeye güvenmek yerine, sizin olduğunuz bir şeye (örneğin yüzünüz veya parmak izinize) veya sahip olduğunuz bir şeye (örneğin bir uyarı almak için bir akıllı telefona) göre çalışır.
Daha gelişmiş şifresiz kimlik doğrulayıcılar, gerçek bir oturum açma olasılığını analiz etmek ve kullanıcıya doğru türde istem göndermek için sinyalleri ve davranışsal öngörüleri kullanır. Bu sinyaller konumunuz, IP adresiniz veya onaylı cihaz MAC adresiniz olabilir. Ve davranışlar kullanıcı tercihlerini ve seçimlerini içerecektir. Örneğin, her zaman kullandığınız bir tarayıcıda genellikle yaptığınız saatte mi giriş yapıyorsunuz? Fareyi nasıl kullanıyorlar veya yazıyorlar (bu sinyal, botları kolayca filtreliyor)? Daha önce sahip olmadıkları şirket kaynaklarına erişmeye mi çalışıyorlar?
Parolasız sistem, bu okumaları birleştirerek ve analiz ederek her kullanıcıya/oturum açma girişimine bir risk puanı verir. Bir eşik aşılırsa, bunun gerçek bir oturum açma girişimi olup olmadığının kontrol edilmesi için bir bilgi istemi gönderilir veya oturum tamamen kapatılabilir ve kullanıcı atılır.
Ancak zorluk, şifresizliğe yönelik herkese uygun tek bir yaklaşımın bulunmamasıdır. Pek çok kişi için yeni olduğu için şirketlerin bunu uygulamaya koymadan önce kendi dolandırıcılık ve risk önceliklerini değerlendirmesi gerekiyor. Burada bir kurumun yapabileceği en faydalı şeylerden biri yazılım hizmetlerini SAML ve OAuth, OpenID Connect gibi kabul görmüş standartları kullanarak geliştirmektir. FIDO2 WebAuthn, kısmen Apple, Google ve Microsoft’un yanı sıra çeşitli popüler cihazların, tarayıcıların ve işletim sistemlerinin üreticileri tarafından da benimsenmesi nedeniyle popüler hale geldi. Hazırlık tamamlandıktan sonra şirket, çalışanlar, tedarikçiler ve müşteriler için güvenliği ve oturum açma sorunlarını dengeleyen kimlik doğrulama yolculukları tasarlayabilir. Elbette, kullanıma sunma sırasında ortaya çıkan sorunları ortaya çıkarmak için yeterli telemetri toplanana kadar mevcut kimlik doğrulama yöntemlerini devre dışı bırakmamak kritik öneme sahiptir. Korunmasız gitmemelisiniz.
Yapay zeka deneyimin temelini oluşturur. Modellerin her oturum açma girişimi hakkında bilgi edinmesine ve her kullanıcının profilini hassaslaştırmasına olanak tanıyacak. Bu modeller zaten bankalara işlemlerde ve müşterilerin yurt dışında olup olmadığının belirlenmesinde yardımcı oluyor ve şimdi de kötü aktörlerin, yapmamaları gereken sistem ve kaynaklara erişmelerini engellemeye yardımcı oluyor.
Dolandırıcılık söz konusu olduğunda her zaman zayıf bir halka, yani insanlar olacaktır. Bu durumu hafifletmeye yardımcı olmak için, bunlara çok fazla güvenilmediğinden emin olmamız gerekiyor; bu, şifrelerin mümkün olan en kısa sürede kullanımdan kaldırılması gerektiği anlamına geliyor. Verizon’a göre saldırganlar, şirketlere erişmek için kimlik avı yapmak veya bir güvenlik açığından yararlanmak yerine çalınan kimlik bilgilerini kullanıyor. Bu tek başına bizi şifresizliğe doğru itmeye yetecektir.
Kimlik erişimi yönetimi sektörü, bu değişikliğin hızlı bir şekilde gerçekleşebilmesi ve çok çeşitli kurumsal ve tüketici uygulamalarına uygulanabilmesi için standartları uygulamaya koymaya çalışıyor. Kimlik doğrulama deneyimine eklenen dolandırıcılık önleme teknolojisi, kuruluşların, insanları ve şirketleri kandırarak paralarını ve sırlarını ele geçiren dolandırıcıları daha başarılı bir şekilde durdurmalarının yoludur.
Reklam