Zayıf Kimlik Doğrulama Yöntemlerini Merkezi Olmayan Güvenlik Altyapısıyla Değiştirmek: Parolasız Bir Geleceğe Doğru Hareket


Anonybit CEO’su Frances Zelazny tarafından

Çevrimiçi hesapların güvenliğini sağlama konusundaki son gelişmeler, çoğumuzun dijital ayak izimizi korumayı öngörme biçimimizi etkili bir şekilde değiştirdi – en önemli öncelikler gizliliği korumak ve çevrimiçi kimlik güvenliğini korumak. Dönüştürücü olsa da, bu gelişmeler hava geçirmez bir güvenlik aracı değildir.

Son birkaç yılda devam eden kimlik sahtekarlığı seli aşılmaz. Yalnızca 2021’de, kimlik sahtekarlığı kurbanlarının %59’u, kurban başına birden fazla hesapta yaklaşık ortalama 12.000$’lık mali kayıp değeriyle, toplam hesap ele geçirmeyi onayladı. Her yıl 6 milyar dolarlık kişisel kayıpla hesap devralma, hızla dolandırıcılık kaybının önde gelen biçimi haline geldi. Bu nedenle, sektördeki güvenlik uzmanları, ilerlemenin yolunun, parolaları ortadan kaldırmak ve bunları biyometri gibi daha güvenli faktörlerle değiştirmekten başlayarak, güçlendirilmiş kimlik doğrulamasından geçtiği konusunda hemfikirdir.

Güçlü kimlik doğrulama, geleneksel olarak, çoğu hala bir tür parola kullanımına dayanan çok faktörlü kimlik doğrulama (MFA) yöntemleriyle eş anlamlıdır. Bununla birlikte, parolalarla ilgili talihsiz gerçek, parolaların yalnızca doğal olarak bozuk olmaları değil, aynı zamanda en yaygın kimlik doğrulama faktörü olmalarıdır. Bu nedenle, çok faktörlü kimlik doğrulamanın herhangi bir uygulaması, bunların dahil edilmesiyle zayıflar.

Yüksek güvenceli güçlü kimlik doğrulama, birçok endüstri uzmanının, çok faktörlü kimlik doğrulamanın biyometri ile birleştirildiği hesapların güvenliğini sağlamak için çok daha üstün bir yaklaşım olduğuna inandığı şeydir. Yalnızca son beş yılda, yüksek güvenceli kimlik doğrulama toplu ölçekte benimsenerek 2017’de %5’ten 2018’de %16’ya ve hatta 2021’de %24’e çıktı. Yüksek güvence ve biyometrik ile kimlik doğrulama ABD’de çekiş kazanıyor, parola bağımlılığının yaygınlığı, hesaplarındaki kullanıcıların %49’unda hala var. Bu şaşırtıcı yüzdeye rağmen, daha güçlü kimlik doğrulama yöntemlerinin artan farkındalığı, yakın gelecekte uygulanması için umut vericidir.

Halihazırda olduğu gibi, yüksek güvenceli kimlik doğrulamanın yaygın olarak benimsenmesi, büyük ölçüde FIDO Alliance tarafından yönetilmektedir. 2013 yılından bu yana, FIDO, kullanıcı cihazlarını güvenli bir çevrimiçi hizmete bağlayan ve ardından belirli bir cihazda depolanan biyometrik bilgilere dayanan bir dizi açık standart ve spesifikasyon aracılığıyla güçlü kimlik doğrulaması sağlamaya çalıştı. Bu işlemi daha erişilebilir hale getirmek, her yerde bulunmasının anahtarı gibi görünüyor, ancak cihaz biyometrisi, erişmeye çalıştıkları hesabın sahibinin değil, yalnızca cihaz sahibinin kimliğini doğruladığı için ele alınması gereken boşluklar da var. Bu boşluk saldırganlar tarafından istismar edildiğinde, yaşadığımız artan dolandırıcılık oranlarına daha fazla katkıda bulunur.

Tüketici uygulamaları için biyometrinin her yerde bulunmasına doğru ilerlemek için üstesinden gelinmesi gereken başka sorunlar da var. Şu anda, FIDO kimlik bilgileri yalnızca belirli bir cihaz için oluşturulur; bu, erişimi sorunsuz bir şekilde doğrulamak için her cihaz veya tarayıcının ayrı olarak sağlanması gerektiği anlamına gelir. Birden fazla cihazı yönetmek sadece zor olmakla kalmaz, aynı zamanda tüketici açısından da deneyimi düşürür. Sonuç olarak, FIDO Alliance, kullanıcıların herhangi bir yerden, herhangi bir zamanda ve herhangi bir cihazdan kimlik doğrulamasını sağlayacak çok cihazlı kimlik bilgilerinin verilmesi çağrısında bulundu.

Bu modele geçiş birkaç soruyu akla getiriyor, ilki: yeni bir kullanıcı cihazıyla, tüm kimlik bilgilerinin veya anahtarların kendisine emanet edilmesine izin verecek kadar yüksek düzeyde bir güvenceyi nasıl kurarsınız? İkinci olarak, dijital varlıklar, taşıma sırasında veya satıcı deposunda beklemedeyken olası bir tehlikeye maruz kalmadan nasıl güvenli bir şekilde yedeklenebilir ve aktarılabilir? Ve son olarak, birlikte çalışmaktan caydırılan farklı cihaz üreticilerinde tüm bunlar nasıl oluyor?

Biyometrik bilgiler depolandığından ve belirli bir cihaza bağlı olduğundan, başka herhangi bir cihazdan kimlik doğrulaması yapılmasına güvenilemez, bu da orijinal cihazdan alınan biyometrik numunelerin artık kullanılamayacağı ve geri dönüş bir kez daha daha az olan diğer kimlik doğrulama faktörleri olacağı anlamına gelir. güvence seviyeleri. Ek olarak, kriptografik varlıkların yedekleme tesislerine gönderilmesi, bu bilgilerin geçiş halindeki siber saldırganlar tarafından gizlice dinlenmesine neden olur. Son olarak, bir satıcının tesisi saldırıya uğrarsa, saklanan tüm şifreleme anahtarları, tüm hesaplarına sınırsız erişim sağlayabilir.

Bu zorlukların her ikisini de ele almanın çözümü, cihazdan bağımsız olarak yüksek düzeyde kimlik doğrulama güvencesi sağlayabilen merkezi olmayan bir bulut altyapısında yatmaktadır. Biyometriyi merkezi olmayan bir bulut altyapısına uygulamak, bir kullanıcının biyometrik verilerinin kontrolünde olduğu ve biyometrinin kendisine birden fazla tarafça erişilemediği FIDO’nun gizlilik ilkeleriyle uyumludur.

Bunu tam olarak gerçekleştirecek teknoloji oldukça yeni olsa da, şirketler çok taraflı bilgi işlem ve sıfır bilgi kanıtları gibi teknikleri biyometrik verileri anonim parçalara bölen şekillerde kullanmaya çalışıyorlar. Bu veri bitleri daha sonra merkezi olmayan bir ağ üzerinden ayrı ayrı güvence altına alınır ve merkezi olmayan bir şekilde eşleştirilebilir, böylece hem beklemede hem de işlem sırasında güvenlikleri sağlanır. Aynı altyapı, FIDO kimlik bilgileri gibi kriptografik varlıkları güvence altına almak için de kullanılabilir. Parçalanmış kriptografik varlıklar, merkezi olmayan bir ağ üzerinden dağıtılabilir ve ancak bir kullanıcı biyometrik olarak kimlik doğrulaması yaptıktan sonra bu varlıklar, kullanıcının yeni cihazına bırakılır.

Çok daha büyük bir ölçeğe bakıldığında, bu kimlik doğrulama yöntemini her yerde yaygın hale getirmek için, benimseme için engelleyicileri geçmek çok önemlidir. Birçoğu hala eski güvenlik ve kimlik doğrulama yöntemlerine bağlı kalsa da, sayısız kullanıcının gizliliğini ve güvenliğini artırmak için mevcut teknolojileri ve altyapıları kullanmak için daha önce hiç bu kadar güçlü bir çağrı olmamıştı. Yaygın bir ölçekte elde etmek biraz zaman alabilirken, merkezi olmayan biyometri bulut altyapısı, bizi gerçekten şifresiz bir geleceğe doğru itecek çerçeveyi sağlar.

yazar hakkında

fransa YazarFrances, öncelikle biyometri ve dijital kimlik, fintech, veri ve analitik ve siber güvenlik konularına odaklanan yeni kurulan ve büyütülen şirketlerde 25 yılı aşkın deneyime sahip deneyimli bir pazarlama stratejisti ve iş geliştirme uzmanıdır. Frances, L-1 Identity Solutions, MyCheck, BioCatch ve son olarak Signals Analytics’te pazarlama ve strateji ekiplerini yönetti ve büyüyen şirketlere biyometri ve tanımlama sistemleri konusunda uzmanlık sağladığı kendi iş danışmanlığını yürüttü. Frances ayrıca sosyal ve ekonomik kalkınma için en iyi biyometri uygulamalarını teşvik etme konusunda hükümete ve çok taraflı kuruluşlara hizmet etti ve tüketici mahremiyeti ve biyometrinin sorumlu kullanımı için açık sözlü bir savunucu oldu. Biyometrik teknolojiyi merkezden uzaklaştırmak için çığır açan bir altyapı sağlayan (blok zincirinde değil!) ve gizliliği koruyan kimlik yönetimi için yeni bir kategori oluşturan Anonybit adlı en son girişimi.

Frances’e çevrimiçi olarak LinkedIn’den ulaşılabilir ve heyecan ve şirketimizin web sitesinde, Ad’a çevrimiçi olarak (EMAIL, TWITTER, vb.) ve şirket web sitemiz https://anonybit.io/ adresinden ulaşılabilir.

ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber ​​Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.





Source link