Mayıs ayının ilk perşembe günü kutlanan Dünya Şifre Günü, bu yıl da kimlik doğrulama uygulamalarının gücünün incelenmesi gerektiği konusunda alışıldık bir hatırlatma görevi gördü. Şurası bir gerçek: Oturum açma sırasında girilen parolalar sistemlere, uygulamalara ve cihazlara erişimi korumak için artık tek seçenek değil. Parolalar doğal zayıflıklarına rağmen her yerde, herhangi bir cihazda, herhangi bir zamanda kullanılabilmeleri sebebiyle varlıklarını sürdürüyorlar. Ama daha iyi koruma ve gelişmiş kullanıcı deneyimi sözü ile parolasız bir geleceği gerçeğe dönüştürmek için, önde gelen tüm işletim sistemi / tarayıcı geliştiricileri, daha doğrusu yazılım dünyasının hemen her ismi, büyük ölçekte uygulanan yeni bir küresel kimlik doğrulama standardını hayata geçirmek için uğraşıyor.
Her ne kadar parolasız bir gelecek için sektördeki pek çok ismin çok fazla çalışması gerekecek olsa da, "parolasızlığın" firmalar için ilk sıralarda yer aldığını görmeye başlıyoruz. Hatta Gartner'ın tahminlerine göre 2022 yılına kadar büyük ve küresel işletmelerin yüzde 60'ı, şifresiz sistemlere geçiş yapmayı planlıyor. Orta ölçekli işletmeler için ise bu oran yüzde 90'a yükseliyor. Bu da şifresiz bir geleceğin önem listesinde yerini kanıtlıyor. Ama organizasyonların buna gerçekten hazır olup olmadığı sorusu da baş köşede duruyor.
Çok faktörlü kimlik doğrulama yükseliyor
Çok faktörlü kimlik doğrulamayı (MFA) kullanmanın birinci nedeni güvenliği artırmak ve geçtiğimiz yıl karma çalışma ortamlarında yaşanan artış da buna katkıda bulundu. Yakın tarihli bir çalışmada ankete katılanların yaklaşık yarısı (yüzde 49) da, güvenlik nedenleriyle 2FA/MFA kullanımlarını artırma ihtimallerinin daha yüksek olacağını belirtti.
Daha fazla cihazın daha fazla yerden sistemlere ve uygulamalara erişmesi ile beraber, potansiyel saldırı alanları da genişliyor. Şirketler bunun yarattığı risklerin farkında olmalarına rağmen, şifreler uzaktan çalışmanın artmasından çok daha önce de sorunlara neden oluyordu. Bu genişleyen saldırı alanı, şirketlerin sadece ayrıcalıklı kullanıcıları değil, tüm kullanıcıları koruma ihtiyacına da dikkat çekiyor. Defalarca yaşanan ihlaller, alt düzey çalışanların kötü amaçlı kişiler için bir "giriş yolu" olarak kuruluşu savunmasız bırakabileceğini kanıtlıyor.
Kimlik avı, kimlik bilgileri doldurma ve diğer siber tehditler, yıllardır kurumlar için büyük bir veri ihlali riski oluşturuyor. Parolaları erişim için tek anahtar haline getiren şirketler, bu parolaların ele geçirilmesi durumunda pek çok kötü sonuçla karşı karşıya kalıyor.
Buna rağmen, başlarken de söylediğimiz gibi, şifreler varlıklarını sürdürmeye devam ediyor. Bunun sebebine yönelik bir ipucu ise kullanıcı davranışlarında ortaya çıkıyor. Güçlü iki faktörlü kimlik doğrulama (2FA) kullanmak için zorlayıcı güvenlik nedenleri olsa da, genel kullanımda benimsenmesi için kolay olması gerekiyor. Mobil tabanlı kimlik doğrulayıcılar ve SMS tabanlı MFA en çok benimsenen MFA teknolojileri arasında yer alıyor ancak bunlar, kayıtlı kişinin mobil kapsama alanında cep telefonunun ücretlendirilmesine ve tek seferlik bir kodun doğru bir şekilde kopyalanmasına dayanıyor. Bu durum da SMS kodlarının veya tek seferlik 'kopyalanıp yapıştırılan' şifrelerin benimsenmesinde bir engel olduğu görülüyor.
Buna rağmen parolalara olan bağımlılığımızdaki herhangi bir azalma, ileriye doğru atılmış bir adım olarak görülebilir. Güvenlik, kullanıcının bildiği ek bir şey (bir sorunun yanıtı gibi) veya sahip olduğu bir şey (tek kullanımlık parola veya OTP gibi) sunularak güçlendirilir. Ancak bu önlemler tüm riskleri ortadan kaldırmaz.
Unutulmaz bir kelime/yanıt, bir parola gibi çalınabilirken, SMS kullanılarak gönderilen bir OTP, 'SIM-swap' dolandırıcılığının kurbanı olabilir veya bir kullanıcı, bu ek bilgiye ulaşması için meşru bir nedeni olduğuna inandığı birine bu bilgiyi sağlaması için kandırılabilir. Hatta mobil push uygulamaları bile çalınabilir.
Bir kişinin kim olduğuna bağlı (parmak izi veya yüz anatomisi gibi biyometrik bir tanımlayıcı) veya donanım tabanlı bir güvenlik anahtarı gibi ek faktörler kullanılabilir. Bu ek faktörler, bir saldırganın uzaktan erişimini çok daha zor hale getirir. Son yıllardaki gelişmeler, MFA'nın kurumsal olarak benimsenmesini ve uygulanmasını kolaylaştırıyor ve FIDO2 ve WebAuthn gibi güvenlik standartları, şu anda önde gelen işletim sistemi platformları ve tarayıcıları tarafından destekleniyor.
Açık bir kimlik doğrulama standardı olan FIDO2, FIDO U2F'nin bir uzantısı ve ortak anahtar şifrelemesine dayalı olarak aynı düzeyde yüksek güvenlik ve kimlik avına karşı yüksek düzeyde dirençli bir protokol sunuyor. WebAuthn, FIDO2'nin temel bir bileşeni ve web kimlik doğrulaması için küresel olarak kabul edilen ilk standart. Birlikte, erişilebilir entegrasyon yoluyla MFA'nın amacını desteklerler.
Parolalar tamamen yok olur mu?
Nereden başlayacağını düşünen kuruluşlar, parolasız kimlik doğrulama amacına yönelik mevcut altyapılarını tamamen elden geçirmelerini gerektirmeyecek karma bir yaklaşıma öncelik vermek zorunda. Birçok kurumsal altyapı, eski şirket içi sistemlerin ve özel veya genel bulutta barındırılan hizmetlerin bir karışımını içerdiğinden, bu özellikle önemli oluyor. Yani parolalardan kurtulmanın yolu her şeyi tepe taklak etmek değil.
Birden çok kimlik doğrulama protokolünü destekleyen donanım tabanlı güvenlik anahtarları, parolasız geleceğe yolculuk için bir köprü sağlayabilir. Yöneticiler self servis kaydına izin verebilir. Güvenlik anahtarları, uzak çalışanlara dağıtılmadan önce kullanıcılar için önceden kaydedilebilir. Çalışanların, kullanımı kolay ve çeşitli ek yazılımlar veya uygulamalar yüklemeden kullanıma hazır yeni bir güvenlik yaklaşımını benimseme olasılığı daha yüksektir. Ayrıca, self servis ve kendi kendine kurtarma seçeneklerinin kolay etkinleştirilmesi, daha az BT desteği talep edilmesine yardımcı olur.
Peki tüm bunlardan ne anlıyoruz? Öncelikle artık basit parolalardan kurtulmak zorundayız; orası kesin. Ama bunun için sistemlerin uygun hale getirilmesi şart. Parolaların ölümünün ne zaman olacağı, şimdilik dev şirketlerin bu konuda ne kadar hızlı davranacağına bağlı. Şu an için her şeyin bir anda olup biteceğini beklemeyin. Ama atılan her adımın, parolasız bir gelecek için önemli olduğunu da kabul etmek zorundayız...