Parolalar W0r$T'dir!—Parolasız Kimlik Doğrulamayı Kabul Etme Zamanı

Parolaların doğası gereği siber güvenlik tehditlerine karşı savunmasız olduğunu herkes bilir. Bu nedenle, yakın zamana kadar parolalarınıza bir veya daha fazla koruma katmanı eklemek anlamına gelen çok faktörlü kimlik doğrulamayı (MFA) kullanmaya sürekli olarak teşvik ediliyorsunuz. Ancak son yıllarda, alternatif kimlik doğrulama yöntemlerinin artan çeşitliliği ve kullanılabilirliği, bir iş lideri olarak MFA'yı parolalar olmadan uygulamaya başlayabilmenizi sağladı.

Yakın tarihli 2022 Parolasız Kimlik Doğrulama Anketimiz, iş liderlerinin %82'sinin parolasız yöntemleri benimsemeye hazır olduğunu buldu. Öyleyse, parolaların yalnızca bir kısmı olsa bile, işletmenizin güvenliğini artırmaya nasıl başlayabileceğinizden bahsedelim.

Parolalar, kullanıcılar için sürtüşmeye neden olarak daha da zayıf güvenlik sağlar

Bir parolanın değerli olması için güçlü olması gerekir. 2022'de bu, sayıların, özel karakterlerin ve hem büyük hem de küçük harflerin bir karışımını içeren en az on iki karakter anlamına gelir. Ve her hesap için benzersiz bir şifre kullandığınızdan emin olun. Oh, ve onları düzenli olarak değiştirmelisiniz. Bir parolayı unutursanız, yeni bir parola oluşturmak için karmaşık bir süreçten geçin veya yardım masasında beklemeye alın.

Başka bir deyişle, parolalar kötü bir kullanıcı deneyimi sunar; bu nedenle çoğu kullanıcı temel parola protokollerini izlemekle uğraşmaz.

Yanıtlayanlarımızın %77'si endişe verici bir şekilde, en azından bazı zamanlarda birden fazla hesap için aynı parolayı kullanıyor; bu yüzdenin yaklaşık yarısı (%46) parolaları sıklıkla yeniden kullandığını kabul ediyor. Bu ciddi bir sorundur çünkü parolanın yeniden kullanımı, hesap ele geçirme saldırılarının ve veri ihlallerinin birincil nedenidir. Parolalarını nasıl hatırladıkları sorulduğunda, %26'sı bunları kağıda yazıyor, %25'i çevrimiçi bir belgede saklıyor ve %21'i kişisel olarak anlamlı bilgiler kullanıyor.

Parolalar, en iyi koşullarda nispeten zayıf güvenlik sağlar, ancak araştırmamızın gösterdiği gibi, birçok kullanıcı kendilerini (ve şirketini) neredeyse savunmasız bırakır. Bu, şirketinizi kimlik avı düzenlerine, tuş kaydedicilere, kaba kuvvet saldırılarına ve siber suçluların parolaları yenmek için kullandığı çok sayıda başka taktiğe karşı savunmasız hale getirir.

Peki şifresiz kimlik doğrulama tam olarak nedir?

Kulağa tam olarak böyle geliyor - şifre kullanmadan kimlik doğrulama. Ama bu o kadar basit değil. Birini arayıp "Şifresiz kimlik doğrulama siparişi vermek istiyorum" diyemezsiniz. Parolasızlığı bir hedef olarak düşünmeyin, bunu bir hedef olarak düşünün ve parolalardan kurtulma hedefinize yönelik kaydettiğiniz her ilerleme, şirketinizi daha güvenli hale getirir.

Daha ileri gitmeden önce, alternatifleri ve insanların onlar hakkında ne düşündüklerini inceleyelim. Üç temel kimlik doğrulama türü vardır:

Bugün, beş kişiden ikisinden fazlası (%43) hala bildikleri bir şeyi kullanmayı tercih ediyor – parolaların, PIN'lerin ve güvenlik sorularının kullanımı on yıllardır en yaygın kimlik doğrulama yöntemleri olduğundan bu şaşırtıcı değil. Şaşırtıcı olan, üç kişiden birinin (%38) biyometrik kimlik doğrulama olarak da bilinen bir şeyi kullanmayı tercih etmesidir. Sonuçlarımızı yuvarlayacak olursak, yaklaşık beşte biri (%19) sahip oldukları bir şeyi kullanmayı tercih ediyor.

Şifre alternatiflerini ve şirketinizdeki çalışanlar için en iyi olabilecek seçenekleri araştırırken bu tercihleri ​​göz önünde bulundurun.

Parolasız kimlik doğrulamayı benimseyerek güvenliği artırın

Parolasız kimlik doğrulama güvenliği artırabiliyorsa, geçiş yapmak ister misiniz? Bu soruyu 389 iş liderine sorduk ve %82'si evet dedi. Parolasız kimlik doğrulama tek faktörlü olarak gerçekleştirilebilirken (örneğin, telefonunuzun kilidini açmak için parmak izinizi kullanın), işletmeler kritik sistemlere ve hassas verilere erişimi korumak için MFA kullanmalıdır.

Neyse ki, neredeyse tüm iş liderleri (%95), şirketlerinin en azından bazı iş uygulamaları için MFA kullandığını söylüyor - %55'i bunu tüm uygulamalar için kullandığını söylüyor. Bu sayılar, bu soruyu sorduğumuz yıllar boyunca istikrarlı bir şekilde tırmanıyor. Bunun bir nedeni, MFA'nın yalnızca en iyi uygulama olmaması, giderek daha fazla gerekli olmasıdır. Anket yaptığımız iş liderlerinin yarısından fazlası (%56), şirketlerinin düzenlemelere göre (örneğin, HIPAA, PCI DSS, SOX) MFA kullanması gerektiğini ve %17'sinin bir siber sigorta poliçesi gereği bunu yapması gerektiğini söylüyor.

Tüm bunları göz önünde bulundurarak, şifresiz MFA'nın nasıl çalıştığına bir göz atalım.

Kimlik doğrulama belirteçleriyle parolasız MFA'yı etkinleştirin

Kimlik doğrulama belirteci, dijital varlıklara erişim sağlamak için bir kişinin kimliğiyle bağlantılı bir donanım aygıtıdır (veya veri nesnesidir). Tipik olarak bir akıllı telefon veya USB donanım anahtarı olan belirtecin, bağlı olduğu kimliğe kişisel olarak sahip olduğu varsayılır.

Bir belirteç olarak telefon, uzun yıllardır var ve bant dışı (OOB), tek kullanımlık şifre (OTP) ve giderek artan bir şekilde QR kodu kimlik doğrulamasından oluşuyor. Son zamanlarda, açık anahtar belirteçleri zemin kazanıyor ve belirteç tabanlı kimlik doğrulamanın geleceği olabilir. Şimdi bu farklı token türlerinin nasıl kullanıldığına bir göz atalım.

Bant dışı (OOB) kimlik doğrulama

Bazı OOB yöntemleri, e-postanıza bir kod gönderir veya hizmete anında erişmek için tıklayabileceğiniz bir "sihirli bağlantı" gönderir. Parolasız bir şemada e-posta ve sihirli bağlantıların kullanımının sorgulanabilir olduğunu belirtmekte fayda var, çünkü çoğu insan tek seferlik parolalarını veya bağlantılarını aldıkları e-posta hesabına erişmek için bir parola kullanıyor.

OOB kimlik doğrulaması, internet bağlantısı ve kablosuz ağ gibi kimlik doğrulama için iki farklı kanal kullanmak üzere tasarlanmıştır. OOB kimlik doğrulamasının yaygın bir örneği, telefonunuza bir web sitesine girdiğiniz bir kodla birlikte bir SMS mesajı veya otomatik sesli arama almanızdır. Diğer yöntemler, SMS mesajlarından daha güvenli olan push bildirimlerini içerir.

Tek seferlik parola (OTP) kimlik doğrulaması

OTP kimlik doğrulaması, daha sonra dijital bir varlığa erişim sağlamak için girilen geçici bir kod oluşturmak için genellikle bir cep telefonunda (donanım OTP cihazları mevcut olmasına rağmen) bir kimlik doğrulama uygulaması kullanılarak gerçekleştirilir.

Hızlı yanıt (QR) kodları

QR kodları, restoranlardan Super Bowl reklamlarına kadar her yerdedir ve giderek daha fazla güvenlik amacıyla kullanılmaktadır. Bir web sitesinin oturum açma bölmesinde görüntülenen QR kodunu taramak için bir akıllı telefon kullanarak kimliğiniz doğrulanabilir. Tabii ki dezavantajı, QR kodlarının telefonun kendisinden bir siteye erişim sağlamak için kullanılamamasıdır.

Açık anahtar belirteçleri

Açık anahtar belirteçleri, asimetrik şifreleme (yani bir genel ve özel anahtar çifti) kullanarak kimlik doğrulaması yapar ve genellikle bir X.509 sertifikası kullanır. Açık anahtar belirteçleri, USB donanım anahtarları, akıllı kartlar ve bluetooth veya NFC özellikli akıllı telefonlar ve giyilebilir cihazlar dahil olmak üzere yazılım tabanlı veya donanım tabanlı olabilir.

Belki de parolasız kimlik doğrulamanın geleceği olan Fast Identity Online (FIDO), ortak anahtar belirteçlerini içeren ve parolalara olan bağımlılığı azaltmak için özel olarak tasarlanmış bir dizi protokoldür. FIDO kimlik doğrulaması, biri kimlik doğrulayıcının kilidini açmak için ve diğeri çevrimiçi bir hizmetle kimlik doğrulama için gereken şifreleme anahtarlarını oluşturmak için olmak üzere iki adım kullanır.

Yerel cihazda kilidi açmak için ilk adımda kullanılan faktör, parmak izi, PIN girme veya özel bir donanım cihazı (örn., YubiKey) takma gibi mevcut olan herhangi bir seçenek arasından seçilebilir. FIDO kimlik doğrulayıcısının kilidini açtıktan sonra cihaz, servis sağlayıcının genel anahtarına karşılık gelen doğru özel anahtarı sağlar. İlk adımda sağlanan bilgiler gizli kalır ve kullanıcının cihazından asla ayrılmaz.

Bildiğiniz bir şeyle (ancak bir şifre değil!), olduğunuz bir şeyle ve diğer her şeyle kimlik doğrulama

Parolasız kimlik doğrulama, parola olmadığı sürece bildiğiniz bir şeyi kullanabilir. En yaygın alternatif bir PIN'dir. Ve bir PIN, bir parolaya benzer görünse de, oldukça farklıdır. PIN'ler genellikle banka kartı gibi yerel bir cihazın kilidini açmak için kullanılır. PIN olmadan banka kartınız bir işe yaramaz. Tersine, parolalar merkezi bir veritabanında depolanan bilgilerle eşleştirilir ve kendi içlerinde savunmasızdır.

Bu alandaki diğer yaygın yöntemler, resim ve örüntü tanımayı içerir. Kayıt sırasında bazı servisler sizden bir resim seçmenizi isteyecektir. Ardından, kimlik doğrulaması yaparken birkaç seçenek arasından resminizi seçersiniz. Benzer şekilde, örüntü tanıma kimlik doğrulaması, bir resim veya ızgara üzerinde önceden seçilmiş noktaları hatırlamanızı gerektirir.

Biyometrik kimlik doğrulama daha fazla kabul görüyor

Biyometrik kimlik doğrulama, kimliğinizi doğrulamak için yüzünüz veya parmak iziniz gibi benzersiz fiziksel özellikler kullanır. Biyometrik teknoloji, özellikle güvenlik amacıyla kullanıldığında ana akım haline geliyor. Anketimiz, tüketicilerin %76'sının bilgisayarlarına veya telefonlarına erişmek için yüz tanıma özelliğini kullanma konusunda rahat olduğunu gösteriyor. Belki de daha şaşırtıcı bir şekilde, %64'ü çevrimiçi bir hesaba giriş yapmak için bunu kullanmakta rahat.

Biyometrik kimlik doğrulama, bir belirteç olarak telefon yöntemleriyle hızla bütünleşiyor. Akıllı telefonlarda mikrofonlar, kameralar ve parmak izi tarayıcıları bulunur ve bunların tümü, cihaza sahip olduğunuzu aynı anda onaylayan bir dizi biyometrik kimlik doğrulama modunu desteklemek için kullanılabilir.

Bağlamsal kimlik doğrulama, parolasız kullanıcılar için esneklik sunar

Kimliğinizi aktif olarak doğrulamanın ötesinde, bağlamsal kimlik doğrulama yöntemleri, konum, etkinlik ve cihaz tanımlayıcıları gibi faktörleri kullanarak riski pasif bir şekilde tespit eder. Sinyal tabanlı kimlik doğrulama olarak da bilinen bu işlem, sıfır faktörlü kimlik doğrulama (0FA) olarak bilinen nihai şifresiz senaryoya izin verebilir, bu sayede herhangi bir risk sinyali mevcut değilse kullanıcıya erişim izni verilir. Sistem emin değilse, kullanıcıdan PIN veya biyometrik özellik gibi bir kimlik doğrulama önlemi isteniyor.

Sürekli uyarlanabilir güven (CAT) gibi gelişmiş modeller, riski belirlemek için kullanıcıyla ilgili daha da zengin değişken kümelerini analiz etmek için makine öğrenimini kullanır.

Parolasız kimlik doğrulamayı uygulamak için atabileceğiniz üç adım

Belirtildiği gibi, parolasız (en azından şimdilik) umut vericidir ve buna doğru attığınız her adım, genel güvenlik duruşunuzu artırır. Bu ruhla, şirketinizdeki parola sayısını azaltmaya başlamak için atabileceğiniz üç adıma bir göz atalım.

Şifrelerden uzaklaşmanın ekiplerine nasıl fayda sağlayacağını ve işlerini nasıl kolaylaştıracağını tam olarak açıklayarak kilit paydaşlardan katılım sağlayın. Güvenlik iyileştirmeleri için öncelikleri belirleyin, iş akışlarının nasıl etkilenebileceğini öğrenin ve yeni kimlik doğrulama yöntemleri için tercihleri ​​belirleyin.

Halihazırda emrinizde olan parolasız seçenekleri değerlendirin ve bunlardan yararlanın. Örneğin, işletmeniz zaten Windows 10 kullanıyorsa, biyometrik veya cihaz tabanlı kimlik doğrulama gibi yerel bir kimlik doğrulama yöntemini birleştiren İş için Windows Hello'yu kullanabilirsiniz.

Aşağıdaki soruları sorun:

• Halihazırda hangi şifresiz seçeneklere sahibiz?
• Parolalardan kaçınmak için mevcut kimlik doğrulama akışlarını değiştirebilir miyiz?
• Bu değişiklikler nihayetinde kullanıcılar için sürtünmeyi azaltacak mı?

Şirketinizi parolasız kimlik doğrulamanın evrensel olarak benimsenmesine hazırlamak için, mümkün olduğunda mevcut ve gelecekteki yatırımları kaydırarak geçiş yolunuzu zaman içinde basitleştirmeniz önemlidir. Yeni yazılım satın alırken biyometriden, bir belirteç olarak telefondan ve FIDO2 gibi yeni ortaya çıkan protokollerden yararlanan kimlik doğrulama seçeneklerinin kullanılabilirliğini göz önünde bulundurun.

Şifrelere olan güvenimiz yakında geçecek

Sonunda, bir parolayı hatırlamanız gerekmeyeceği, sunucuların bunları saklaması gerekmediği ve bilgisayar korsanlarının bunları kullanamayacağı bir geleceğe ulaşacağız. Bu, bugün yaşadığımızdan çok daha güvenli bir dijital dünya. Ancak bu yavaş yavaş gerçekleşecek ve sıfır bilgi kanıtları ve sıfır güven güvenlik modelleri gibi güvenlik hakkında yeni düşünme yolları gerektirecek (ikisine de gelecek araştırma raporlarında değineceğiz).

Trend, parolalardan uzaklaşmak ve daha kişisel, bağlamsal ve sorunsuz kimlik doğrulama biçimlerine geçmektir.

metodoloji

Capterra, 2022 Parolasız Kimlik Doğrulama Anketini Ocak 2022'de, çeşitli kimlik doğrulama yöntemlerine ve bunların ABD'deki işletmeler tarafından kullanımına yönelik tutumlar hakkında bilgi edinmek için yönetim sorumluluklarını veya daha fazlasını bildiren 389 iş lideri de dahil olmak üzere 974 tüketici arasında gerçekleştirdi.