Mesaj Gönderme ve İki Faktörlü Kimlik Doğrulama: Her İşletmenin Bilmesi Gerekenler

Suçlular, kullanıcıların savunmalarına sızma çabalarında daha gayretli hale geldikçe, işletmeler de veri bütünlüğünü korumada daha aktif hale gelmelidir.

Sanki postayla gidiyormuş gibi bir e-posta göndermeye daha alışkın olan müşteriler, gerekli herhangi bir ekstra adıma rahatsız edici tepkiler verebilirler. Neyse ki, müşteriler daha iyi bilgilendiriliyor ve süreç kolaylaşıyor.

Amaç, son kullanıcılar için iki faktörlü tanımlamayı mümkün olduğunca kolaylaştırmak ve aynı zamanda kötü niyetli kişilerin bunu atlamasını zorlaştırmaktır.

Kulağa korkunç mu geliyor? Rahatlamak! İki faktörlü kimlik doğrulama ( 2FA ), bu akıllı sahtekarlarla mücadele etmek için gelişiyor.

O nasıl çalışır?

2FA, kimlik doğrulama protokollerine fazladan bir katman ekler. Birçok biçimde gelebilir. Bazen biyometriktir ve bir ses, parmak izi, retina taraması veya başka bir benzersiz öğenin karışımın bir parçası olmasını gerektirir.

Bunlar, kapsamlı kayıt tutma ve PII (kişisel olarak tanımlanabilir bilgiler) depolamaya ihtiyaç duyar, bu da genel giderlere önemli ölçüde katkıda bulunabilir ve aynı zamanda depolamanın tehlikeye girmesi durumunda ek güvenlik endişelerine neden olabilir.

Ancak, bu tür teknikler mümkün olsa da çoğu durumda pratik değildir. Bunun yerine, bankalar gibi kurumlar (örneğin) bir otomatik vezne makinesini (ATM) işletmek için benzersiz kimlik kartları verir. Bu tür kartlar PIN (kişisel kimlik numarası) olmadan işe yaramaz.

Bu güvenlik, belirli bir öğeye sahip olmaya ve onu belirli bir bilgi parçasıyla birleştirmeye dayanır. Bir cüzdan çalındığında veya yanlış yerleştirildiğinde banka kartları kaybolabilir, ancak kartların kendileri PIN olmadan işe yaramaz.

İki faktörlü kimlik doğrulama, geleneksel 'kullanıcı adı' ve 'parola' paradigmasını güçlendirir.

İki Faktörlü Kimlik Doğrulamanın Faydaları

Organize çeteler ve hatta tek başına suçlular, aksi takdirde akıllı insanları, yabancılara güvenli erişim sağlamak veya şifreleri paylaşmak gibi bazı çarpıcı derecede kötü kararlar vermeye kandırmak için stratejiler bulmuşlardır.

SMS yoluyla 2FA, suçlular için süreci yeterince zorlaştırıyor ki, çoğumuz dikkat çekmek için fazla ilgisiziz.

Bir Adımı Ortadan Kaldırmak

IoT veya Nesnelerin İnterneti, insanlık için büyük bir nimet (ve bazı durumlarda bir felaket) olmuştur. Bu, şu anda 5 milyar akıllı telefonun kullanımda olduğu ve SMS mesajları alabilen sayısız başka cihazın kullanıldığı anlamına geliyor.

Mevcut tahminlere göre, 21/2 milyar Dünyalı en az bir akıllı telefon taşıyor (diğer tüm cihazlarımızın dışında).

Neredeyse her zaman yanımızda, kolayca ulaşılabilecek bir yerde ve ona oldukça bağımlı hale geldik.

2FA hizmetlerinin gizli tanımlama araçları yayınlaması gerekmez; ne de bireyler hakkında gereksiz bilgileri depolamak zorunda değiller.

Hâlâ adlarımız ve parolalarımız olabilir, ancak artık kendimizi bu şekilde tanımladıktan sonra hizmet, yalnızca bir veya iki dakika içinde süresi dolacak geçici bir PIN içeren bir metin mesajı göndermek için SMS kimlik doğrulamasını kullanabilir.

Artık bir şey biliyorsunuz (ad ve şifre) ve bir şeye sahipsiniz (telefonunuz), böylece devam edebilirsiniz. Daha kolay ne olabilir?

Korkular Uzakta, Müşteriler Kullanacak

Bazı şirketler müşterilerin isyan edip işlerini başka bir yere götüreceğini düşünüyor. Kanıt olarak, genellikle Gmail kullanıcılarının yalnızca %10'unun 2FA'yı açtığına veya daha özel olarak %90'ının açmadığına işaret ederler.

2FA'yı kullanmak şüphesiz iyi bir fikir olsa da, burada iş başında olan paradigmanın farkında olmanız gerekir. İnsanlar genellikle 'önemli' postaları için bir güvenlik şirketi veya özel ISS e-posta hizmetini ve istenmeyen postaları emmek ve güvenilmeyen web siteleriyle iletişim sağlamak için Gmail'i kullanır.

Onu 'her şey' için kullananlar daha fazla özen gösterme eğilimindedir; geri kalanı için ekstra çabaya değmez.

Müşteriler Artık Finansal İşlemler için 2FA Talep Ediyor

Öte yandan, paranın taşınması söz konusu olduğunda, müşteriler çok daha özel olma ve ek güvenlik önlemlerinden yararlanma eğilimindedir.

SMS kimlik doğrulama hizmetleri sunmazsanız , başka bir sağlayıcıya taşınırlar. Amazon, LinkedIn, PayPal ve DropBox gibi popüler web siteleri, bilinmeyen cihazlardan yapılan finansal işlemler veya PII alışverişi için 2FA gerektirir.

Kolaylık sağlamak için, sık sık 'Bu cihaza güvenin' yazan küçük onay kutuları bulacaksınız; bu, bu cihaz aracılığıyla gelecekteki işlemlere otomatik olarak güvenildiği anlamına gelir.

Banka hesabınıza giriş yapmak için bir arkadaşınızın tabletini ödünç alırsanız, bir kerelik ve zaman sınırlı bir kimlik doğrulama kodu almanız gerekecektir, ancak kayıtlı cihazınızda sadece normal şifrenizi ve adınızı kullanmanız yeterli olacaktır.

Bazı siteler, bir cihazı yalnızca bir kez onaylamanızı gerektirir; diğerleri aylık veya yıllık. Yüksek güvenlikli siteler, her oturum açmada 2FA gerektirir.

İki Faktörlü Kimlik Doğrulamanın Zorlukları

2FA her derde deva değil çünkü uzman bilgisayar korsanları SMS müdahalesi ve anında çağrı yönlendirme yapabilir - tüm bunlar sonuçtaki kodu başka bir yere göndermek için.

Ancak, Douglas Noel Adams'ın bir zamanlar bize tavsiye ettiği gibi, 'Panik yapmayın!'. Çok büyük miktarda iş gerektirir ve bu yararlanma fırsatlarını yaratmak genellikle bir GSM hizmet sağlayıcısındaki dürüst olmayan çalışanlarla sınırlıdır.

Elde edilecek önemli bir kazanç olduğunda, dolandırıcılar daha fazla çaba harcamaya isteklidir.

On binlerce veya milyonları transfer edenlerin (veya ünlülerin tüm çıplak fotoğraflarının) ek önlemler alması gerekiyor, ancak bu nüfusun çoğunluğunu ilgilendirmiyor.

Bazı sistemler özünde zayıftır veya parolaları sıfırlamak için fazla endişeli olan müşteri hizmetleri temsilcileri tarafından korunmaktadır. Bir isim-marka hizmeti kullanan saygın şirketlere bağlı kalmak muhtemelen en iyisidir.

Elbette her yıl yeni bir akıllı telefon almak zorunda hisseden insanlar için 2FA sorunlu olabilir. Sorunsuz bir şekilde erişebilmeleri için önce tüm hesaplarını güncellemeleri, yeni cihazı tanımlamaları (yeni ekleme ve eski izinleri silme) gerekir. Her zaman en son teknolojiye sahip olmanın bedeli bu…

2FA için Daha Fazla Araç

Sahip olunacak daha iyi araçlar olduğunu düşünebilirsiniz. Google Authenticator (burada çalışan bir test örneğine bakın) gibi 'SMS müdahalesine' karşı kanıt olan veya bir Apple hayranıysanız, SMS sistemini kullanmayan PUSH bildirimleri gibi uygulama araçları vardır.

Size hitap ediyorsa, böyle bir şey kullanabilirsiniz. Yüksek güvenlikli ortamlarda daha da güçlü araçlar vardır ve gerektiğinde sıklıkla kullanılırlar.

Örneğin, istek üzerine rastgele bir şifre oluşturan USB benzeri bir anahtarlık cihazı duymuş olabilirsiniz. Bu, bir kuruluş için faydalıdır, ancak halkın binlerce üyesiyle uğraşmak için çok daha az faydalıdır.

Götürmek

Bunların hepsi harika sistemlerdir ve SMS güdümlü 2FA'nın algılanan zayıflıklarının üstesinden gelir. Ancak gerçek şu ki, söz konusu zayıflıklar önemsizdir ve mutlaka içsel değildir. Suç neredeyse her zaman protokollerin bireysel iletişim şirketleri tarafından uygulanmasında yatmaktadır.

SS7 (farklı telefon ağlarında dolaşımı sağlamak için kullanılan) gibi istismar edilen protokollerdeki güvenlik açıklarını ortadan kaldırmaya doğru ilerledikçe, bu kusurlar zamanla akademik hale gelecektir.

SMS mükemmel bir seçenek çünkü insanlar bunu zaten çok iyi anlıyor, her yerde mevcut ve bilgisayar korsanlarının hayatlarını zorlaştırıyor.

Müşterilerinin bilgilerinin gizli kalmasını sağlamak için SMS 2FA güvenliğine dayanan bir web ve yazılım geliştirme ajansı olan Cloud Data Service için yaptığımız gibi kendinizi ve müşterilerinizi koruyun.

Müşterileriniz için güvenilir, güvenli bir iletişim kanalı istiyorsanız, Çevrimiçi İletişim Formumuz aracılığıyla TextMagic uzmanlarımızdan biriyle bağlantı kurun veya ücretsiz bir deneme için kaydolun, böylece nasıl çalıştığını kendiniz görün!