Endüstrinin başlangıçta en az etkili güvenlik seçeneklerini destekleme eğiliminde olması, mobil kimlik doğrulamanın üzücü gerçeklerinden biridir. Bu nedenle, telefonlar başlangıçta parmak izlerine dayalı kimlik doğrulamasını destekledi (reçetelerden, temizlik ürünlerinden, el yaralanmalarından ve düzinelerce başka faktörden etkilenebilir) ve ardından yüz tanımaya geçti.
Teoride, yüz tanımanın daha doğru olması gerekiyordu. Matematiksel olarak bu adil çünkü parmak izi taramaktan çok daha fazla veri noktasını inceliyor. Ancak gerçek dünyadaki gerçeklik çok daha problemlidir. Telefondan kesin bir mesafeye ihtiyaç duyar ve yine de kullanıcının doğru bir şekilde ne zaman çarptığını bilmesi için tarama öncesi işaretleyiciler sunmaz. Yüz tanımanın bir taramayı kabaca %40 oranında reddettiğini görmemin bir nedeni bu – iki saniye sonra pozitif bir taramayı onaylasa bile.
Apple’ın ilk sunumunda, aile üyeleri bazen birbirlerinin telefonlarının kilidini açabiliyordu. Bu, tek yumurta ikizleriyle sınırlı değildi. Anneler ve oğulları bile yüz tanımanın “kimlik doğrulamasından” geçebilirler..
Ancak Çin’deki yakın tarihli bir vaka, Apple’ın yüz tanıma sorunlarının hala kötü olduğunu gösteriyor. Çin’de bir adam uyuyan bir kadına (eski kız arkadaşı) yaklaştı, göz kapaklarını açtı, yüz tanıma yeşil ışığı aldı, ve banka hesabından para çekebildi.
Birincisi, bu eski sevgiliyle geri dönmenin daha iyi yollarından biri değil. Ancak siber güvenlik açısından bakıldığında, mobil cihazların çok daha katı kimlik doğrulama yöntemlerine ihtiyaç duyduğu noktasını pekiştiriyor.
En iyi yol, bir hava tahminini kontrol etmek için telefonun kilidini açmak gibi düşük öncelikli hesaplara rahatça erişmek için şifreler, PIN’ler ve daha zayıf biyometri gibi daha zayıf yöntemler kullanmak olacaktır. Ancak banka/para erişimi, sosyal medya oturumları ve kurumsal sistemlere herhangi bir bağlantı için davranışsal analitik gerekli olmalıdır.
Davranış analitiğinin doğası, bir hırsızın bireyin kimliğine bürünmesini zorlaştırır. Hırsızın kullanıcıya ve telefona fiziksel erişimi olduğu varsayılarak, baygın bir kişinin parmağının alınması veya göz kapağının geri çekilmesi yapılabilir. PIN’lerin, özellikle uzun süreli fiziksel erişime sahip biri için, omuz sörfü yoluyla çalınması ne yazık ki kolaydır.
Ancak, bu kullanıcının her 100 kelimede kaç yazım hatası yaptığını taklit etmek? Ya da tam yazma hızları? Ya da telefonlarını tutma eğiliminde oldukları açı? Bunlar kişiselleştirilmiş ve taklit edilmesi zor. Evet, bazı Bir kullanıcının IP adresi, konumu ve bir telefonun parmak izi dahil olmak üzere davranışsal analiz faktörlerini taklit etmek kolaydır. Bu nedenle, davranışsal bir analitik dağıtımının, taklit edilmesi kolay faktörleri, taklit edilmesi zor olanlarla karıştırarak, mümkün olduğu kadar çok faktör kullanması gerekir.
Davranışsal analitikle ilgili en iyi şeylerden biri, arka planda sessizce çalışmasıdır; bu, pratik olduğu kadar (kullanıcı için) sorunsuz olduğu anlamına gelir. Her iki dünyanın da en iyisini sunar: çok daha katı ve güvenilir bir kimlik doğrulama yöntemidir, ancak kullanıcılar için parola veya biyometriden daha kolaydır.
BT için bu sorunsuz doğa, kullanıcıları daha kabul edici kılıyor. Ayrıca, “arka planda” olması, hırsız/davetsiz misafir için işi daha da zorlaştırır, çünkü saldırgan herhangi bir anda sistemin neyi kontrol ettiğinden emin olamaz.
Bu nedenle CIO’lar ve CISO’lar biyometriye çok fazla güvenmemelidir. Bir kullanıcının kafasına silah dayamak ve hassas kurumsal dosyalara erişmelerini emretmek gibi en şiddetli ve agresif saldırı yöntemleri bile davranışsal analitikle engellenebilir. Böyle bir saldırıdan kaynaklanan korku ve gerginlik yazım hatalarını artırıyor ve yazma hızını yavaşlatıyorsa, bu bir süpervizörle iletişime geçilmesi için yeterli olabilir. Bu denetçi daha sonra her şeyin yolunda olduğundan emin olmak için bir video oturumu isterse, saldırganın ayrılmasına neden olabilir. (Bu, özellikle saldırgan, denetçinin polisi gönderdiğinden şüpheleniyorsa ve video oturumu sorularını zaman kazanmak için kullanıyorsa geçerlidir.)
Bunun 2022 için bu kadar kritik bir konu olmasının nedeni, kuruluştaki en hassas veritabanlarınıza (kurumsal bulut hesapları dahil) mobil erişimin sürekli artmasının muhtemelen büyümeye devam edecek olmasıdır. Artık BT’nin artık masaüstü savunmalarının yeterli olduğunu varsayamayacağı noktadayız. BT tüm çalışanlarına yeterli ayrıcalıklara sahip bir dizüstü bilgisayar vermiş olsa bile, mobil erişimi caydıracak bir şirket yok. Bazı segmentler için seyahat bu yıl yavaş yavaş geri döndüğünden, yol savaşçısı sorunları bir dönüş angajmanı yapacak. Ancak şimdi, saldırganlar – özellikle sistemlerinize özel ilgi duyanlar – bu mobil etkileşimlere her zamankinden daha fazla odaklanacaklar.
Bugünlerde en popüler ve şekilsiz siber güvenlik modası, Zero Trust. Anlamlı bir Zero Trust sunumunun, erişim yönetimi/ayrıcalık denetiminin sıkı bir incelemesiyle birlikte, kimlik doğrulamaya yönelik çok daha sağlam bir yaklaşımla başlaması gerekir. Mobil cihazlarda, kimlik doğrulama en ezici öncelik. En az dirençli yol, yalnızca bir mobil cihazın yerleşik kimlik doğrulamasını geri almaktır. Bu işe yarayabilir olarak uzun olarak biyometri, incelenen yarım düzine faktörden sadece biridir.
Hala şüpheniz varsa, tanışmanız gereken Çinli bir eski erkek arkadaşınız var.
Telif Hakkı © 2022 IDG Communications, Inc.