Ortalama kullanıcının sahip olduğu 100’den fazla şifre çeşitli siteler ve uygulamalar arasında. İnsan belleğinin sınırlarıyla karşı karşıya kalan bu sayı, parolasız kimlik doğrulamanın bu kadar umut verici olmasının nedenidir. Ancak kimlik ve kimlik doğrulamaya yönelik mevcut yaklaşımın sınırları, bu umut verici gelişmeyi engelliyor.
Parolaları hatırlamak zorunda kalmadan kullanıcıları bir ağa güvenli bir şekilde oturum açma yeteneği, veri ihlallerine ve diğer açıklardan yararlanmalara sürekli olarak katkıda bulunan bir öğeyi ortadan kaldırmak için uzun bir yol kat edebilir: güvenliği ihlal edilmiş kimlik bilgileri. Kullanıcıların yüzlerce kullanıcı adı ve şifre kombinasyonunu hatırlamaları ve bunları düzenli olarak değiştirmeleri gerekiyorsa, aynı tanıdık kombinasyonları yeniden kullanmaya yöneleceklerdir. Bu, en son Verizon “Veri İhlali Araştırmaları Raporunda” görüldüğü gibi, siber suçluların işini kolaylaştırır. İhlallerin %61’i güvenliği ihlal edilmiş kimlik bilgilerini içerir.
Parola tabanlı kimlik doğrulamanın, oturum açmayı etkinleştirmek için biyometrik kimlik gibi bir faktör kullanan parolasız oturum açmayla değiştirilmesi, son zamanlarda siber saldırılarda yaşanan artışa karşı güçlü bir çözüm olarak görülüyor. Ama göre bir anketankete katılan kuruluşların neredeyse yarısı hala şifresiz değil ve % 22’si henüz etkinliğine ikna olmadı.
Evlat edinmenin önündeki büyük engellerden bazıları, teknoloji eksikliklerinin değil, kimlik ve kimlik doğrulama durumunun bir sonucudur. Günümüzde yaygın olarak kullanılan birçok uygulama, kimlik ve kimlik doğrulama silo olarak kaldığından, parolasız oturum açmayı destekleyecek şekilde oluşturulmamıştır.
Kimlik Karışıklığını Gidermek
Kimlik ve kimlik doğrulama genellikle karıştırılır, ancak bunlar ayrı kavramlardır. Kimlik – kimin kim olduğunu belirlemek – bir süreçtir, kimlik doğrulama, kimliğin ağa, bir uygulamaya, kaynağa vb. erişmeye çalışan kullanıcıya ait olduğunu doğrulamayı içerir ve bu kimlik bilgilerini Karanlık Web’de çalan veya satın alan bir bilgisayar korsanına değil.
Kimlik doğrulama, genellikle bir kuruluşun işe alım sürecinin bir parçasıdır – yeni çalışanlar kimlikleri için fotoğraflarını çektirdiğinde ve ilk şifrelerini aldıklarında – bu genellikle insan kaynakları veya BT’nin yardımıyla İK tarafından gerçekleştirilir. Bu yeni çalışanların, fiziksel benzerlik, devlet tarafından verilen kimliği doğrulama vb.
Şirket çalışanları hakkında konuşurken bu iyi ve güzel, ancak ağ kaynaklarına erişmesi gereken yükleniciler, satıcılar veya makine kullanıcıları ile uğraşırken süreç daha karmaşık hale geliyor. Bazı yeni standartlar, pasaport veya ehliyet gibi somut kimlik bilgileri olmayan kullanıcılar için dijital bir kimlik oluşturmayı kolaylaştırdı. Örneğin, birinci bölüm NIST 800-63-3 kimlik doğrulaması için standart bir yaklaşım sağlarken, NIST 800-63-3 ve FIDO2’nin ikinci bölümü, kimlik doğrulama için biyometri kullanımını kolaylaştırmaya yardımcı olur.
Devlet tarafından verilen belgelere ve yüz biyometrisine dayalı olarak bir kişinin kimliğini doğrulayan kimlik doğrulama süreci, kimlik doğrulama süreci için çok önemlidir. Ancak bir sisteme veya uygulamaya kayıt tamamlandıktan sonra kimlik doğrulama iş akışlarından ayrı kalır. Bir kullanıcı korumalı bir kaynağa her giriş yaptığında, o kişiye artık gerçek kimliğiyle bağlantılı olmayan parola, PIN veya biyometrik gibi bir tür kimlik doğrulaması istenir.
Örneğin, yaygın inanışın aksine, biyometrik kimlik doğrulama parolaların yerini almaz. Bunları bir sisteme manuel olarak girmenin karmaşıklığını soyutlar. Bu, bir parolanın çalınması durumunda bir siber suçlunun biyometrik kimlik doğrulayıcıyı atlayabileceği anlamına gelir. Ayrıca, biyometrik tanımlayıcılar bir kimlik doğrulama veritabanında depolanırsa, onlar da bilgisayar korsanları için savunmasız bir hedef haline gelir.
Dağıtılmış dijital kimlik olarak bilinen yeni bir kavram, kimlik kayıt verileriyle kimlik doğrulamayı birleştirir ve onları ayrılmaz hale getirir. Active Directory veya Google gibi bir kimlik sağlayıcının sahip olduğu merkezi bir veritabanında depolanan kimlik bilgilerine karşı kontrol edilen bir kimlik doğrulama faktörü (parola, PIN, biyometrik) için kullanıcıyı basitçe zorlamak yerine, dağıtılmış bir dijital kimlik kullanıcı tarafından kontrol edilir.
Örneğin, FIDO2 ve NIST, özel anahtarı güvenli yerleşim bölgesi/Güvenilir Platform Modülü (TPM) yongasında saklar ve bu anahtarın yalnızca canlı biyometri ile kayıt sırasında yakalananla eşleşmesi yoluyla erişilebilir olmasını ve istediklerinde güvenli bir şekilde paylaşılmasını sağlar. böyle. Diğer yaklaşımlar, bir kullanıcının özel anahtarını ek bir güvenlik katmanı için şifreli bir blok zincirinde saklar.
Parolasız oturum açma, güvenlik, gizlilik ve kullanıcı deneyimi endişelerinin yanıtıdır. Ancak bu, ancak kimlik güvencesi ile kimlik doğrulama arasındaki boşluğu dolduran yeni bir dağıtılmış kimlik modeli tarafından etkinleştirilirse mümkün olacaktır.