Dünya, temel işlevleri dijital ortamlara taşımaya devam ederken, şirketler ekranın arkasında kimin olduğunu doğrulamak için güvenilir yöntemlere ihtiyaç duyuyor. ABD Ulusal Siber Güvenlik şefinin yapabileceğini söylemesiyle, çok faktörlü kimlik doğrulama (MFA), siber saldırıları önleme standardı haline geldi. saldırıların %80 ila %90’ını önleyin. MFA, tek seferlik parolalar (OTP’ler), fiziksel donanım belirteçleri veya yazılım belirteçleri gibi birden çok kimlik doğrulama katmanı gerektirerek çalışır.
Bunlar, erişimi ve verileri güvence altına almak için geleneksel şifrelerden daha iyi bir iş çıkarsa da, gerçekte neyi doğruluyorlar? SMS ile teslim edilen OTP’lerde, sistem bir telefona erişiminizi doğrulamaktadır; donanım belirteçleri ile fiziksel bir karta veya cihaza erişim. Ancak bunların hiçbiri, gerçek kişinin söyledikleri kişi olduklarını doğrulamasını gerektirmez. Bu yöntemler, bu cihazlara erişen tek kişinin sahibi olduğu varsayımına dayanır. Açıkça, doğrulanan bir kişiden ziyade bir cihazdır. Peki kuruluşlar geleneksel MFA yöntemlerini geliştirmek ve her dijital etkileşimin arkasındaki insanlarla güven oluşturmak için ne yapabilir?
Donanım belirteçleri ve SMS tabanlı OTP’ler dahil olmak üzere MFA doğrulaması için bazı yöntemler geniş çapta benimsenmiştir, ancak bunlar kuruluşlar için açık zorluklar sunmaktadır. Telefon tabanlı seçenekler, bir akıllı telefona erişim gerektirir – herkesin sahip olduğu ve şirketlerin her ortamda istediği bir şey değil. Jeton tabanlı sistemler çok daha iyi değil; jetonlar kaybolabilir, unutulabilir veya başka bir kullanıcıya kolayca verilebilir. Net çözüm, herhangi bir MFA stratejisinin parçası olarak tamamen kullanıcıya özel bir biyometrik ölçüme sahip olmaktır. Ancak tüm biyometrik yöntemler eşit oluşturulmaz ve bazıları hala yalnızca cihaz düzeyinde güven oluşturur.
Cihaz Tabanlı Biyometrinin Sınırlamaları
Telefon, PC veya donanım kilidindeki yerleşik sensör kullanılarak yakalanan parmak izi gibi cihaz tabanlı biyometri, yakalandıkları cihazda saklanır. Bu sistemler, kullanıcı için yüksek düzeyde kolaylık ve kişisel kullanım durumları için güçlü güvenlik sunar. Bununla birlikte, cihaz tabanlı biyometri, diğer MFA yöntemleriyle aynı tuzağa düşer – yine de cihazdır ve çoğu zaman bireysel bir kişiden ziyade doğrulanan şifreli bir anahtardır.
Başka bir güvenlik sorunu, cihaz tabanlı biyometrik kimlik doğrulama yönteminin, yüksek güvenliğe sahip kayıt işlevini veya erişim ayrıcalıklarını belirlemeyi, farkında olmadan kullanıcının kontrolüne yerleştirmesidir. Bu, erişimin atandığı asıl kişiden başka birine verildiği durumlarda yetkisiz yetkilendirme olasılığını açar. Örneğin, bir kullanıcı iPhone’una girerse ve TouchID’yi etkinleştirirse, kendilerine ait olmayanlar da dahil olmak üzere istedikleri tüm parmak izlerini kaydedebilir. Bu, bir kuruluşun cihazı kimin kullandığına güvenme yeteneğini temelden ortadan kaldırır.
Bu yöntemin bir kullanıcıyı değil, bir cihazı onayladığını bir kez daha görüyoruz. Cihaz tabanlı biyometri kullanışlıdır ancak yine de kritik görevleri her iki tarafta da güvenle tamamlamak için gerekli güvenlik düzeyini sağlamaz.
Biyometri Kullanarak Kimlik Denetiminin Yararları
Biyometri ile kimlik doğrulama ve bağlama farklı bir yaklaşım benimsiyor. Bir cihazın sahibinden ziyade kesin, benzersiz bireysel insanı doğrulamaya çalışır. Buradaki ilk adım, bir kişinin imzası gibi kullanılacak bir biyometrik ölçüm oluşturmaktır – bu, kişiye benzersiz bir şekilde bağlı olan ve kimlik doğrulama adımında varlığını doğrulayabilen bir veri parçası. Önce bir biyometrik imza oluşturarak ve ardından bunu bir cihaz yerine merkezi olarak depolayarak, kuruluşlar biyometrik verileri karşılaştıracak bir şeye sahip olabilir.
Örneğin, şirketimizin kimliğe bağlı biyometri (IBB) tekniği, kuruluşların biyometrik verileri değişmez kalması için merkezi olarak kaydetmesini ve depolamasını sağlar. Bu, kuruluşa cihaz erişimini kullanıcıya açık bırakmak yerine erişim ayrıcalıklarını belirleme gücünü geri verir. IBB, birisinin söylediği kişi olduğuna ve yalnızca cihazı, jetonu, telefonu veya başka herhangi bir şeyi değil, kişiyi pozitif olarak tanımlama kapasitesine sahip olduğuna dair yüksek dürüstlük ve güven sunar. İçinde yaşadığımız dijital dünyada güven bu şekilde kurulur.
Kuruluşlar, merkezi olarak depolanan bir biyometrik yöntemi kullanarak, herhangi bir ek kayıt veya süreç olmaksızın birden fazla cihaz ve konumdan erişmesi gereken kişileri destekleyebilir. Basitçe bir iş istasyonuna gidebilir, biyometriklerini tarayabilir ve hızlı bir şekilde oturum açabilirler. Şifrelenmiş biyometrik verilerin merkezi olarak depolanması, kuruluş genelinde birden fazla yer ve cihaz için erişim verilmesine olanak tanır.
Son olarak, daha iyi sensörler ve kullanıcının biyometriği hakkında yakalanan daha büyük veri noktaları kümeleriyle IBB, çoğu cihaz tabanlı biyometrik yöntemden daha doğrudur.
Merkezi Biyometrik Yöntem Olarak İBB Nasıl Çalışır?
IBB, kullanıcının biyometrik girişini taramak ve binlerce (yüzlerce değil) veri noktasını doğrulamak için bir mobil cihazdaki kamera veya parmak izi tarayıcı gibi donanımları kullanır. Biyometrik tarandıktan sonra, uçtan uca şifreli bir süreçten gönderilir ve biyometrik bir şablon oluşturmak için algoritmik olarak değiştirilir. Bu, şirketin sunucusunda saklanan gerçek parmak izleri veya ölçümler olmadığı anlamına gelir – bunun yerine, bir kişinin biyometrik verilerini anahtar olarak içeren bir kilit gibi davranan benzersiz bir şablon.
IBB, uçtan uca şifrelemenin yanı sıra, süreçte başka yerleri tehdit eden kötü aktörleri de ortadan kaldırır. Her etkileşim için yalıtılmış, yeniden oluşturulamayan tek oturumların kullanılması, ortadaki adam tarzı müdahale ve verilerin yeniden oynatılması tehdidini ortadan kaldırır. Bu, biyometrik verilerin tek tek cihazlara bağlı olmak yerine merkezi olarak güvenli bir şekilde saklanmasına ve yönetilmesine olanak tanır.
Örneğin, birden fazla şubede çalışan bir banka memuru düşünün. Düzenli olarak son derece hassas finansal verilerle uğraşırlar, ancak yine de gün boyunca birden fazla konumdan ve farklı iş istasyonlarında çalışabilmeleri gerekir. Banka, bunları bir dizi bireysel cihaza kaydettirmek yerine, veznedarın şirket genelindeki cihazlar arasında çalışmasına izin vermek için IBB’yi kullanabilir, bu arada özellikle kimin erişim kazandığını ve işlemleri tamamladığını doğrulayabilir. Banka, sisteme kimin kaydolduğunu bilir, kaydın değişmediğini bilir ve yalnızca gerektiğinde erişime izin verme esnekliğine sahiptir. Bu kurulum, veznenin sisteme giriş yapmasını son derece uygun hale getirirken, aynı zamanda işveren için daha yüksek düzeyde bir bütünlük ve güven sağlar.
Her yerden erişimin gerçekleştiği ve insanların hepsinin “ekranların arkasında” olduğu dijital bir dünyada, belirli bir kişinin bir oturum açma veya işlemi tamamladığına güvenebilmek çok önemlidir. Birçok kuruluşun kullandığı standart MFA yöntemleri, yalnızca kullanıcının bildiği (şifre) veya sahip olduğu (akıllı telefon) bir şey aracılığıyla güven oluşturabilir. Kimlik doğrulama ve biyometri kullanarak bağlama, her MFA stratejisinin bir parçası olmalıdır, böylece kullanıcılar uygun bir biyometrik kimlik doğrulama deneyiminin keyfini çıkarırken, kuruluşun güvenliği ve kontrolü sürdürebilmesi gerekir. Daha yüksek bütünlük ve rahatlıkla kuruluşlar, operasyonlarını düzene sokabilir ve kendileri, çalışanları ve müşterileri için güven oluşturabilir.