Herkese merhaba ve ZDNet’in günlük editoryal podcast’i ZD Tech’e hoş geldiniz. Benim ismim Louis Adam ve bugün sana açıklayacağım kimlik doğrulama neden bir hesabı korumak için artık tek bir parolaya güvenemez?.
Kimlik doğrulama daha önce daha iyiydi. Örneğin 80’li yıllarda bir kullanıcı hesabına bağlanmak istediğinizde basit bir tanımlayıcı ve şifre ile yetinebiliyordunuz. En paranoyak uzun ve karmaşık bir şifreyi tercih edebilirdi ve bu, şifreyi tahmin ederek hesaba bağlanmaya çalışacak üçüncü bir tarafı caydırmak için yeterli görülen bir güvenlik önlemiydi.
Ama bugün artık bu yeterli değil. Bilgisayarların bilgi işlem gücünün evrimi, birden fazla parola sızıntısı ile birleştiğinde, saldırganların en basit parolaları çok fazla zorluk çekmeden tahmin etmelerini sağlar. Çevrimiçi bir hesaba erişmek için parolaları tahmin etmeyi veya çalmayı amaçlayan çeşitli saldırı türleri vardır ve bunlar, siber suçlular tarafından onlarca yıldır kusursuz hale getirilmiştir.
Bildiklerim, sahip olduklarım, ne olduklarım
Bu zorlukla yüzleşmek için kimlik doğrulama, yeterli güvenliği garanti etmek için yeni yollar arar. Sıklıkla önerilen yöntem, çeşitli biçimlerde olabilen çok faktörlü kimlik doğrulamadır. Erişim doğrulaması için tek bir parolaya güvenmek yerine, erişim izni vermeden önce kullanıcıdan birkaç kimlik kanıtı isteyeceğiz.
Şifresine ek olarak, örneğin, telefonuna SMS ile gönderilen tek kullanımlık bir kodu girmesini isteyeceğiz. Veya bilgisayara Yubikey veya Google Titan gibi bir USB güvenlik anahtarı bağlayın. Son olarak, kimlik doğrulama biyometrik bir faktör kullanılarak da güçlendirilebilir: örneğin bir parmak izi veya retinal baskı sensörü. Kimlik doğrulama faktörlerinin farklı türlerini hatırlamak için bunları şu şekilde özetleyebiliriz: ne bildiğim, neye sahip olduğum veya ne olduğum.
Bu farklı faktörlerin kombinasyonu, basit bir paroladan daha güvenli kimlik doğrulamaya izin verir. Bu öğelere bağlantıyla ilgili bağlamsal veriler eklenebilir: kişi yeni bir cihazdan mı yoksa bilinen bir cihazdan mı bağlanıyor? IP adresinin bağlantı süresi veya coğrafi konumu olağandışı mı? Bir bağlantının güvenilirliğini tahmin etmek ve ek doğrulama önlemlerini tetiklemek için dikkate alınabilecek çok sayıda parametre.
Hala yanılmaz yöntemler değil
Bugün, Google ve Microsoft gibi dijital devler, kullanıcı hesaplarının hacklenmesini sınırlamak ve bazen kritik hizmetlere daha güvenli erişim sağlamak için bu yeni kimlik doğrulama yöntemlerini mümkün olduğunca demokratikleştirmek istiyor.
Ancak bu yöntemler kusursuz değildir: bir parmak izi kopyalanabilir, tek kullanımlık bir şifre içeren bir SMS ele geçirilebilir, bir güvenlik anahtarı çalınabilir ve hatta klonlanabilir.
Kimlik doğrulama açısından, bu nedenle mucizevi bir çözüm yoktur. Saldırganları denemekten vazgeçirecek kadar zorlaştırabiliriz.