Dijital çağda bu kadar derinlerde parolalara güvenmeye devam etmemiz, biraz sarsıcı değil. Dijital iskelet anahtarların eşdeğeri olan bu alfanümerik artıklar, bir zamanlar değerli bir araç olarak hizmet etti. Ne yazık ki, şifreler artık değerlerinden çok daha fazla sorun yaratıyor. Kimlik hırsızlığına, ihlallere ve diğer sayısız soruna karşı çok az koruma sağlarlar.
Yine de şifreleri tamamen ortadan kaldırmak söz konusu değil – en azından şimdilik. Neredeyse tam bir güvenlik başarısızlığı ve herkes için bir baş belası olarak sıralanabilseler de, yerleşik bir standart olarak kalırlar. Sonuç olarak, çok faktörlü kimlik doğrulama (MFA) bir zorunluluk haline geldi, ancak aynı zamanda doğrudan sorunlara sınır oluşturan zorluklar da sunuyor.
Bu, işletmelerin nasıl daha güçlü ve daha iyi kimlik doğrulama yöntemlerini benimseyebileceğine ilişkin iki bölümden oluşan bir dizinin ilki. MFA’nın benimsenmesini hızlandırmak için acil bir ihtiyaç olsa da, kullananlar da dahil olmak üzere daha gelişmiş ve güvenli parolasız çerçevelere geçmek de kritik öneme sahiptir. biyometri.
Zenginliğin Utanması
Her teknolojide olduğu gibi, çözümlerin birikmesi sonunda yeni bir sorun haline gelir. Çoğu kuruluş ve birçok tüketici, yalnızca parolayla kimlik doğrulamanın ötesine geçme ihtiyacının farkındadır. Henüz iki faktörlü kimlik doğrulama (2FA) ve hatta birçok MFA tekniği asla günümüzün karmaşık dijital çerçeveleri için tasarlanmamıştır.
1Kosmos’un kurucu ortağı ve baş güvenlik görevlisi Michael Engle, “Gün boyunca altı farklı sistemde oturum açtığınızda ve her biri farklı bir yöntem kullandığında… iki faktörlü kimlik doğrulama PTSD’sine sahip olursunuz” diyor. “Kodları getirmek ve uygulamaları başlatmak için önemli bir zaman harcıyorsunuz.”
Yöntemlerin karışımı — zamana dayalı tek seferlik parola (TOTP), SMS ve e-posta 2FA, push tabanlı 2FA, evrensel ikinci faktör (U2F) belirteçleri, WebAuthn, ve masaüstü aracıları – hem şirketler hem de tüketiciler için genellikle kafa karıştırıcı bir dizi seçenek sunar. Daha da kötüsü, farklı düzeylerde koruma sağlıyorlar ve çoğu insan artıları ve eksileri anlayacak donanıma sahip değil. Örneğin, yaygın olarak kullanılan SMS ve e-posta kodları, bir dolandırıcının bir cihaza erişimi olduğunda kolayca ele geçirilir veya ihlal edilir. Ortadaki adam saldırılarını ve diğer parola istismarlarını kolaylaştıran araç takımları artık GitHub gibi sitelerde yaygın olarak bulunmaktadır.
Tüketici ve kurumsal yorgunluk kırılma noktasında. Ve önemli ölçüde daha iyi MFA ve şifresiz sistemler şekillenirken – Apple, Google ve Microsoft, FIDO2 standardında yerleşik parolasız oturum açma işlemleri — kuruluşlar evlat edinme ile mücadele etmeye devam ediyor.
Tasarım, kullanılabilirlik ve işlevsellik kritik öneme sahiptir. İnsanları temel bir parolanın ötesine geçmeye ve MFA’yı benimsemeye ikna etmeye ihtiyaç vardır, ancak parolasıza geçerken daha yüksek dereceli MFA yöntemlerini dağıtmak da önemlidir.
Omdia Consulting’in kıdemli analisti Don Tait, “Bu, gelişmiş UX ve eğitim gerektiriyor. Sürecin sorunsuz olması gerekiyor” diyor.
Riskli iş
Bu şaşırtıcı ve tamamen rahatsız edici bir gerçek: Görünüşte bitmeyen bir hack, saldırı, ihlal ve arıza dizisine rağmen – bilgisayar korsanlığıyla ilgili ihlallerin %81’i şifre sorunlarından kaynaklanıyor – tüketicilerin sadece %29’u 2FA’nın verdiği rahatsızlık her zaman güvenlik takasına değer. Yaklaşık %36’sı, hesabın önemine bağlı olarak bazı durumlarda 2FA kullanmaya isteklidir.
Bu çekingenliğin nedenleri, en azından kısmen günümüzün çevrimiçi dünyasının doğasında yatmaktadır. İyi ya da kötü, insanlar Web sayfalarının anında yüklenmesini bekler ve bir işlem için dünya çapında düzinelerce API ve sunucu gerektiğinde bile herhangi bir gecikme olmaksızın hesaplara erişmeye çalışırlar. Dikkat çekici bir şekilde, Microsoft tarafından yürütülen bir araştırma Ortalama bir insanın sadece yaklaşık sekiz saniyelik bir dikkat süresine sahip olduğunu buldu.
Yine de MFA çerçevelerinin büyük bir güçlük olabileceği de açıktır. Çoğu zaman, bir metin kodu istemek veya bir telefon çıkarmak ve Google veya Microsoft’tan bir kimlik doğrulama uygulaması açmak ve bir kod yazmak gerekir. Bu arada, YubiKey gibi fiziksel belirteçler mükemmel güvenlik sunar – ancak bunların kurulması ve kullanılması zor olabilir.
MFA katılımı, yalnızca bir parolaya güvenmenin riskleri hakkında pandemi ve uğursuz uyarılar nedeniyle hızla artıyor; okta bulundu MFA’nın benimsenmesi, pandeminin ilk aşamalarında yaklaşık %80 arttı. Ancak, saldırılar artıyor ve daha karmaşık hale geliyor. Net sonuç, göreceli olarak geriye doğru bir harekettir.
Kimlik doğrulama tedarikçisi Beyond Identity’nin CTO’su Jason Casey, “Daha gelişmiş MFA ve parolasız sistemlerin nasıl uygulanacağı konusunda çok az düşünen çok fazla şirket var” diyor. “Tasarım ve kullanılabilirliği düşünmeden bir güvenlik mimarisi oluşturamazsınız. Sürtünme arttıkça katılım azalır.”
Bu sorunlar birkaç şekilde ortaya çıkıyor. Tasarım öğeleri, MFA seçeneklerini gizleyebilir veya nasıl kurulacağına ilişkin kafa karıştırıcı talimatlar verebilir. Bazen kullanıcıları korkutan kafa karıştırıcı veya uğursuz uyarılar sağlarlar veya bir site veya hizmet MFA kullanmanın değerini iletmez. Kullanıcılar genellikle bu ek güvenlik katmanını benimsemek için herhangi bir zorlayıcı neden görmezler.
Kimlik doğrulama firması Veriff’in kıdemli ürün müdürü Kalev Rundu, “İnsanlar kullanım kolaylığı ve rahatlık aradıkları için dijital hizmetlere yöneliyor” diyor. MFA farklı olmamalıdır. Daha geniş dijital etkileşime sorunsuz bir şekilde uymalı ve açık bir avantaj veya diğer kimlik doğrulama biçimleri sağlamalıdır.
Güvenlik Üzerine Tasarımlar
Alışkanlık kazanmak çok önemlidir. Max Planck Güvenlik ve Gizlilik Enstitüsü’nden araştırmacılar; California Üniversitesi, San Diego; ve Facebook, anahtarlardan birinin insanları MFA’yı açmaya ikna etmek kararı kişisel bir güçlendirme seçimi olarak sunmaktır. Bu, “Hesap korsanlığına karşı korumanızı artırabilirsiniz” veya “Hesabınızı, sayfalarınızı ve arkadaşlarınızı koruyun” gibi bir mesaj içerebilir.
Araştırmacılar bu kişisel sorumluluk yaklaşımını Facebook’ta eşlik eden düğmelerle test ettiğinde, 622.419 katılımcı arasında MFA’nın benimsenmesinde %33 oranında bir artışa yol açtı. Kullanıcılar, korunmanın avantajları hakkında bir mesaj görüntülediğinde, MFA’yı benimseme olasılıkları %28 daha fazlaydı. Öte yandan, kurumsal sorumluluk düğmesi herhangi bir davranış değişikliğine neden olmadı.
Benimseme oranını artıran başka bir teknik, bir teşvik veya ödül etrafında dönüyor – Fortnight ve World of Warcraft gibi oyun platformlarında halihazırda ilgi görmüş bir yaklaşım. 2019’da Almanya’daki Bonn Üniversitesi ve Hannover Leibniz Üniversitesi’nden bir grup araştırmacı, yükseltilmiş bir avatar veya başka bir küçük hediye gibi küçük bir teşvikin bile sayıları yukarı it.
Renkler, yerleşim ve tasarım öğeleri de önemlidir. Bir etkileşimin veya işlemin akışını kesintiye uğratmadan talebi doğru zamanda iletmek çok önemlidir.
1Kosmos’ Engle, “İlk defa yapmak neredeyse hiç sürtüşmeyecek kadar kolay olmalı” diyor. QR kodları ve push-to-app kimlik doğrulamaları, özellikle bir kullanıcı oturum açmayı ayrı bir yetkili cihazdan yetkilendirebildiğinde yardımcı olabilir.
Yine de bu yaklaşımların hiçbiri kusursuz değil ve kurşun geçirmez de değiller. MFA’nın ve tam parolasız sistemlerin geleceği, biyometri, FIDO2 ve yalnızca bir cihazdaki bir hesabın kimliğini doğrulamakla kalmayıp aynı zamanda bir kişinin kimliğini de doğrulayan gelişmekte olan sistemlerde yatmaktadır.
Omdia’dan Tait, “Yeni bir kimlik doğrulama çağı doğuyor” diyor.
2. bölümde, Dark Reading hızla gelişen parolasız alana ve şirketlerin parolaları kalıcı olarak silmek için ne yapmaları gerektiğine bir göz atacak.