Twitter kısa süre önce SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) devre dışı bıraktı Twitter Blue aboneleri hariç. Amaçlanan sonuçlar maliyet tasarrufu ve abone sayısını artırmak olsa da, kararın istenmeyen güvenlik sonuçları olması muhtemeldir. Güvenliği bilen ve önemseyen bazı teknoloji meraklıları bile, Twitter’ın 2FA alternatiflerini zorlanana kadar geciktirecek kadar garip buluyor, bu nedenle Twitter’ın yeni politikası muhtemelen daha az hesabın 2FA kullanmasına neden olacak. Kullanıcıları kimlik doğrulayıcı uygulamaları ve güvenlik anahtarlarını nasıl ayarlayacakları konusunda eğitmek bir çözümdür. Ancak bu, daha hızlı bir at yapmaya benzer.
Temel olarak, kurumsal 2FA başucu kitabı tüketici senaryolarına eşit ölçüde uygulanamaz çünkü tüketiciler ayaklarıyla oy kullanabilir. Eklenen herhangi bir adım, onları dörtnala rekabetin kollarına atacaktır. Bu nedenle, Twitter haberleri bir aksama ve sürtüşme yaratmadan tüketici kimliklerini koruyan çözümler için bir çağrı olmalıdır. Teknolojinin, dijital ortamda tekdüze bir şekilde mevcut olduğunda geçiş anahtarı olduğuna inanıyorum.
Tüketicinin Durumu MFA
Herhangi bir çok faktörlü kimlik doğrulamanın (MFA) hiç MFA olmamasından daha iyi olduğu genel olarak kabul edilir (burada kimliğinizi iki veya daha fazla faktörle doğrulamak için MFA kullanacağım). MFA çözümleri, kötü niyetli kişilerin yalnızca kurbanın birincil kimlik bilgilerini kullanarak kaynaklara erişmesini engeller. CISO’muz bir keresinde MFA’nın ve uyarlamalı kimlik doğrulama gördüğü ihlallerin %95’ini önleyebilirdi.
Ancak tüm MFA eşit yaratılmamıştır. Bazı faktörler, özellikle hedefli saldırılara karşı diğerlerinden daha zayıftır. Güvenlik soruları, SMS, ses ve e-posta tabanlı tek seferlik şifreler, düşük güvence faktörleri olarak kabul edilir. Tüm bu faktörler kimlik avına karşı savunmasızdır. Saldırganlar, kimlik doğrulayıcı kodunu “tahmin ederek” daha zayıf faktörleri atlayabilir; kod içeren SMS’in ele geçirilmesi; veya MFA mücadelesini tamamlayana kadar kullanıcıyı mesaj bombardımanına tutarak “uyarı yorgunluğu” yaratmak.
MFA Bypass Saldırıları
Son araştırmalar 113 milyondan fazla buldu MFA baypası (kayıt gereklidir) 90 günlük bir süre boyunca tüketici ve SaaS uygulamalarına yönelik girişimler, rekor düzeydeki herhangi bir yılın en yüksek temel saldırı düzeyini temsil eder. Zayıf faktörler hakkında bildiklerimiz göz önüne alındığında, Twitter’ın metin tabanlı kimlik doğrulamayı devre dışı bırakma kararının iyi olduğunu düşündüğünüz için affedileceksiniz. Ancak kimlikle ilgili çoğu şeyde olduğu gibi, özellikle MFA benimseme konularına baktığımızda, göze çarpan daha fazla karmaşıklık var.
MFA’nın Kabulüyle İlgili Sorun
Kullanıcıların herhangi bir MFA biçimine kaydolmasını sağlamanın zorluğu, teknolojinin başlangıç öyküsünde yatmaktadır. Parolalar, modern çevrimiçi hizmetlerden binlerce yıl öncesine dayanmaktadır (“Ali Baba ve 40 Haramiler”deki “Açıl, Susam”ı bir düşünün). İki faktörlü kimlik doğrulama, işletmelerin ve hükümetlerin iç sistemlerini bildiğiniz bir şeyle (parola) ve sahip olduğunuz bir şeyle (cihaz, kod veya güvenlik anahtarı) koruma yolu olarak çok sonraları devreye girdi.
Kurumsal bağlamda geliştirilen teknolojiler, tarihsel olarak güvenliğe öncelik vermiştir. Yönetici, şirketin çıkarlarını korumak için çalışan tabanında güvenlik önlemleri uygulama yetkisine sahiptir. Kuruluşlar tüketicilerle aynı başucu kitabını kullanmaya çalıştıklarında başarısız olurlar çünkü tüketiciler ayaklarıyla oy kullanabilirler. Ve etki hızla varoluşsal hale gelebilir.
Peki, kimlik doğrulama uygulamaları ne olacak? Sektördeki bizler için bu, SMS tabanlı yöntemlere bariz bir teknik alternatif gibi görünebilir. Ancak çok az sayıda son kullanıcı dijital olarak bu kadar bilgili. Bir kimlik doğrulama uygulaması veya güvenlik anahtarı gibi bir şeyi geniş ölçekte zorlamanın daha olası sonucu, insanların onu kullanmamasıdır.
Kimlik Avına Dayanıklı Kimlik Doğrulaması
Kimlik avına dayanıklı faktörlere geçiş, tüketicilerin MFA sorunlarına potansiyel bir çözüm sunar. FIDO ve WebAuthn, hem güvenliği hem de kullanıcı deneyimini önemli ölçüde iyileştirmek için açık anahtar şifrelemesine ve biyometriye güvenir. Açık anahtarlı kriptografi kullanılırken çalınacak hiçbir kod veya sır yoktur. Kullanıcılar, SMS kodu girmekten çok daha hızlı olan özel anahtarlarına erişimin kilidini açmak için cihazlarında biyometrik bir kontrolden geçer. Biyometrik verilerin nasıl doğrulandığı konusunda veri gizliliği ve güvenliği için büyük bir fark yaratabilecek nüanslar vardır.
Geçiş Anahtarı Fırsatı
Daha güvenli ve kullanılabilir faktörlere yönelik heyecan verici ilerlemeye rağmen, tüketiciler için en iyi MFA mekanizması gerçekten de MFA değil, geçiş anahtarlarıdır. Geçiş anahtarları, buluta yedeklenme avantajına sahip bir FIDO kimlik doğrulayıcıdır; bu nedenle, cihazınızı kaybederseniz veya yeni bir tane satın alırsanız, tek yapmanız gereken geçiş anahtarlarınızı kurtarmak için iCloud veya Google Play hesabınızda oturum açmaktır. Geçiş anahtarları, genel anahtar şifrelemesini ve cihaz biyometrisini kullanır, bu da onları bilinen birçok saldırıya karşı dirençli hale getirir ve kullanıcı için kolaydır.
Twitter’da geçiş anahtarları kullanılmalı mıydı? Kesinlikle, ama o zamanlar net bir seçenek olmayabilirler. Yeni bir şeyi desteklemek, mühendislik açısından her zaman pahalıdır. Geçiş anahtarları bir seçenek olsaydı, kullanıcının deneyimi şöyle görünebilirdi:
- Kullanıcı, kullanıcı adı ve şifre ile mobil cihazında Twitter’da oturum açar;
- Bir dahaki sefere kimliklerini doğrulamak için geçiş anahtarı kullanmak isteyip istemedikleri sorulur; Ve
- Kullanıcı bundan sonra herhangi bir şey yüklemesine gerek kalmadan bir biyometrik bilgi istemi alır. Hatta Mac’lerine gidip Safari’de Twitter’ı açabilirler ve şifre otomatik olarak o cihazla senkronize edilir.
Parola kimlik doğrulaması sunmak şu anda biraz yeniden çalışma gerektiriyor, ancak SMS’den daha kolay ve daha uygun maliyetli. Ne yazık ki, geçiş anahtarları henüz tek tip olarak dağıtılmamıştır. Apple erkenden destek ekledi, ardından Android ve Chrome geldi. Windows şu anda tek bir aygıtta geçiş anahtarlarını desteklemektedir.
İnsanlardan ne zaman değişmelerini isteseniz, geçişi kolaylaştırmak için somut adımlar atmanız gerekir. Twitter söz konusu olduğunda, bu, kullanıcılara MFA’yı tamamen bırakmalarını önlemek için ikinci faktörlerini değiştirmek için neler yapabileceklerini açıklamak olacaktır. Endüstri hazır olsaydı, bu inanılmaz bir geçiş anahtarı benimseme fırsatı olurdu. İnsanları bu şifresiz lezzeti kullanmaya teşvik etmek için zaten harika bir konumdayız. Bundan sonra, geliştiricilerin uygulamalarında ve web sitelerinde gerekli değişiklikleri uygulamalarını kolaylaştırmak geliyor. Daha az şifreli bir gelecek aslında çok da uzak olmayabilir.