Giriş
Microsoft, Entra ID kurumsal kimlik hizmetinin varsayılan kimlik doğrulama yöntemi olarak şifre anahtarlarını (passkeys) Eylül 2026 itibarıyla aktif hale getireceğini duyurdu. Bu değişiklik, kimlik hırsızlığına karşı daha güçlü bir koruma sağlamak amacıyla gerçekleştiriliyor.
Saldırı Nasıl Çalışıyor?
Microsoft, şifre doğrulama yöntemleri arasında SMS ve sesli kimlik doğrulamanın kullanımdan kaldırılacağını ve kullanıcıların phishing-resistant (oltalama karşıtı) kimlik doğrulama yöntemlerine yönlendirilmesi gerektiğini belirtiyor. 1 Şubat 2027 tarihi itibarıyla SMS ve sesli kimlik doğrulama, Microsoft Entra’nın yerel bir yetenek olarak sunulmayacak. Bu tarihten önce, organizasyonların tüm kullanıcılarının phishing-resistant yöntemlere geçiş yapması kritik öneme sahip.
Etkilenen Sistemler
Entra ID kullanıcıları, aşağıdaki yöntemleri kullanarak giriş yapabilecekler:
- Passkeys
- Windows Hello for Business
- FIDO2 güvenlik anahtarları
- Akıllı kartlar
Ancak, şu anda SMS ve sesli kimlik doğrulama kullanan tüm kullanıcılar, bir sonraki çok faktörlü kimlik doğrulama işleminde passkey kaydı için yönlendirilecekler.
Çözüm ve Korunma
Kullanıcıların, telefon tabanlı kimlik doğrulamalardan uzaklaşmaları ve phishing-resistant yöntemleri benimsemeleri önerilmektedir. Bu bağlamda, Microsoft’un sunduğu adım adım kılavuzu izleyerek phishing-resistant passwordless authentication (şifresiz, oltalama karşıtı kimlik doğrulama) sistemini kurmaları önemlidir. İlgili dökümana şu bağlantıdan erişebilirsiniz: Kılavuz.
Adminler, global reader, Authentication policy administrator, veya Security reader rollerine sahip olduklarında, SMS veya sesli kimlik doğrulama kullanan kullanıcıları tespit etmek için Entra SMS/Voice Policy Scanner PowerShell script’ini çalıştırabilirler.
Sonuç
Tüm organizasyonların, kullanıcıların SMS ve sesli kimlik doğrulama yöntemlerini kullanmalarına son vermeden önce, güçlü bir geçiş planı oluşturarak phishing-resistant yöntemlere geçiş yapmaları zorunludur. Önerilen adımlar şunlardır:
- Tüm kullanıcılarınızı phishing-resistant bir kimlik doğrulama yöntemine geçirin.
- Uygun güncellemeleri ve kaynakları takip edin.
- Güvenlik rekorlarınızı güncel tutun.
Bu adımlar, kimlik bilgilerinin çalınması ve oltalama saldırılarına karşı koruma sağlayacaktır.


