İster SMS yoluyla bir kerelik parola (OTP) alıyor olsun, ister bir anlık bildirim veya bizi çeşitli hesaplarımıza bağlamak için biyometri kullanımı olsun, çoğumuz iki ve çok faktörlü kimlik doğrulamaya (2FA/MFA) zaten aşinayız. Avrupa’da, ödeme hizmetlerine ilişkin ikinci direktif (PSD2) çerçevesinde tanıtılan güçlü müşteri kimlik doğrulaması (SCA) açısından gereksinimler, çevrimiçi satın almalar için 2FA’nın genelleştirilmesine büyük ölçüde katkıda bulunmuştur.
Ancak, kimlik doğrulama sorunlarına bakan yalnızca finansal hizmetler olmamalıdır. 2021’de, önde gelen çevrimiçi tüketici hizmetleri oyuncularından bazıları, kullanıcılarının MFA’yı benimsemesini sağlamada önemli ilerleme kaydetti:
- Google, tüm G-Suite kullanıcıları için çok faktörlü kimlik doğrulamayı zorunlu kılacağını taahhüt etti.
- Microsoft tamamen şifresiz hesap seçeneklerini başlattı
- Twitter, iki faktörlü kimlik doğrulamanın benimsenmesiyle ilgili verilerini paylaştı
- Facebook Protect küresel olarak başlatıldı ve genişletildi
- Google, yüksek riskli kişilere binlerce güvenlik anahtarı dağıttı
Bu çok dikkate değer bir gelişme. Çevrimiçi bir güvenlik yöntemi olarak parolaların etkisizliği ve güvenlik açığı bugün iyi bilinmektedir, ancak birkaç yıl öncesine kadar bu uygulama normdu. MFA – parolalarla ilişkilendirildiğinde bile – herhangi bir çevrimiçi hizmetin kullanıcılarını birçok uzaktan saldırıya karşı koruyabilir. Ancak bu yeterli değil, hem yukarıda bahsedilen teknoloji devlerinden hem de diğer tüketici odaklı Bulut Çözümü Sağlayıcılarından (CSP’ler) yapılacak çok şey var.
Bu CSP’ler kimlik doğrulama yöntemlerini nasıl iyileştirebilir?
Kullanıcılar için MFA’yı zorunlu hale getirin:
MFA’yı benimseme konusunda endüstrinin “eğer”den “ne zaman”a geçtiği inkar edilemez. Ancak kullanıcıların davranışlarını değiştirmeleri için çok faktörlü kimlik doğrulamayı kullanmaya zorlanmaları gerekecek. Teknoloji konusunda bilgili birkaç kişi dışında, çok az kullanıcı, özellikle de daha fazla karmaşıklık içeriyorsa, hesaplarına erişim şeklini değiştirmeye isteklidir.
Çok faktörlü kimlik doğrulama gerektirmeye yönelik bir eğilim görmeye başlıyoruz. Meta’nın Aralık ayı başlarında yüksek riskli profiller için MFA kullanmayı içeren Facebook Protect’i daha fazla kullanıcıya ve coğrafyaya genişletmesinden memnunuz. Veya Google, daha fazla kullanıcısı için MFA’yı zorunlu kılma niyetini açıkladığında. Bu harika bir başlangıç, ancak “sanal dünyanın” kendisini gerçekten koruması için, daha fazla hizmet sağlayıcının ve müşterilerinin daha büyük bir bölümünün aynı şeyi izlemesi gerekecek.
Şeffaf olun:
Bu nokta bir sonrakine yol açar. CSP’lerin ayrıca MFA’nın benimsenme durumu hakkında daha şeffaf olmaları gerekir. Twitter, geçen yaz 2FA sisteminin benimsenmesine ilişkin rakamlarını açıklamıştı ve hesapların yalnızca %2,3’ü bunu etkinleştirmişti. Ve bunların %80’i, kaçırma ve kimlik avı saldırılarına karşı savunmasızlığı nedeniyle aslında en az güvenli kimlik doğrulama yöntemi olan SMS korumasını seçti.
Verilerin kendisi istisnai olmasa da, bu şeffaflık seviyesi dikkat çekicidir çünkü iyileştirme alanları için önemli bir referans noktası sağlar. Ayrıca sektöre tüketicilerin ilgisini çekmek ve daha fazla hesabı korumak için çok fazla çalışma yapılması gerektiğine dikkat çekiyor.
Kullanıcı deneyimine (UX) odaklanın:
Eski kimlik doğrulama yöntemlerinden (2FA) vazgeçmek yalnızca bir güvenlik sorunu değildir. OTP’ler ve push bildirimleri gibi faktörlerin sağladığı kullanıcı deneyimi kafa karıştırıcı, zahmetli ve rahatsız edici. E-ticaret, kötü bir kullanıcı deneyiminin sonuçlarının hizmetlerin kullanımı ve buna bağlı olarak şirketin sonuçları üzerinde felaket olduğu sektörlerden biridir. Forrester, büyük ölçüde ödeme sırasında kimlik doğrulama sürecindeki zorluklardan kaynaklanan alışveriş sepetinin terk edilmesi nedeniyle markaların yılda 18 milyar dolardan fazla kaybedebileceğini tahmin ediyor.
MFA’nın tüketiciler tarafından tamamen benimsenmesi için mümkün olduğunca sorunsuz olması gerekir. Ne de olsa, bunu dağıtma konusundaki isteksizlik, büyük ölçüde CSP’lerin güvenlik ve müşteri deneyimini dengelemek zorunda kalmasından kaynaklanıyor. Biyometri ve güvenlik anahtarları, genellikle kullanıcıların oturum açma deneyiminden ödün vermeden artırılmış güvenlikten yararlanmalarını sağlayan çok basit kimlik doğrulama yöntemleridir.
Yeniyi Kucaklamak:
Microsoft’un belirttiği gibi, herhangi bir MFA biçimi, bir hesabı korumak için tek bir paroladan daha iyidir. Ancak, tüm 2FA cihazları eşit yaratılmamıştır. Yeni kötü amaçlı yazılımlar artık MFA’yı (özellikle SMS OTP’leri) atlatmak için çevrimiçi olarak kolayca bulunabiliyor ve bu tür saldırıların yalnızca daha karmaşık değil, aynı zamanda daha yaygın olduğunu gösteriyor. Bu programların bir destek hizmeti bile var – ne yazık ki hacker olmak hiç bu kadar kolay olmamıştı.
Buradaki nokta, ister bir metin mesajından isterse bir kimlik doğrulama uygulamasından gelsin, herhangi bir tek kullanımlık şifrenin “paylaşılan bir sır” olarak kalmasıdır. Bu, bilgisayar korsanları, kesişme ve tekrarlama saldırıları ve sosyal mühendislik tarafından manipülasyona karşı hala hassas oldukları anlamına gelir. Dolayısıyla, CSP’lerin bu “geleneksel” kimlik doğrulama yöntemlerinin ötesine geçme ve bir sahiplik faktörüne dayalı MFA’dan yararlanma zamanı. kimliğine bürünülebilir veya aynı şekilde tehlikeye atılabilir.
Sektör, inovasyon ve çok faktörlü kimlik doğrulamanın yaygınlaştırılmasında önemli adımlar attı. Orada duramayız. MFA tartışması gereklilik ve uygulanabilirlikten pratiklik ve zamanlılığa doğru kayarken, CSP’lerin kimlik doğrulama yol haritaları hakkında dikkatlice düşünmeleri gerekir. Kullanım kolaylığı ve yeni kimlik doğrulama yöntemlerinin genelleştirilmesi açısından daha fazla beklenti göreceğimiz için taktiklere odaklanmak önemli olacaktır.
Neyse ki, bugün çoğu cihaz – ve bunu okurken kutudan çıkan hemen hemen her biri – FIDO kimlik doğrulamasını destekliyor. Bu, parolalara bir alternatifin dünya çapında milyarlarca insanın tam anlamıyla parmaklarının ucunda olduğu anlamına gelir. Ana akım MFA’nın benimsenmesini sağlamaya çalışan CSP’ler için, cihazların yerleşik özelliklerinden yararlanmak, yolculuğu göründüğünden daha kolay hale getirebilir.
