Şifresiz Bir Geleceğe Hiç Olmadığı Kadar Yakınız

Şifresiz Bir Geleceğe Hiç Olmadığı Kadar Yakınız

May 22, 2022 / Kron

Her geçen gün bir yenisi ile karşılaştığımız siber saldırılara kapı açan güvenlik açıklarının hatırı sayılır bir kısmı kusurlu şifrelerden kaynaklanıyor. Günümüzde gerçekleşen veri ihlallerinin %80’den fazlası kullanılan şifrelerdeki hatalardan ileri geliyor. Şirketlerin çalışanlarına şifrelerle ilgili destek sunmak için yılda 1 milyon dolardan fazla bütçe ayırdığı tahmin ediliyor. ABD’de yer alan bir teknoloji şirketinin çalışanlar üzerinde yaptığı Şifreler ve Verimlilik 2021 anketine göre ankete katılan ofis çalışanlarının %60’ı kullandıkları şifrelerle ilgili zorlukların işlerini yavaşlattığını ve üretkenliği düşürdüğünü ifade ediyor.

Bu zorlukları ve ele geçirilme tehlikelerini göz önünde bulundurduğumuzda, Şifresiz Doğrulama (Passwordless Authentication) yöntemleri son kullanıcıların şifre depolaması, oluşturması veya mevcut şifreleri hatırlaması gerekliliğini ortadan kaldırıyor. Şifre ihlalleri ile riskleri ortadan kaldıran şifresiz kimlik doğrulama hem masrafları azaltıyor hem de kullanıcıların ve şirketin bulut sisteminin verilerini koruyor. Şifresiz doğrulamada unutulması ve ele geçirilmesi olası şifrelerin yerini biyometrik veya PIN gibi daha güvenli olan diğer kimlik doğrulama faktörleri alıyor.

Apple, Google ve Microsoft Şifreleri Kaldırmayı Hedefliyor

Dünyanın teknoloji devleri olarak kabul edilen Apple, Google ve Microsoft, güçlerini birleştirerek şifresiz doğrulama ve dolayısıyla şifresiz oturum açma işlemlerini standart hâle getiren ortak planlarını hayata geçirmeyi planlıyor.

Apple, Google ve Microsoft yeni kimlik doğrulama teknolojileri geliştirmek için oluşturulan bir endüstri konsorsiyumu FIDO Alliance’ın (Fast Identity Online Alliance) şifresiz standartlarını Android, Chrome, iOS, macOS, Safari, Windows ve Edge cihazlarında hayata geçirmeye hazırlanıyor. Buna göre yakın gelecekte uygulamalar, cihazlar ve internet siteleri için şifre kullanmanıza gerek kalmayacağı, şifrelerin yerini cihazlarla eşleştirilecek anahtarların alacağı öngörülüyor. Apple, Google ve Microsoft’un ortak çalıştığı FIDO Alliance’ın belirlediği standartlara göre eşleştirilen anahtarları ele geçirmek neredeyse imkânsız hale geliyor.

Microsoft FIDO2 tabanlı kimlik çözümlerinin mevcut şifrelerden ve çok faktörlü kimlik doğrulama yöntemlerinden daha güvenli, hızlı ve kolay olacağı düşünülüyor. Sezgisel ve yetenekli cihazlarıyla teknoloji tutkunlarının gözdesi olan Apple, daha iyi koruma sağlayan ve şifre açıklarının önüne geçerek şeffaf ve güvenli kullanıcı deneyimini desteklediğini özellikle vurguluyor.

Kimi Apple, Google ve Microsoft cihazlarında söz konusu standartlar halihazırda destekleniyor. Ancak mevcut oturum açma yöntemi şu anda sadece tek bir cihazda kullanılabiliyor, şifresiz doğrulama tamamen hayata geçirildiğinde ilk kayıttan sonra birden fazla cihazda oturum açmanın mümkün olacağı öngörülüyor.

Öyleyse Bu Şifresiz Doğrulama da (Passwordless Authentication) Neyin Nesi?

Şifresiz doğrulama kullanıcının bir şifre girmeden veya güvenlik sorularını yanıtlamadan bir uygulamaya ya da bulut sistemine erişimini yapmasına aracılık eden bir kimlik doğrulama yöntemi olarak tanımlanıyor. Şifresiz doğrulama ile kullanıcıların şifre oluşturması, şifrelerini depolaması veya hatırlamasına gerek kalmıyor. Kullanıcı tek bir dokunuş, bakış veya donanımdan verilen kod gibi doğrulama yöntemleriyle dilediği sisteme erişebiliyor. Fast Identity Online (FIDO2) ve Web Authentication API (WebAuthN) gibi standartları karşılayan şifresiz doğrulama farklı platformlarda şifresiz kimlik doğrulamanın kapısını ardına kadar açıyor.

Uygulamalara ve diğer hizmetlere erişimi hızlandıran şifresiz doğrulama aynı zamanda güvenlik düzeyini artırıyor, BT destek masraflarını büyük ölçüde azaltıyor. Şifresiz doğrulama siber güvenlik önlemlerini güçlendirmek üzere Çok Faktörlü Kimlik Doğrulama (MFA) gibi çözümlerle bir arada kullanılıyor.

Günümüz iş dünyasının gelişmesinde dijitalleşmenin etkisi yadsınamayacak kadar büyük. Dijitalleşmeyle beraber iş süreçlerine her zamankinden daha fazla dahil olan uygulamaların hemen hepsine girişler, kullanıcının uygulamaya özel olarak belirlediği şifreler üzerinden yapılıyor. Uygulamaların artmasıyla beraber ezberlenecek şifreler de artıyor. Üstelik bu şifreleri sık sık değiştirme gerekliliği de cabası. Kullanıcılar işlerini daha pratik şekilde yapmak, hız kazanmak ve bazen de unutmamak için tüm uygulamalarda benzer veya aynı şifreleri veya zayıf şifreleri tercih ediyor. Tabii bu tercihin bazı sonuçları da oluyor. Siber saldırganlar ransomare, malware ve phishing gibi yöntemlerle veri ihlalinde zayıf şifre seçimini kendileri için avantaja dönüştürebiliyor.

Kimlik doğrulama yöntemi olarak kullanıcı adı ve şifre kombinasyonu gibi basit yöntemleri tercih etmek sistemi siber saldırılara karşı güvensiz hale getiriyor. Siber saldırganlar,

  • bir hesaptan sızdırılan kimlik bilgilerini kullanma
  • rastgele kullanıcı adı/şifre kombinasyonları oluşturma veya yaygın olarak kullanılan zayıf şifreleri belirlemek için program kullanma
  • iletişim akışlarını ele geçirerek kimlik bilgilerini elde etme
  • bir kurbanı kimlik bilgileriyle cevap vermesi için kandırmak üzere sahte e-posta veya metin mesajları kullanarak kimlik avı yapma,
  • kullanıcının klavye tuş vuruşlarını yakalamak için bilgisayara kötü amaçlı yazılım yükleme (Keystroke logging veya keylogging)

gibi yöntemlerle diğer hesaplara erişim sağlayarak kullanıcı bilgilerini ele geçirebiliyor.

Şifresiz Doğrulama Siber Riskleri Azaltıyor

Riskli parola yönetimini yok eden ve siber güvenliği bir üst seviyeye taşıyan şifresiz doğrulama, şifre belirleme, ezberleme ve sıkça değiştirme gibi problemleri ortadan kaldırarak kullanıcılara zaman kazandırıyor, üretkenliklerine katkıda bulunuyor. Şifresiz doğrulamada kimlik doğrulama için proximity kartlar, FIDO2 uyumlu USB aygıtları, fiziksel tokenlar (physical tokens) gibi yöntemlerden faydalanılıyor. Yazılım tokenları veya sertifikaları, parmak izi, ses veya retina taraması ve cep telefonu uygulaması gibi yöntemler de şifresiz kimlik doğrulama tekniği olarak tercih edilebiliyor.

Şifresiz doğrulama genellikle Single Sign-On (Tekli Oturum Açma, SSO) ve MFA çözümleriyle birlikte kullanılıyor. SSO çözümü sayesinde bir kullanıcı tek bir proximity kartı, güvenlik tokenı veya mobil uygulama kullanarak tüm kurumsal uygulama ve hizmetlere erişim sağlayabiliyor. MFA çözümünün bir parçası olarak da kullanılan şifresiz doğrulama ile kullanıcıların uygulamalara veya hesaplara erişim yaparken, telefona gelen tek seferlik kodu girme veya parmak izi taraması gibi ek bir kimlik doğrulaması yapması gerekiyor.

Son kullanılan MFA çözümleri, uyarlamalı kimlik doğrulama yöntemlerini destekliyor. Buna göre bir kullanıcıya belirli bir durumda hangi kimlik doğrulama yönteminin kullanılacağı IP adresi, cihaz, saat ve konum gibi bağlamsal bilgilere ve kurumun kurallarına göre belirleniyor.

Şifresiz Doğrulama ve Ayrıcalıklı Erişim Yönetimi (PAM)

Şifresiz doğrulama kullanıcılar ve kurumlar için güvenlik ve verimlilik açısından büyük avantajlar sunuyor. Ayrıcalıklı hesaplar günümüzde şirketlerin dijital altyapılarına ulaşmalarını sağlayan kritik kimlik bilgileri arasında yer aldığı gibi, ele geçirilme ihtimalinde de karşı karşıya kaldığı en tehlikeli güvenlik açığı olarak değerlendiriliyor. Hem iç hem de dış tehditler haline dönüşebilen bu hesaplar, siber saldırganların BT altyapısına zarar vermesine, güvenlik kontrollerini devre dışı bırakmasına neden olabiliyor. Bu nedenle yetkili hesaplar denetlenebilir bir ortamda, şeffaf ve görünürlüğü yüksek bir güvenlik kontrolü gerektiriyor. Ayrıcalıklı Erişim Yönetimi (Privileged Access Management, PAM) çözümleri tam da bu noktada kullanıcıların bilmemesi gereken kimlik bilgilerini saklarken oturum izleme, kaydetme ve tehdit algılama gibi ek güvenlik katmanlarıyla siber güvenliği garanti altına alıyor.

Kron’un Ayrıcalıklı Erişim Yönetimi ürünü olan Single Connect’in önemli üyeleri arasında yer alan Yetkili Oturum Yöneticisi (Privileged Session Manager) ve Merkezi Parola Yönetimi’nin (Dynamic Password Controller) birlikte kullanılması durumunda servis hesaplarına ve sunuculara erişebilen servisler şifresiz doğrulama ile yönetilebiliyor. Yetkili Oturum Yöneticisi şirket içerisindeki ayrıcalıklı hesapları yönetme, izleme ve denetleme imkânı tanıyor. Böylelikle sistemdeki ayrıcalıklı hesaplar iç ve dış tehditlere karşı güvence altına alınıyor. Bir diğer Ayrıcalıklı Erişim Yönetimi çözümlerinden Merkezi Parola Yönetimi’nde parolaların tümü şifrelenmiş gizli bir kasada saklanıyor. Dynamic Password Controller ile parola kasası içerisinde otomatik olarak benzersiz şifreler oluşturuluyor ve Ayrıcalıklı Erişim Yönetimi deneyiminin iyileşmesine katkıda bulunuyor. İki uygulamanın IT altyapılarında birlikte kullanılması şifresiz doğrulama ile güvenliği daha ileri seviyelere taşıyor ve yetkili hesaplara özellikle malware, ransomware, phishing gibi siber tehlikelere karşı çok güçlü bir koruma kalkanı sunuyor.  

Siz de modern çağa ayak uydurup şifresiz doğrulama teknolojisinden faydalanmayı düşünüyorsanız IT altyapınızı Single Connect’in şifresiz doğrulama yapan Yetkili Oturum Yöneticisi (Privileged Session Manager) ve Merkezi Parola Yönetimi (Dynamic Password Controller) ile destekleyebilir, yüksek kapasiteli erişim ve veri güvenliği avantajıyla verimlilik sağlayabilirsiniz. Single Connect, Yetkili Oturum Yöneticisi ve Merkezi Parola Yönetimi ile ilgili daha fazla bilgi ve sorularınız için bizimle iletişime geçebilirsiniz.

Diğer Bloglar