FIDO şifresiz kimlik doğrulama siber güvenliği kurtaracak mı?

İş ortamından şifreleri silme planları yapılıyor, ancak üstesinden gelinmesi gereken önemli engeller var

Parolalar, hem uygulamalar hem de web siteleri için en yaygın kullanılan kimlik doğrulama yöntemidir. Bununla birlikte, parolalar birçok kişi tarafından oldukça güvensiz ve bilgisayar korsanlığı ve kimlik avı saldırıları gibi bilgi güvenliği (InfoSec) risklerine açık olarak kabul edilir. 

Bu risk, kullanıcılar statista.com’a göre yeni bir hesap oluştururken insanların %21’i için geçerli olan aynı kullanıcı adı-şifre kombinasyonunu geri dönüştürdüğünde önemli ölçüde artmaktadır . Endişe verici bir şekilde, geçen yıl yayınlanan araştırma da BT karar vericilerinin %90’ının parolalarını yeniden kullandığını öne sürdü . Bu arada, internette kullanılan ve siber suçlular tarafından kolayca kırılabilen çok sayıda yaygın şifre vardır. Bu, bilgisayar korsanlarının kimlik bilgilerini elde ettiği ve kullanıcı hesaplarına erişmek için kimlik bilgilerini doldurma saldırılarına giriştiği tarihi veri ihlallerinin hayaletinden bahsetmiyor.

Bu senaryoların her birinde, parolasız kimlik doğrulama, InfoSec için bir dönüm noktası olabilir. Alanında önde gelen oyunculardan biri, iş dünyasında ilk kez standartlaştırılmış bir parolasız kimlik doğrulama biçimi uygulamak için  bir avuç endüstri deviyle bir araya gelen FIDO Alliance’dır.

FIDO İttifakı ne öneriyor? 

Andrew Shikiar, ” Son teknik incelememiz ‘ FIDO Tüm Kullanım Durumlarını Nasıl Ele Alır’, FIDO Alliance ve World Wide Web Konsorsiyumu (W3C) WebAuthn topluluğu tarafından önerilen standartlarda önemli ve evrimsel değişiklikleri ortaya koymaktadır,” dedi. FIDO Alliance’ın baş pazarlama yetkilisi (CMO) , IT Pro’ya şunları söyledi: “Bu değişiklikler, tüketicilerin büyük ölçekte parolasız kimlik doğrulamasını benimsemesini kolay ve oldukça pratik hale getirerek, yüksek güvenlikli ortamlarda ve kuruluşlarda FIDO’nun başarısının üzerine inşa edilmiştir.”

Shikiar, makalenin o zamandan beri Apple, Google ve Microsoft tarafından benimsenen iki önemli gelişmeyi özetlediğini söylüyor. Bu, kendi tabiriyle FIDO-tabanlı güvenli kimlik doğrulamanın, geleneksel şifrelerin bir kez ve herkes için yerini almasının yolunu açıyor.

İlk gelişme, akıllı telefonunuzu, çalıştırdıkları işletim sistemi (OS) veya tarayıcıdan bağımsız olarak, kullanıcıların yakındaki bir cihazdaki bir uygulamada veya web sitesinde oturum açmak için FIDO kimlik doğrulamasını kullanmalarına olanak tanıyan bir ‘dolaşım kimlik doğrulayıcısı’ olarak kullanmaktır . Bu yaklaşım, fiziksel yakınlık gerektirir; bu, belirli kimlik avı saldırılarını ve SMS yoluyla iletilen tek seferlik parolalarla ilişkili diğer riskleri azaltabileceği anlamına gelir .

İkincisi, kullanıcıların, her hesabı yeniden kaydettirmek zorunda kalmadan, birçok cihazında, hatta yeni cihazlarda, FIDO oturum açma kimlik bilgilerine (bazıları tarafından “geçiş anahtarı” olarak anılır) otomatik olarak erişmesine izin vermektir. Parola yöneticilerinin parolalarla yaptığı gibi, temeldeki işletim sistemi platformu bir FIDO kimlik bilgisine ait şifreleme anahtarlarını aygıttan aygıta “eşzamanlayacaktır”. Tipik olarak, birinin yeni bir cihazdan uygulamalarına ve hizmetlerine giriş yapmak için yapması gereken tek şey, giriş yapmaya çalıştıkları cihazdaki yerleşik biyometrik sorgulamayı geçmektir.

Bu önlemler pratikte nasıl görünecek?

Shikiar, kullanıcı deneyimini (UX) iyileştirmenin yanı sıra , bu standartlara dayalı yaklaşımın geniş desteğinin, hizmet sağlayıcıların alternatif veya hesap kurtarma yöntemi olarak şifrelere ihtiyaç duymadan FIDO kimlik bilgileri sunmasına olanak tanıyacağını da ekliyor.

En önemlisi, bu , cihazın kilidini açmak için telefonunuzun yerleşik biyometrisini veya PIN’ini kullanmak gibi yerleşik kullanıcı davranışlarından yararlanır. Değişikliklerin çoğu tekniktir ve perde arkasında şekillenir, bu nedenle kullanıcılar için artık şifreleri hatırlamaya gerek kalmaması dışında çok az değişiklik olacaktır . Microsoft gibi ilişkili şirketler için çalışanlar, bir dizi cihazda oturum açmaları gereken bir dizi uygulama ve hizmet için uçtan uca parolasız kimlik doğrulamasından yararlanabilecekler.

Microsoft’un kimlik ve ağ erişimi bölümünde ürün yönetimi kurumsal başkan yardımcısı Alex Simmons, “Microsoft’ta, Windows ve tüm bulut hizmetlerimiz için bu standartları benimsemeye kararlıyız” diyor. Microsoft’un FIDO standartlarının çok erken bir destekçisi olduğunu ekliyor. , daha önce Windows Hello için FIDO2 sertifikasını benimsemiş olan .Beş yıl önce parolasız kimlik doğrulamanın tanıtılmasından bu yana, 240 milyondan fazla müşteri artık Microsoft’un uygulamalarına ve hizmetlerine parola kullanmadan giriş yapıyor.

“Parolalar, dijital yaşamlarımızı korumak için hiç bu kadar yeterli olmamıştı. Birçok saldırgan şifrenizi istiyor ve sizden çalmaya devam edecek. Parolalarla ilgili bu doğal güvenlik zorlukları, parolasız inovasyonun ilk dalgasını tetikledi. Ancak, parolasız teknoloji tek bir cihazda güvenlik anahtarları ve platform kimlik doğrulaması ile sınırlı olduğu için henüz geniş bir kabule ulaşamadık. Geçiş anahtarlarının devreye girdiği yer burasıdır.”

Simmons, geçiş anahtarı UX’in basit olacağını söylüyor. Windows, Mac, iPhone ve Android cihazlarda, kullanıcılar yüz tanıma veya parmak izi kontrolünden geçmeden veya PIN’lerini girmeden önce bir web sitesinde veya uygulamada geçiş anahtarı simgesine tıklar ve sorunsuz bir şekilde oturum açarlar. 

Hangi şirketler ve platformlar dahil?

FIDO Alliance, 250’den fazla üyesi arasında büyük platformlar, cihaz üreticileri ve finans kuruluşlarından oluşan bir açık endüstri birliğidir. Amazon, Apple, Google, Mastercard, Meta, Microsoft, PayPal, Samsung ve Visa gibi şirketler FIDO Alliance Yönetim Kurulu’nun üyeleridir ve üyelikte güvenlik ve kimlik liderlerinin yanı sıra birkaç hükümet üyesi de yer almaktadır. İngiltere, Almanya ve ABD.

“FIDO Alliance ve FIDO kimlik doğrulaması hakkında benzersiz olan bir şey, bunun gerçekten endüstri çapında bir hareket olmasıdır – bu, eldeki görevi düşündüğünüzde kesinlikle gereklidir: web’in kimlik doğrulama dokusunu değiştirmek” diye devam ediyor. “Sonuç olarak, daha geniş FIDO topluluğunda, işbirliği yapma ve gerçek dünyadan alınan derslere dayalı en iyi uygulamaları paylaşma isteği de dahil olmak üzere gerçek bir misyon duygusu var.”

Apple, Google ve Microsoft, genişletilmiş bir dizi yeteneğin geliştirilmesine öncülük etti ve şimdi kendi platformlarına destek oluşturuyor. Bu şirketlerin platformları, milyarlarca cihazda parolasız kimlik doğrulamayı etkinleştirmek için FIDO Alliance standartlarını zaten destekliyor, ancak önceki uygulamalar, kullanıcıların parolasız işlevselliği kullanabilmeleri için her bir cihazla her bir web sitesinde veya uygulamada oturum açmasını gerektiriyor. 

Apple kısa süre önce WWDC etkinliğinde geçiş anahtarının iOS ve macOS’un gelecek sürümlerinde yer alacağını duyurdu. Google ayrıca, son Google I/O geliştirici konferansında Android şifre desteği için kendi planlarını detaylandırdı. Geçiş anahtarı yaklaşımı, hizmet sağlayıcıların, alternatif bir oturum açma veya hesap kurtarma yöntemi olarak parolalara ihtiyaç duymadan FIDO kimlik bilgilerini sunmalarını sağlayacaktır. Yeni yeteneklerin 2023’ten itibaren Microsoft, Apple ve Google platformlarında kullanıma sunulması bekleniyor.

Siber güvenliğe etkileri nelerdir?

Shakiar, çok cihazlı FIDO kimlik bilgileri için, kullanıcının ihtiyaç duyduğunda kimlik bilgilerinin kullanılabilir olmasını sağlamanın işletim sistemi platformunun sorumluluğunda olduğunu söylüyor. Bu, bir kullanıcının senkronize edilmiş kimlik bilgilerinin güvenliğinin ve kullanılabilirliğinin, çevrimiçi hesapları için temel işletim sisteminin kimlik doğrulama mekanizmasının güvenliğine ve kullanıcı hesabı kurtarma güvenlik yöntemine bağlı olduğu anlamına gelir.

“İşletmeler ve hizmet sağlayıcılar bu bağımlılığa güvenmek isteyebilir veya istemeyebilir” diye ekliyor. “Ancak en azından, senkronize edilmiş bir FIDO kimlik bilgisinin doğrulanması, güvenen bir tarafa, kullanıcının söylediği kişi olduğuna dair sağlam bir sinyali temsil ediyor ve bu, şifrelere kıyasla güvenlik açısından büyük bir gelişme. 

“Birçok servis sağlayıcı için, kullanıcının oturum açmak için ihtiyaç duydukları tek şeyin yeni cihazda senkronize edilmiş FIDO kimlik bilgilerine güvenmelerini bekliyoruz. Bununla birlikte, FIDO, bir şirketin ek güvenlik veya düzenleyici nedenlerle bunun ötesine geçmeyi ve kullanıcı yeni bir cihazdan her oturum açtığında daha fazla kullanıcı doğrulama adımlarını gerçekleştirmeyi seçebileceği kullanım durumlarını da destekler.”

Bu arada Simons, IT Pro’ya Microsoft’un amacının herhangi bir müşteri için parolasız kimlik doğrulamasını açık ve kolay bir seçim yapmak olduğunu söylüyor. “Yalnızca herhangi bir cihazda, herhangi bir uygulamada veya web sitesinde parola olmadan oturum açmanın yeni yollarını oluşturmuyoruz, aynı zamanda Azure AD hesaplarının parolalarını tamamen ortadan kaldırmak için çalışıyoruz. 

“Yöneticiler, bir dizi kullanıcı için parolaların gerekli olup olmadığını, izin verilip verilmeyeceğini veya yalnızca mevcut olup olmadığını seçebilir. Kullanıcılar, bir hesap oluştururken şifre belirlememeyi veya mevcut bir hesaptan şifrelerini kaldırmayı seçebilirler.”

FIDO Alliance parolasız kimlik doğrulamasını ana akım haline getirecek mi?

Örneğin, kullanıcı adı-şifre kombinasyonunu rutin olarak herkese açık bir şekilde çarpıtarak ve toplumu şifresiz bir modele geçmeye çağırarak, Microsoft ile son yıllarda parolasız kimlik doğrulama konusundaki söylemler çok yaygındı. Bununla birlikte, şifreler hala baskındır ve dijital dünyada da öyle kalır. FIDO İttifakı, bu hareketin manzarayı temelden tersine çevireceğini umuyor.

Shakiar, “Dünyanın en büyük üç platform sağlayıcısının dahil olduğu bu ortak çaba, kuşkusuz parolasız oturum açmaların kullanılabilirliğini hızlandıracak” diye açıklıyor. “Kullanıcı davranışında neredeyse hiçbir değişiklik gerekmeden, web’i herkes için daha güvenli ve kullanılabilir hale getirme konusunda kullanıcılara ve hizmet sağlayıcılara açık avantajlar sunuyor. Bunun, parola tabanlı kimlik doğrulama dağıtımlarına rakip olacak bir ölçekte kimlik avına dayanıklı kimlik doğrulama sunacağına inanıyoruz. , sonuçta, internette baskın kimlik doğrulama biçimi olarak parolaların yerini alıyor.”

Simons’a göre, gezegendeki ülkeler tarafından parola kaldırma teşvik edildiğinden, parolasız kimlik doğrulamanın ana akım haline gelmesi muhtemeldir. Kimlik avı dolandırıcılığı ve fidye yazılımı saldırılarının yanı sıra çevrimiçi kimliğinize yönelik artan saldırı tehdidiyle birlikte, parolaların ortadan kaldırılmasını benimsemek için daha iyi bir zaman olmadığını da ekliyor.

Ancak Forrester’ın Başkan Yardımcısı ve baş analisti Andras Cser, IT Pro’ya parolasız oturum açmanın bir ölçüde ana akıma girmeye başladığını ve güvenlik karar vericilerinin üçte ikisinden fazlasının yakın zamanda yapılan bir ankette teknolojiyi benimsediğini söylüyor. “Ancak, evlat edinme hala çok erken bir aşamada” diyor. “Katılımcıların yaklaşık yarısının dağıtımlarına üç aydan kısa bir süre kaldı, bu da çoğunlukla kavram kanıtı (PoC’ler) ve pilot programların dağıtıldığını gösteriyor. Ankete katılanlar, parolasız kullanan çalışanların yüzdesinin 2022’nin sonuna kadar neredeyse iki katına çıkmasını bekliyor.

Cser, “Şifresiz hala yeni bir gelişme, ancak teknolojik gelişmeler, yaygın akıllı telefon kullanımı, şifrelerle ilgili kullanıcı hayal kırıklığı ve zayıf şifre güvenliği ile kurumsal hayal kırıklığı benimsemeye katkıda bulunuyor” diye ekliyor Cser. “FIDO2 standardı, özellikle WebAuthn yönü için güçlü endüstri desteği de yardımcı oluyor.” 

Birçok işletme için, onlarca yıllık siber güvenlik en iyi uygulamalarının normlarına ve sözleşmelerine aykırı olduğu göz önüne alındığında, şifreleri değiştirmek çok büyük bir karar olacaktır. Bu, her durumda, ilgili çeşitli zorlukların üstesinden gelmeye çalışan çoğu kuruluş için çok yıllı bir yolculuk olacaktır. Bunlar, eski altyapı ile parolasız kimlik doğrulamayı entegre etmekten dahili direnci düzeltmeye kadar değişebilir. FIDO Alliance ve üye kuruluşlarına inanılırsa, parolaların olmadığı bir dünyaya geçiş, genel UX ve kurumsal siber güvenlik için harikalar yaratmalıdır.

Makalenin orjinal kaynağını bu linkten okuyabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.