Parolalar bilgisayarlar kadar uzun müddettir var. Microsoft’un bu yılın Mart ayında kurumsal müşterileri için parolasız kimlik doğrulamasını tanıtması akıllara günler ‘123456’ için sayılı olabilir mi sorusunu getirdi. Siber güvenlik şirketi ESET, kurumların parolasızlığa yönelmedilk evvel nelere dikkat etmeleri gerektiğine dikkat çekti.
Parolasız hayat hem kullanıcılar birebir vakitte güvenlik takımları için hayatı fazlaca daha kolay hale getirmeyi vaat ediyor. Yönetici maliyetlerini düşürme, üretkenliği artırma ve siber riski azaltma üzere heyecan verici olasılıklar var. Bu avantajlara karşın, hem işletmeden tüketiciye (B2C) tıpkı vakitte işletmeden işletmeye (B2B) ortamların ahenk sağlaması beklendiği kadar çabuk olmadı. Lakin, dünyanın en büyük yazılım şirketi yeni bir teknoloji yaklaşımını desteklemeye karar verdiğinde, bunu dikkate almalıyız. Microsoft parolaları çok uzun bir süre evvel “uygunsuz, inançsız ve pahalı” olarak tanımladı. Bu yılın Mart ayında ise kurumsal müşterileri için parolasız kimlik doğrulaması tanıttı. Microsoft Eylül ayında, tüm kullanıcılar için takviyesini genişleteceğini deklare etti.
Kişi başına parola sayısı 100’e yaklaştı
Parolalar kurumsal uygulamalardan online bankacılık, e-posta ve e-ticaret hesaplarına kadar her şeyi garanti altına almak için hala kullanılıyor. Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik ayrıntılarının hepsi artık epey fazla oldu. Bir varsayıma nazaran, ABD’li çalışanların yüzde 57’si kurumsal parolalarını yapışkan notlara yazıyor. Dijital ayak izimizi genişlettikçe bu sayı artıyor. Ekim 2020 iddialarına nazaran, ortalama bir kişinin pandemi başlamadan öncesine bakılırsa yaklaşık yüzde 25 daha fazla parolası var ve bu da kişi başı yaklaşık 100 parolaya denk geliyor. Siber güvenlik açısından bakıldığında, parolalarla ilgili zorluklar aşikâr. Saldırganların çalması, kestirim etmesi, kimlik avı yahut kaba kuvvet saldırısına maruz kalmaları. Saldırganlar parolanızı ele geçirdiklerinde legal kullanıcılar üzere davranabilirler, güvenlik savunmalarını geçebilir ve şirket ağlarının ortasında epey daha uzun müddet kapalı kalabilirler. Günümüzde bir bilgi ihlalini tanımlamak ve bertaraf etmek için geçen müddet 287 gündür.
sıradan parola kullanması devam ediyor
Parola yöneticileri ve tek seferde oturum açma, bu tıp zorlukların üstesinden gelmek için her hesapta karmaşık parolaları depolar ve gerektiğinde otomatik olarak kullanırlar. Fakat tüketiciler içinde hala tanınan değiller. Tüketici ve şirket hesaplarını kimlik hırsızlığı ve öteki kaba kuvvet tekniklerine maruz kalmamıza karşın sıradan, iddia edilmesi kolay parolaları yeniden tekrar kullanarak “koruyoruz”. Bu yalnızca güvenlik riskiyle de ilgili değil. Parolalar, BT gruplarının yönetmesi için değerli vakit ve para gerektirir ve de müşteri seyahatini da kesintiye uğratır. İhlaller, B2B ve B2C ortamlarındaki kullanıcı tecrübesini kesintiye uğratabilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.
Parolasız hesap kullanması işletmeye hangi faydaları sağlayabilir?
Parolasız kimlik doğrulama ileriye yanlışsız büyük bir sıçrama sağlar. Yüz tanıma, güvenlik anahtarı ve hatta e-posta/SMS yoluyla gönderilen eşsiz bir kod üzere biyometrik güvenliğe sahip bir kimlik doğrulayıcı uygulaması kullanarak, kuruluşlar tek bir atakta statik kimlik detaylarıyle bağlantılı güvenlik meselelerini ortadan kaldırabilir. B2B ve B2C operasyonları için bu yaklaşımı benimseyerek, kuruluşlar şunları yapabilir:
Parolasızlık her sıkıntıya deva değil. Uygulamanın önünde çeşitli pürüzler var:
Kaynak: (BHA) – Beyaz Haber Ajansı
Parolasız hayat hem kullanıcılar birebir vakitte güvenlik takımları için hayatı fazlaca daha kolay hale getirmeyi vaat ediyor. Yönetici maliyetlerini düşürme, üretkenliği artırma ve siber riski azaltma üzere heyecan verici olasılıklar var. Bu avantajlara karşın, hem işletmeden tüketiciye (B2C) tıpkı vakitte işletmeden işletmeye (B2B) ortamların ahenk sağlaması beklendiği kadar çabuk olmadı. Lakin, dünyanın en büyük yazılım şirketi yeni bir teknoloji yaklaşımını desteklemeye karar verdiğinde, bunu dikkate almalıyız. Microsoft parolaları çok uzun bir süre evvel “uygunsuz, inançsız ve pahalı” olarak tanımladı. Bu yılın Mart ayında ise kurumsal müşterileri için parolasız kimlik doğrulaması tanıttı. Microsoft Eylül ayında, tüm kullanıcılar için takviyesini genişleteceğini deklare etti.
Kişi başına parola sayısı 100’e yaklaştı
Parolalar kurumsal uygulamalardan online bankacılık, e-posta ve e-ticaret hesaplarına kadar her şeyi garanti altına almak için hala kullanılıyor. Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik ayrıntılarının hepsi artık epey fazla oldu. Bir varsayıma nazaran, ABD’li çalışanların yüzde 57’si kurumsal parolalarını yapışkan notlara yazıyor. Dijital ayak izimizi genişlettikçe bu sayı artıyor. Ekim 2020 iddialarına nazaran, ortalama bir kişinin pandemi başlamadan öncesine bakılırsa yaklaşık yüzde 25 daha fazla parolası var ve bu da kişi başı yaklaşık 100 parolaya denk geliyor. Siber güvenlik açısından bakıldığında, parolalarla ilgili zorluklar aşikâr. Saldırganların çalması, kestirim etmesi, kimlik avı yahut kaba kuvvet saldırısına maruz kalmaları. Saldırganlar parolanızı ele geçirdiklerinde legal kullanıcılar üzere davranabilirler, güvenlik savunmalarını geçebilir ve şirket ağlarının ortasında epey daha uzun müddet kapalı kalabilirler. Günümüzde bir bilgi ihlalini tanımlamak ve bertaraf etmek için geçen müddet 287 gündür.
sıradan parola kullanması devam ediyor
Parola yöneticileri ve tek seferde oturum açma, bu tıp zorlukların üstesinden gelmek için her hesapta karmaşık parolaları depolar ve gerektiğinde otomatik olarak kullanırlar. Fakat tüketiciler içinde hala tanınan değiller. Tüketici ve şirket hesaplarını kimlik hırsızlığı ve öteki kaba kuvvet tekniklerine maruz kalmamıza karşın sıradan, iddia edilmesi kolay parolaları yeniden tekrar kullanarak “koruyoruz”. Bu yalnızca güvenlik riskiyle de ilgili değil. Parolalar, BT gruplarının yönetmesi için değerli vakit ve para gerektirir ve de müşteri seyahatini da kesintiye uğratır. İhlaller, B2B ve B2C ortamlarındaki kullanıcı tecrübesini kesintiye uğratabilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.
Parolasız hesap kullanması işletmeye hangi faydaları sağlayabilir?
Parolasız kimlik doğrulama ileriye yanlışsız büyük bir sıçrama sağlar. Yüz tanıma, güvenlik anahtarı ve hatta e-posta/SMS yoluyla gönderilen eşsiz bir kod üzere biyometrik güvenliğe sahip bir kimlik doğrulayıcı uygulaması kullanarak, kuruluşlar tek bir atakta statik kimlik detaylarıyle bağlantılı güvenlik meselelerini ortadan kaldırabilir. B2B ve B2C operasyonları için bu yaklaşımı benimseyerek, kuruluşlar şunları yapabilir:
- Kullanıcı tecrübesini geliştirir: Oturum açma süreçlerini daha meselesiz hale getirir ve kullanıcıların parolalarını hatırlama gereksinimini ortadan kaldırır. Bu, oturum açma meseleleri niçiniyle daha az alışveriş sepeti terk edilirse satışların artmasına bile niye olabilir.
- Güvenliği artırır: Çalınacak parola yoksa, büyük bir sorun daha ortadan kalkar. Geçen yılki ihlallerin 84’ünün sorumlusunun parolalar olduğu argüman ediliyor. En azından makûs erkeklerin istediklerini elde etmek için daha epey çalışmasını sağlamış oluyorsunuz. Şu anda her yıl milyarlarca denenen kimlik bilgisi doldurma hücumları geçmişte kalacak.
- Maliyetleri ve prestij ziyanlarını azaltır: Fidye yazılımlarına ve data ihlallerine finansal olarak ziyan verme fırsatlarını en aza indirin. Ayrıyeten, parola sıfırlama ve olay araştırması ile alakalı BT yöneticisi maliyetlerini de azaltmış olacaksınız. Bir rapor, şifre sıfırlama başına 200 kadar maliyet çıkabileceğini ve yılda 30.000 saat randıman kaybına niye olabileceğini argüman ediyor. BT takımlarının daha yüksek kıymetli vazifelere vakit harcayabilmesini de sağlamış olacaksınız.
Parolasızlık her sıkıntıya deva değil. Uygulamanın önünde çeşitli pürüzler var:
- Güvenlik 100 garanti edilmez: SIM değiştirme hücumları, mesela, tehdit aktörlerinin SMS ile gönderilen tek seferlik şifreleri (OTP’ler) atlatmalarına yardımcı olabilir. Bilgisayar korsanları aygıtlara, makinelere erişebilirse, mesela casus yazılımlar aracılığıyla , OTP’leri de ele geçirebilirler.
- Biyometri gümüş kurşun değildir: Kullanıcının değiştiremeyeceği yahut sıfırlanamayan fizikî bir öznitelikle kimlik doğrulaması yapıyor olacağız. Saldırganlar sistemi hacklemenin bir yolunu bulursa ziyan epeyce daha yüksek hale gelir. Ses ve yüz/görüntü tanıma teknolojilerinin üstesinden gelmek için makine tahsili teknikleri geliştirilmeye devam ediliyor.
- Yüksek maliyetler: Büyük bir kullanıcı yahut müşteri tabanına sahip KOBİ’ler, var ise aygıtlarının yahut belirteçlerinin değiştirilmesi sürecinde önemli maliyetle karşılaşacaklar. Kimi parolasız teknolojilerin kullanıma sunulması pek değerli olabilir. Microsoft üzere yerleşik bir sağlayıcıyı kullanmak daha mantıklı olacaktır, fakat bir daha de bir iç geliştirme maliyeti olacaktır.
- Kullanıcı isteksizliği: Parolaların, büyük güvenlik eksikliklerine karşın uzun vakittir kullanılıyor olmalarının bir sebebi var – kullanıcılar içgüdüsel olarak bunları nasıl kullanacaklarını bilirler. Bilinmeyenin korkusunu aşmak, kullanıcıların kurallara uymaktan diğer seçeneği olmayacağı kurumsal bir ortamda daha kolay olabilir. Lakin B2C dünyasında müşterileri alıştırmak pek güç olacaktır. Bu niçinle, oturum açma sürecini mümkün olduğunca problemsiz ve sezgisel hale getirmeye ihtimam göstermelisiniz.
Kaynak: (BHA) – Beyaz Haber Ajansı