Parola, toplumun bir köşe taşı olup dünya genelinde farklı uygulamalarda ve programlarda son kullanıcılar (ve BT ekipleri) için bir siber güvenlik koruma kalkanıdır. İnsanlık, yüzyıllardır bir şekilde parola kullanmaktadır. Ancak, ilk bilgisayar parolaları 1960’ların ortalarında ortaya çıktı ve muhtemelen Amerika’daki Massachusetts Teknoloji Enstitüsü’nde başladı.
Ancak, neden bu kadar uzun süre varlığını sürdürdüler? Kurumsal bir ortamda, parolalar tehditlere karşı sağlam bir koruma katmanı sağlayan, uygulanması kolay ve maliyeti düşük bir güvenlik önlemidir. Ancak tehditlerin karmaşıklığı arttıkça, savunmalarımızın sağlamlığı da buna ayak uydurmalı ve parolalar siber saldırıların hedefinde yer almaktadır.
Parolalar artık amaca uygun değil
Siber saldırılar iyileşmesi giderek zorlaşıyor ve bu nedenle BT ekipleri, parola güvenliği de dahil olmak üzere tüm siber güvenlik önlemlerine sıkı bir şekilde yaklaşmaktadır. Bu, kullanıcıların giderek karmaşık parolalar oluşturmasını gerektirir ve genellikle belirli bir karakter sayısı ve ünlem işaretleri (!), hashtag (#) veya @ sembolleri gibi özel karakterler içermesini zorunlu kılar. Bu, end kullanıcılar için ilginç bir hale gelir, çünkü tüm farklı klavyelere geçerken mobil cihazlarda girişi çok kolaydır.
Ne yazık ki, basit ve etkili bir güvenlik önlemi olarak başlayan bu süreç, birçok son kullanıcı için artık çok zor hale gelmektedir. Veriler, 2020 yılında, ortalama bir tüketici tarafından yaklaşık 100 parolanın oluşturulup yönetilmesi gerektiğini göstermektedir. Karmaşıklık gereksinimleriyle birleştiğinde, bu süreç çoğu son kullanıcı için sürdürülemez hale gelmektedir ve bu da güvenli olmayan davranışlara başvurmalarına neden olabilir. Bu, parolaları fiziksel olarak yazmak, aynı parolayı çeşitli platformlarda kullanmak veya basit ve tahmin edilebilir parolalar kullanmak gibi davranışları içerebilir. Tüm bunlar sürecin meşruiyetini ve güvenilirliğini zayıflatır.
Dahası, hacker’lar parolaların potansiyel olarak zayıf halka olduğunu tespit etmişlerdir. Sonuç olarak, çalınan kullanıcı adları ve parolalar düzenli olarak siyah piyasada satılmaktadır. Digital Shadows tarafından yapılan bir araştırmaya göre, kullanıcı adı ve parola içeren 24 milyar kayıt çalındı – bu, 2020’ye göre %65 artış anlamına geliyor. Aynı araştırma, yetkisiz erişimin, art arda dördüncü yıl olmak üzere ihlallerin başlıca nedeni olduğunu belirledi – tüm kayıtların %50’sini oluşturuyor – bu oran 2020’deki %45’ten yükseldi.
Parolasız kimlik doğrulamanın tanıtımı
Neyse ki, parolasız kimlik doğrulamanın genişliği ve karmaşıklığı, parolaların oluşturulduğu zamandan bu yana büyük ölçüde ilerlemiştir. Ve artık kimlik doğrulamada parolasız bir yaklaşımı benimsemek mümkündür.
Ancak parolasız kimlik doğrulama tam olarak nedir? Basitçe söylemek gerekirse, parolasız kimlik doğrulama, bir şeyi bilmek yerine sahip olduğunuz veya olduğunuz bir şeye dayanır. Bugün piyasada zaten birçok düşük maliyetli ve kullanımı kolay kimlik doğrulama teknolojisi bulunmaktadır – yazılım tabanlı tek kullanımlık şifreler veya entegre biyometri, mobil uygulamalara kolayca entegre edilebilen anlık bildirimler veya QR kodları gibi. Ancak gerçek bir parolasız sistemin, işaretleri kullanabilmesi ve bunları Bağlamsal Yönetim ile birleştirerek kullanıcının doğru kimlik doğrulama uyarısını doğru zamanda sunabilmesi gerekir.
Peki, bir parolasız sistem hangi işaretleri analiz eder? Temel seviyede, sistem konum ve IP adresi gibi genel işaretleri değerlendirir, ancak bu tek başına yeterince güvenli değildir ve manipüle edilebilir. Ancak, bilinen bir cihaz olan mobil veya dizüstü bilgisayarın tanımlanması gibi cihaz işaretleriyle birleştirildiğinde, kimlik konusunda çok daha net bir gösterge elde edersiniz, ayrıca bir kamerayı veya parmak izi okuyucusunu içeren cihazda bulunan teknolojileri de kullanırsınız. Daha da iyisi, kullanıcı tercihleri, seçimleri ve davranışları gibi Akıllı İşaretleri de dahil etmek. Normalde ne yapıyorlar veya bu olağan dışı bir durum mu? Tüm bu işaretleri birleştirerek, verilen işlem için hangi tür kimlik doğrulamanın mümkün ve gereklilik olduğuna dair oldukça iyi bir fikir elde edebiliriz.
Ardından, “Bir Daha Asla Oturum Açma” hedefini gerçekleştirmenin kritik bileşeni, bu işaretleri Bağlamsal Yönetim ile birleştirmektir. Kullanıcıların (veya yazılımın), her adımda bağlamsal işaretleri alabilmesine ve bu bilgilere dayanarak yolu değiştirebilmesine izin vermek. Bunlar şunları içerebilir:
- Hangi tür cihaz ve hangi kimlik doğrulama teknolojileri bulunuyor?
- Kullanıcı neye kayıt oldu ve erişmeye çalıştığı kaynak nedir?
- O kaynağa erişmek için hangi kimlik doğrulama düzeyi gerekiyor?
- Kullanıcı o cihazda olduğunda tercihleri nelerdir?
- Ve hatta kullanıcıdan, yukarıda listelenen tüm kriterleri karşılayacak bir yöntem kullanmak isteyip istemediğini sormak. Gerçek bir parolasız deneyim sağlayabilmek için tüm bu girişleri basit ve sorunsuz bir deneyimde birleştirebilirsiniz, aynı zamanda güvenli olmalıdır.
Parolasız bir yaklaşımla başlamanın yolları
Organizasyonların doğru şekilde başlamaları gereken bir diğer süreç ise uygulama sürecidir. Herhangi bir uygulama sürecinde, ortaya çıkabilecek sorunları tespit etmek için yeterli veriyi toplamadan önce mevcut yöntemleri devre dışı bırakmamak önemlidir.
Çoğu güvenlik önlemi gibi, her şirketin kimlik doğrulama sürecini optimize etmek için tek bir yaklaşımı benimsemesi olası değildir – bunun yerine uyarlanabilir ve duyarlı olmaları gerekmektedir. Beklendiği gibi, her şirketin farklı ihtiyaçları, farklı sahtekarlık toleransları ve farklı risk seviyeleri olacaktır. Bu nedenle, organizasyonunuz için uygun olan ve farklı kullanıcı gruplarını karşılamak için esnek olan kimlik doğrulama süreçleri tasarlamak önemlidir.
Son olarak, sahtekarlık yönetimini kimlik doğrulama deneyimine dahil etmek önemlidir. Yapay zeka, orkestrasyona yardımcı olur ve her şeyin sorunsuz bir şekilde çalışmasını sağlarken güvenliği artırır.
Parolasız bir ortama geçiş için platform seçimi
Parolasız bir ortama geçişin nasıl gerçekleştirileceğine dair yaklaşımlar ne olursa olsun, kimlik ve erişim yönetimi (IAM) platformu kullanmak önemlidir. Bu yazılım, çeşitli kimlik doğrulama yöntemlerini destekler ve son kullanıcılarınızın kimliklerini yönetirken güvenliği sağlar.
Platform seçiminde dikkate almanız gereken bazı faktörler şunlardır:
- Uyumluluk: Seçtiğiniz platformun, mevcut sistemlerinizle uyumlu olduğundan emin olun. Mevcut altyapınızı etkilemeden entegre edilebilmesi önemlidir.
- Kullanılabilirlik: Platformun kullanımı kolay olmalı ve hem son kullanıcılar hem de BT ekipleri için yönetimi basitleştirmelidir.
- Güvenlik: Parolasız kimlik doğrulama sunan bir platform, güvenlik önlemleriyle donatılmış olmalıdır. Veri şifreleme, çok faktörlü kimlik doğrulama ve sahtekarlık tespiti gibi özellikleri değerlendirin.
- Ölçeklenebilirlik: Şirketiniz büyüdükçe ve gereksinimleriniz değiştikçe, platformun ölçeklenebilir olması önemlidir.
- Destek: Sağlayıcının iyi bir destek sunması ve gerektiğinde size yardımcı olabilmesi önemlidir.
Parolasız kimlik doğrulama geleceğin güvenlik önlemi olarak yükselmektedir. Parolaların artan tehditlere karşı yetersiz kaldığı ve kullanıcılar için zorlu bir deneyim haline geldiği düşünüldüğünde, parolasız bir yaklaşım daha güvenli ve kullanıcı dostu bir alternatif sunmaktadır. Organizasyonların parolasız kimlik doğrulamaya geçiş yapmaya başlaması için uygun bir IAM platformu seçmeleri ve süreci dikkatlice planlamaları önemlidir. Bu şekilde, güvenliği artırabilir, kullanıcı deneyimini iyileştirebilir ve gelecekteki siber tehditlere karşı daha iyi bir koruma sağlayabilirsiniz.
