Parolalar bilgisayarlar kadar uzun süredir var. Microsoft’un bu yılın Mart ayında kurumsal müşterileri için parolasız kimlik doğrulamasını tanıtması akıllara günler ‘123456’ için sayılı olabilir mi sorusunu getirdi. Siber güvenlik şirketi ESET, kurumların parolasızlığa yönelmeden önce nelere dikkat etmeleri gerektiğine dikkat çekti.
Parolasız yaşam kullanıcılar ve güvenlik ekipleri için hayatı çok daha kolay hale getirmeyi vaat
Kişi başına parola sayısı 100’e yaklaştı
Parolalar kurumsal uygulamalardan online bankacılık, e-posta ve e-ticaret hesaplarına kadar her şeyi güvence altına almak için hala kullanılıyor. Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik bilgilerinin hepsi artık çok fazla oldu. Bir tahmine göre, ABD’li çalışanların yüzde 57‘si kurumsal parolalarını yapışkan notlara yazıyor. Dijital ayak izimizi genişlettikçe bu sayı artıyor. Ekim 2020 tahminlerine göre, ortalama bir kişinin pandemi başlamadan öncesine göre yaklaşık yüzde 25 daha fazla parolası var ve bu da kişi başı yaklaşık 100 parolaya denk geliyor. Siber güvenlik açısından bakıldığında, parolalarla ilgili zorluklar belli. Saldırganların çalması, tahmin etmesi, kimlik avı veya kaba kuvvet saldırısına maruz kalmaları. Saldırganlar parolanızı ele geçirdiklerinde meşru kullanıcılar gibi davranabilirler, güvenlik savunmalarını geçebilir ve şirket ağlarının içinde çok daha uzun süre gizli kalabilirler. Günümüzde bir veri ihlalini tanımlamak ve bertaraf etmek için geçen süre 287 gündür.
Basit parola kullanımı devam ediyor
Parola yöneticileri ve tek seferde oturum açma, bu tür zorlukların üstesinden gelmek için her hesapta karmaşık parolaları depolar ve gerektiğinde otomatik olarak kullanırlar. Ancak tüketiciler arasında hala popüler değiller. Tüketici ve şirket hesaplarını kimlik hırsızlığı ve diğer kaba kuvvet tekniklerine maruz kalmamıza rağmen basit, tahmin edilmesi kolay parolaları tekrar tekrar kullanarak “koruyoruz”. Bu sadece güvenlik riskiyle de ilgili değil. Parolalar, BT ekiplerinin yönetmesi için önemli zaman ve para gerektirir ve de müşteri yolculuğunu da kesintiye uğratır. İhlaller, B2B ve B2C ortamlarındaki kullanıcı deneyimini kesintiye uğratabilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.
Parolasız hesap kullanımı işletmeye hangi faydaları sağlayabilir?
Parolasız kimlik doğrulama ileriye doğru büyük bir sıçrama sağlar. Yüz tanıma, güvenlik anahtarı ve hatta e-posta/SMS yoluyla gönderilen benzersiz bir kod gibi biyometrik güvenliğe sahip bir kimlik doğrulayıcı uygulaması kullanarak, kuruluşlar tek bir hamlede statik kimlik bilgileriyle ilişkili güvenlik sorunlarını ortadan kaldırabilir. B2B ve B2C operasyonları için bu yaklaşımı benimseyerek, kuruluşlar şunları yapabilir:
– Kullanıcı deneyimini geliştirir: Oturum açma işlemlerini daha sorunsuz hale getirir ve kullanıcıların parolalarını hatırlama ihtiyacını ortadan kaldırır. Bu, oturum açma sorunları nedeniyle daha az alışveriş sepeti terk edilirse satışların artmasına bile neden olabilir.
– Güvenliği artırır: Çalınacak parola yoksa, büyük bir sorun daha ortadan kalkar. Geçen yılki ihlallerin %84’ünün sorumlusunun parolalar olduğu iddia ediliyor. En azından kötü adamların istediklerini elde etmek için daha çok çalışmasını sağlamış oluyorsunuz. Şu anda her yıl milyarlarca denenen kimlik bilgisi doldurma saldırıları geçmişte kalacak.
– Maliyetleri ve itibar zararlarını azaltır: Fidye yazılımlarına ve veri ihlallerine finansal olarak zarar verme fırsatlarını en aza indirin. Ayrıca, parola sıfırlama ve olay araştırması ile ilişkili BT yöneticisi maliyetlerini de azaltmış olacaksınız. Bir rapor, şifre sıfırlama başına 200 $ kadar maliyet çıkabileceğini ve yılda 30.000 saat verim kaybına neden olabileceğini iddia ediyor. BT ekiplerinin daha yüksek değerli görevlere zaman harcayabilmesini de sağlamış olacaksınız.
Parolasız hesap kullanımının önündeki engel nedir?
Parolasızlık her derde deva değil. Uygulamanın önünde çeşitli engeller var:
– Güvenlik %100 garanti edilmez: SIM değiştirme saldırıları, örneğin, tehdit aktörlerinin SMS ile gönderilen tek seferlik şifreleri (OTP’ler) atlatmalarına yardımcı olabilir. Bilgisayar korsanları cihazlara, makinelere erişebilirse, örneğin casus yazılımlar aracılığıyla, OTP’leri de ele geçirebilirler.
– Biyometri gümüş kurşun değildir: Kullanıcının değiştiremeyeceği veya sıfırlanamayan fiziksel bir öznitelikle kimlik doğrulaması yapıyor olacağız. Saldırganlar sistemi hacklemenin bir yolunu bulursa zarar çok daha yüksek hale gelir. Ses ve yüz/görüntü tanıma teknolojilerinin üstesinden gelmek için makine öğrenimi teknikleri geliştirilmeye devam ediliyor.
– Yüksek maliyetler: Büyük bir kullanıcı veya müşteri tabanına sahip KOBİ’ler, varsa cihazlarının veya belirteçlerinin değiştirilmesi sürecinde ciddi maliyetle karşılaşacaklar. Bazı parolasız teknolojilerin kullanıma sunulması oldukça pahalı olabilir. Microsoft gibi yerleşik bir sağlayıcıyı kullanmak daha mantıklı olacaktır, ancak yine de bir iç geliştirme maliyeti olacaktır.
– Kullanıcı isteksizliği: Parolaların, büyük güvenlik eksikliklerine rağmen uzun zamandır kullanılıyor olmalarının bir nedeni var – kullanıcılar içgüdüsel olarak bunları nasıl kullanacaklarını bilirler. Bilinmeyenin korkusunu aşmak, kullanıcıların kurallara uymaktan başka seçeneği olmayacağı kurumsal bir ortamda daha kolay olabilir. Ancak B2C dünyasında müşterileri alıştırmak oldukça zor olacaktır. Bu nedenle, oturum açma işlemini mümkün olduğunca sorunsuz ve sezgisel hale getirmeye özen göstermelisiniz.
Salgın sonrası dönem başlarken, iki eğilim parolasız oturum açmayı benimsemenin geleceğini şekillendirecektir: tüketici çevrimiçi hizmetlerinin kullanımında bir artış ve hibrit işyerinin ortaya çıkması. Her ikisinin de merkezinde mobil cihazlar yer aldığına göre kurumsal parolasız stratejinin burada başlaması mantıklı görünüyor.