Parolasız kimlik doğrulama: Şirketiniz parolaların ötesine geçmeye hazır mı?

Phil Muncaster

'123456' tarih mi oluyor? Microsoft dünyayı parolalardan kurtarmaya doğru ilerlerken, şirketinizin parolasızlığa yönelmeden önce göz önünde bulundurması gerekenler var.

"Parolasız" kelimesi bize tuhaf gelse de aslında hem kullanıcılar hem de güvenlik ekipleri için hayatı çok daha kolay hale getirmeyi vaat ediyor. Yönetici maliyetlerini düşürme, üretkenliği artırma ve siber riski azaltma gibi heyecan verici olasılıklar var. Ve yine de, bu avantajlara rağmen, hem işletmeden tüketiciye (B2C) hem de işletmeden işletmeye (B2B) ortamların uyum sağlaması beklendiği kadar çabuk olmadı.  

Ancak, dünyanın en büyük yazılım şirketi yeni bir teknoloji yaklaşımını desteklemeye karar verdiğinde, bunu dikkate almalıyız. Microsoft parolaları oldukça uzun bir süre önce "uygunsuz, güvensiz ve pahalı" olarak tanımladı. Bu yılın Mart ayında ise kurumsal müşterileri için parolasız kimlik doğrulaması tanıttı. Microsoft Eylül ayında, tüm kullanıcılar için desteğini genişleteceğini açıkladı. Bu durumda parolasız kimlik doğrulama döneminin nihayet geldiğini söyleyebilirsiniz.  

Parolalar artık amaca uygun olmadığında 

Parolalar bilgisayarlar kadar uzun süredir varlar. Gelecekleri birçok kez tahmin edildi. Yine de kurumsal uygulamalardan online bankacılık, e-posta ve e-ticaret hesaplarına kadar her şeyi güvence altına almak için hala kullanılıyorlar. 

Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik bilgilerininin hepsi artık çok fazla oldu. Bir tahmine göre, ABD'li çalışanların %57'si kurumsal parolalarını yapışkan notlara yazıyor. Ve dijital ayak izimizi genişlettikçe bu sayı hep artıyor. Ekim 2020 tahminlerine göre, ortalama bir kişinin pandemi başlamadan öncesine göre yaklaşık yüzde 25 daha fazla parolası var. Kişi başı 100 parolaya denk geliyor.  

İLGILI MAKALELER:  

Başarısızlık için bir reçete: Tahmin edilebilir derecede zayıf parolalar 

2020'nin en kötü parolaları: Sizinkini değiştirmenin zamanı geldi mi? 

Siber güvenlik açısından bakıldığında, parolalarla ilgili zorluklar bellidir. Saldırganların çalması, tahmin etmesi, kimlik avı veya kaba kuvvet saldırısına mağruz kalmaları. Saldırganlar parolanızı ele geçirdiklerinde meşru kullanıcılar gibi davranabilirler, güvenlik savunmalarını geçebilir ve şirket ağlarının içinde çok daha uzun süre gizli kalabilirler. Günümüzde bir veri ihlalini tanımlamak ve bertaraf etmek için geçen süre 287 gündür. 

Parola yöneticileri ve tek seferde oturum açma, bu tür zorlukların üstesinden gelmek için her hesap için karmaşık parolaları depolar ve gerektiğinde otomaitk olarak kullanırlar. Ancak tüketiciler arasında hala popüler değiller. Sonuç mu? Tüketici ve şirket hesaplarını kimlik hırsızlığı ve diğer kaba kuvvet tekniklerine maruz kalmamıza rağmen basit, tahmin edilmesi kolay parolaları tekrar tekrar kullanarak “koruyoruz”.  

Bu sadece güvenlik riskiyle de ilgili değil. Parolalar, BT ekiplerinin yönetmesi için önemli zaman ve para gerektirir ve de müşteri yolculuğunu da kesintiye uğratır. İhlaller, B2B ve B2C ortamlarındaki kullanıcı deneyimini kesintiye uğratabilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.  

Parolasız hesap kullanımı işletmenize nasıl fayda sağlayabilir? 

Bu bağlamda, parolasız kimlik doğrulama ileriye doğru büyük bir sıçrama sağlar. Yüz tanıma, güvenlik anahtarı ve hatta e-posta/SMS yoluyla gönderilen benzersiz bir kod gibi biyometrik güvenliğe sahip bir kimlik doğrulayıcı uygulaması kullanarak, kuruluşlar tek bir hamlede statik kimlik bilgileriyle ilişkili güvenlik sorunlarını ortadan kaldırabilir.  

B2B ve B2C operasyonları için bu yaklaşımı benimseyerek, kuruluşlar şunları yapabilir: 

  • Kullanıcı deneyimini geliştirin: Oturum açma işlemlerini daha sorunsuz hale getirir ve kullanıcıların parolalarını hatırlama ihtiyacını ortadan kaldırır. Bu, oturum açma sorunları nedeniyle daha az alışveriş sepeti terk edilirse satışların artmasına bile neden olabilir. 
  • Güvenliği artırın: Çalınacak parola yoksa, büyük bir sorun daha ortadan kalkar. Geçen yılki ihlallerin %84'ünün sorumlusunun parolalar olduğu iddia ediliyor. En azından kötü adamların istediklerini elde etmek için daha çok çalışmasını sağlamış oluyorsunuz. Ve şu anda her yıl milyarlarca denenen kimlik bilgisi doldurma saldırıları geçmişte kalacak. 
  • Maliyetleri ve itibar zararlarını azaltın: Fidye yazılımlarına ve veri ihlallerine finansal olarak zarar verme fırsatlarını en aza indirin. Ayrıca, parola sıfırlama ve olay araştırması ile ilişkili BT yöneticisi maliyetlerini de azaltmış olacaksınız. Bir rapor, şifre sıfırlama başına 20 0 $ kadar maliyet çıkabileceğini ve yılda 30.000 saat verim kaybına neden olabileceğini iddia ediyor. BT ekiplerinin daha yüksek değerli görevlere zaman harcayabilmesini de sağlamış olacaksınız.  

Parolasız hesap kullanımının önündeki engel nedir?  

Ancak, parolasızlık her derde deva değil. Uygulamanın önünde aşağıdakiler gibi çeşitli engeller var: 

  • Güvenlik %100 garanti edilmez: SIM değiştirme saldırıları, örneğin, tehdit aktörlerinin SMS ile gönderilen tek seferlik şifreleri (OTP' ler) atlatmalarına yardımcı olabilir. Ve bilgisayar korsanları cihazlara / makinelere erişebilirse, örneğin casus yazılımlar aracılığıyla , OTP'leri de ele geçirebilirler. 
  • Biyometri gümüş kurşun değildir: Kullanıcının değiştiremeyeceği veya sıfırlanamayan fiziksel bir öznitelikle kimlik doğrulaması yapıyor olacağız. Saldırganlar sistemi hacklemenin bir yolunu bulursa zarar çok daha yüksek hale gelir. Ses ve yüz/görüntü tanıma teknolojilerinin üstesinden gelmek için makine öğrenimi teknikleri geliştirilmeye devam ediliyor.  
  • Yüksek maliyetler: Büyük bir kullanıcı veya müşteri tabanına sahip kobi'ler, varsa cihazlarının veya belirteçlerinin değiştirirlmesi sürecinde ciddi maliyetle karşılaşacaklar, bazı parolasız teknolojilerin kullanıma sunulması oldukça pahalı olabilir. Microsoft gibi yerleşik bir sağlayıcıyı kullanmak daha mantıklı olacaktır, ancak yine de bir iç geliştirme maliyeti olacaktır. 
  • Kullanıcı isteksizliği: Parolaların, büyük güvenlik eksikliklerine rağmen uzun zamandır kullanılıyor olmalarının bir nedeni var - kullanıcılar içgüdüsel olarak bunları nasıl kullanacaklarını bilirler. Bilinmeyenin korkusunu aşmak, kullanıcıların kurallara uymaktan başka seçeneği olmayacağı kurumsal bir ortamda daha kolay olabilir. Ancak B2C dünyasında müşterileri alıştırmak oldukça zor olacaktır. Bu nedenle, oturum açma işlemini mümkün olduğunca sorunsuz ve sezgisel hale getirmeye özen göstermelisiniz. 

Salgın sonrası dönem başlarken, iki eğilim parolasız oturum açmayı benimsemenin geleceğini şekillendirecektir: tüketici çevrimiçi hizmetlerinin kullanımında bir artış ve hibrit işyerinin ortaya çıkması. Her ikisinin de merkezinde mobil cihazlar yer aldığına göre kurumsal parolasız stratejinin burada başlaması mantıklı görünüyor.