İçindekiler:
- Parolasız Kimlik Doğrulamayı Önleyen Nedir?
- Federaller Vuruyor
- Aynı Sayfada Başlarken
- Parolalar Sonunda Ne Zaman Gidiyor?
Video: Velet - Hara Lo [ Silinen şarkısı ORİJİNAL Kalitede] (Kasım 2024)
2012 yılında, Wired'dan Matt Honan, tüm dijital hayatınızı bir dizi harfe, rakama ve simgeye bağlamanın felaket sonuçları hakkında yazılar yazdı. Honan, korsanların şifrelerini keşfettikten sonra çevrimiçi hesapları ele geçiren sayısız kişiden sadece biri; Mağdurların listesinde ayrıca Mark Zuckerberg de dahil olmak üzere yüksek teknolojili teknik yöneticiler var.
Yine de şifreler, çevrimiçi hesapları korumanın temel yöntemi olmaya devam ediyor.
Kimlik doğrulama alanında az miktarda yenilik olmamıştır. 2016 yılında, şifrelere güvenli ve kullanımı kolay alternatifler sunan kimlik doğrulama teknolojileri hakkında yazdım, ancak yakın zamana kadar hiçbiri kitlesel olarak benimsemedi.
Şimdi ise, çevrimiçi uygulamalarda şifresiz kimlik doğrulama yöntemlerinin uygulanmasını kolaylaştıran ve teşvik eden bir dizi düzenleme ve açık standartlar sayesinde nihayet uzun, karmaşık şifreleri bırakabileceğimizi umuyoruz.
Parolasız Kimlik Doğrulamayı Önleyen Nedir?
Yubikey 5 NFC gibi fiziksel güvenlik anahtarları üreten Yubico'nun CEO'su ve Stina Ehrensvard, “Günlük yaşamlarımızda ihtiyaç duyduğumuz çok sayıda şifre bir yük haline geldi, bu yüzden bu kadar çok kullanılmış veya zayıf statik kimlik bilgisi görüyoruz” diyor. . “Bu sorunu, en üst düzeyde güvenlik eklerken giriş işlemini basitleştirecek şekilde nasıl çözeceğimizi düşünmemiz gerekiyordu. Şimdiye kadar, her ikisini de başarılı bir şekilde yapmanın bir yolu olmadı.”
Şifrelerin güvenlik açıkları, kullanılmaya devam eden kuruluşlarda kaybolmaz. Ancak alternatifleri düşünmeden önce, teknolojinin güvenliğini, kullanılabilirliğini, kullanılabilirliğini ve maliyetlerini göz önünde bulundurmaları gerekir.
"Parolaları şimdiden daha güvenilir bir şeyle değiştirmememizin nedeni, güvenlik veya kullanılabilirlik için daha iyi olabilecek tüm alternatiflerin, internet bağlantılı cihazların tüm şekilleri ve boyutları için her zaman mevcut olmasının ya da maliyetlerinin düşük olmasıydı. "Etkili, " diyor FIDO Alliance'ın genel müdürü Brett McDowell, kimlik doğrulama standartlarını geliştiren bir konsorsiyum.
Ayrıca, şifre girişi yeni web sitelerinde ve mobil uygulamalarda uygulamak için en ucuz ve en kolay kimlik doğrulama teknolojisidir. Ve biyometrik kimlik doğrulama teknolojisi gibi alternatifler mobil cihazlarda daha yaygın olarak kullanılsa da, şifre girişi tüm cihazların desteklediği her yerde bulunan özellik olmaya devam ediyor. Bunu kaldırmak, birçok kullanıcının bu hizmetlere erişmesini önler.
Standartların olmaması aynı zamanda şifrelerden uzaklaşmayı da zorlaştırıyor. İstemci uygulamalarında ve arka uç sunucularında düzinelerce farklı kimlik doğrulama teknolojisine destek eklemenin ek maliyeti çoğu kuruluşun dayanamayacağı bir şeydir.
Ve elbette, her zaman insan faktörü vardır. Alex, "Bazı şirketler ve bireyler, siber saldırılardan etkilenmeyeceklerine ve siber suçluların ilgisini çekmeyeceklerine inanmaya devam ediyor. Mevcut çözümleri değiştirme arzusu ve kaynaklarının bulunmaması, yeni şifresiz kimlik doğrulama çözümlerinin benimsenmesini engelliyor" diyor. REMME CEO'su Momot, ademi merkeziyetçi bir kimlik doğrulama sistemi geliştiren bir girişim.
Federaller Vuruyor
Son yıllarda, özellikle devlet kurumları ve düzenleyiciler arasında çevrimiçi güvenliği ve kullanıcıların gizliliğini çevreleyen farkındalıkta bir artış oldu. Önceleri, kuruluşlar veri ihlallerini ve güvenlik olaylarını, yasal ve mali sonuçların az olduğu bir yere koymuş olabilirlerdi, artık durum böyle değil.
McDowell, "Düzenleyiciler, diğerleri kadar veri ihlali başlıklarından bıkmış durumda ve daha fazla işletmeye veri koruma uygulamalarına güçlü bir kimlik doğrulama ekleyerek sonuç almaya başlıyor" dedi.
En uygun düzenleyici faaliyetler arasında, şirketlerin kullanıcı verilerini nasıl topladıklarını, ele aldıklarını ve koruduklarını tanımlayan bir dizi kural olan Genel Veri Koruma Yönetmeliği (GDPR) yer almaktadır. GDPR ayrıca güçlü kullanıcı kimlik doğrulaması için standartları da tanımlar. Kurallara uymayan ve müşterilerinin verilerini koruyamayan şirketler ciddi şekilde cezalandırılır. GDPR yalnızca AB yetki alanına uygulanmaktadır, ancak AB’de yer almayan pek çok şirket halen bölgede faaliyet gösterdiğinden, şimdi güvenlik için altın bir standart olarak kabul edilmektedir.
“Giderek daha fazla sayıda şirketin güçlü bir kimlik doğrulaması benimsediği ve giderek daha fazla veri ihlalinin şifre tehlikesinden kaynaklandığı bir zamanda, bir işletmenin GDPR düzenleyicisine durumu sadece parola ile kimlik doğrulamanın yapıldığını iddia etmesi zorlaşacak. McDowell, şirkete, potansiyel olarak şirketlerini, şifrelerden gerçek güçlü kimlik doğrulamasına geçmenin fiyatından çok daha pahalı olan para cezalarına maruz bırakma olasılığını ortaya koyuyor.
Sektöre özgü diğer düzenlemeler, kimlik doğrulama teknolojisinin kullanımı hakkında daha açık bir şekilde açıklanmaktadır. Örnek olarak, Avrupa'da e-ticaret ve çevrimiçi finansal hizmetleri düzenleyen ve iki faktörlü kimlik doğrulamasını (2FA) zorunlu kılan Ödeme Hizmetleri Yönergesi 2 (PSD2) verilebilir. PSD2, güvenlikten ödün vermeden kullanıcı deneyimini geliştirmek için güvenlik kartlarının, mobil cihazların ve biyometrik tarayıcıların kullanımını da teşvik eder.
Çeşitli endüstriler için kriterleri tanımlayan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de, dijital kimlik kurallarında, kuruluşların şifrelerden ve bir defalık şifrelerden uzaklaşmaları ve modern güçlü kimlik doğrulaması benimsemeleri gerektiğini belirtir.
McDowell, "Daha ayrıntılı olarak, NIST, modern cihazınızın yeni hesap bilgilerinizle şifreleme özel anahtarlar oluşturduğu ve kullandığı ve bunları kullandığı ve bunları kişisel cihazınıza güvenli bir şekilde sakladığını ve çoğu akıllı telefonun artık parmak izi verilerinizi güvenli bir şekilde sakladığını onaylıyor" diyor.
Hükümet düzenlemesinin inovasyonu engelleyip engellemeyeceği konusunda tartışmalar var. Ancak bu noktada, daha güvenli kimlik doğrulama mekanizmalarının benimsenmesine yönelik düzenleyici bir baskıya ihtiyacımız olabilir.
Ehrensvard, "Hükümetler açık standartların benimsenmesinde kritik bir rol oynayabilir" diyor. "Emniyet kemerine bir göz atın, örneğin. Bu da açık bir standarttır ve kullanımı hükümet tarafından düzenlenmiştir. Bu nedenle, bugün yolda 10 kat daha fazla araba var ama toplamda daha az ölümcül araba kazası sayısı ."
Aynı Sayfada Başlarken
Yalnızca parola doğrulamanın yaygın şekilde değiştirilmesi, düzenlemelerden daha fazlasını gerektirir. Bir dizi standart protokol olmadan, kuruluşlar ve şirketler, uygulamalarını kullanıcılarına sunarken, güvenlik düzenlemelerine uygun bir şekilde onları tutan bir kimlik doğrulama teknolojisi bulmakta zorlanacaklardır.
FIDO'nun çözmesi gereken sorun buydu. FIDO Kimlik Doğrulama, World Wide Web Consortium (W3C) ile ortaklaşa geliştirilen bir dizi ücretsiz ve açık teknoloji standardı üzerine kuruludur. Amaç, tüm tüketici elektroniği endüstrisinin teknolojiyi ürün ve platformlarına entegre etmesini sağlayarak cihazlar ve hizmetler arasında birlikte çalışabilirlik yaratmaktır.
FIDO, şifreleri açık anahtar şifreleme ile değiştirir. Bu, parola yerine kullanıcıların bir çift genel ve özel anahtarla tanımlandığı anlamına gelir. Genel anahtarla şifrelenmiş herhangi bir şey yalnızca ilgili özel anahtarıyla çözülebilir. Bir kullanıcı FIDO kimlik doğrulamasını destekleyen bir çevrimiçi hizmete kaydolduğunda, hizmet bir anahtar çifti oluşturur ve ortak anahtarı sunucularında depolar. Özel anahtar yalnızca kullanıcının cihazında saklanır. Giriş yaparken, istemci uygulaması, yalnızca özel anahtarla çözülebilen, genel anahtarla oluşturulan şifreli bir sorunla sunulur. Kullanıcılar, özel anahtarlarının kilidini açmak ve sorunu çözmek için kimliklerini cihazlarıyla (parmak izi, yüz veya PIN aracılığıyla) doğrulamalıdır.
Bu modelin avantajı, şifrelerin saklanmasını ve değiştirilmesini gerektirmeden çok faktörlü kimlik doğrulama sağlamasıdır. Bilgisayar korsanları hizmet sağlayıcının sunucularını ihlal etmeyi başarsalar bile, yalnızca kullanıcıların cihazlarında depolanan ilgili özel anahtarlar olmadan işe yaramaz olan ortak anahtarlara erişebilirler. Bilgisayar korsanları bir kullanıcının cihazını çalarsa, özel anahtarı almak için yerel kimlik doğrulamasını atlamaları gerekir. Bir kullanıcının bakış açısına göre, bu, üstün güvenlik sağlarken, her hesap için uzun, karmaşık şifreleri ezberleme gereğini ortadan kaldırır.
Ancak FIDO'nun daha büyük başarısı, teknoloji endüstrisinden yaygın destek almak. İttifak, farklı cihaz türlerinde ve işletim sistemlerinde uygulanması kolay standartlar geliştirmek için Google, Microsoft, Amazon ve Intel gibi büyük isimleri bir araya getirdi.
“FIDO Alliance'ı oluşturmak için bir araya gelen işletmeler, çevrimiçi kimlik doğrulaması için şifreleri değiştirmenin yalnızca serbest ve açık teknoloji standartlarının bir kombinasyonu, büyük ölçüde üstün bir kullanıcı deneyimi ve güvenlik modeline temel olarak farklı bir yaklaşımla ölçeklendirilebileceğini anlamıştı. "McDowell diyor.
FIDO kısa süre önce, FIDO2'yi piyasaya sürdü ve bu, tarayıcılara genel anahtar kimlik doğrulaması ve geniş bir uygulama çerçevesi yelpazesi için destek ekleyen bir standart. Standart, Windows 10, Android'de Google Play Servisleri ve Chrome, Firefox ve Edge web tarayıcıları tarafından desteklenmektedir. Apple'ın Safari tarayıcısının arkasındaki teknoloji olan WebKit, yakında FIDO2 için de destek sağlayabilir.
“FIDO2 standardı, zayıf şifre bazlı kimlik doğrulamanın, genel anahtar şifrelemesi kullanan güçlü donanım tabanlı kimlik doğrulaması ile değiştirilmesine olanak tanıyor” diyor Yubico şirketi FIDO'nun kilit üyeleri arasında yer alan Ehrensvard. "Bu standart, en iyi kullanıcı deneyimini sağlayan ve güvenliği ve üretkenliği büyük ölçüde iyileştiren USB ve dokun ve çıkar NFC'si dahil olmak üzere çeşitli şekillerde şifresiz kimlik doğrulamasına izin veriyor."
Parolalar Sonunda Ne Zaman Gidiyor?
Endüstri alternatif doğrulama yöntemleri geliştirmek için uzun bir yol kat etmiş olsa da, şifreler bir gecede kaybolmayacak. REMME'nin CEO'su Momot, "Çok fazla 'eski' yazılım ve bilgi sistemimiz olduğunu göz önünde bulundurmalıyız. Bu yüzden parola tabanlı olanlar da dahil olmak üzere yerleşik kimlik doğrulama kurallarını kolayca değiştirmek her zaman mümkün olmuyor" diyor.
LogMeIn'in CTO'su Sandor Palfy gibi diğer uzmanlar, şifrelerin kullanıcıları tanımlamanın merkezi bir parçası olacağına inanıyor. Ayrıca, sektörün şifre deneyimini geliştirmeye odaklanması gerektiğine de inanıyor.
- 2019 İçin En İyi Şifre Yöneticileri 2019 İçin En İyi Şifre Yöneticileri
- Şifre nedir? Biraz Müzik Çalın ve Brainwaves Üzerinden Giriş Yapın Şifre nedir? Biraz Müzik Çalın ve Beyin Dalgalarıyla Giriş Yapın
- Bogus porno e-postaları sizi paranızın dışında dolandırmak için eski şifreler kullanarak Bogus porno e-postaları sizi nakit dışı dışarı aldatmak için eski şifreler kullanarak
Palfy, "Çok faktörlü kimlik doğrulaması (veya davranışsal veya bağlamsal kimlik doğrulaması) ile evrensel kapsama alanı sağlanıncaya kadar, şirketlerin tüm kuruluşta kullanımda parola korumalı hizmetleri güçlendirmeye yatırım yapmaları gerekiyor." Diyor.
"Tüm çalışmalarımız ve kişisel hesaplarımız için benzersiz, karmaşık şifreleri hatırlamak doğal insan davranışlarıyla uyuşmuyor. Şifre yöneticileri gibi araçlar kullanarak, birden fazla şifreyi hatırlamak geçmişte kalmalı, kullanıcılar yalnızca bir ana şifreyi hatırlamak zorunda kaldı. "diyor. LastPass şifre yöneticisinin geliştiricisi olan şirketi Palfy.
Ancak 2014'ten beri FIDO'nun yönetiminde bulunan McDowell'e, şifreleri çıkarma arayışı sonunda nihai aşamalarına ulaşıyor. "Bugün şifresiz gelecek gerçek oluyor, her seferinde bir uygulama. Birkaç yıl içinde, şifre giriş formlarının web sayfalarında kamuya açık telefon kabinleri ve bugünlerde kamusal alanlarda olduğu kadar nadir bulunmasını bekliyorum. aynı sebeple - çok daha iyi bir kullanıcı deneyimi sunan uygun maliyetli, her yerde kullanabileceğiniz bir alternatifimiz var "dedi.
