Şirketiniz parolaların ötesine geçmeye hazır mı?
‘123456’nın günleri sayılı mı? Microsoft, Dünya’yı parolalardan daha da uzaklaştırırken, şirketinizin/kurumunuzun parolasız dünyaya geçiş yapmadan önce tüm dikkat etmesi gerekenler burada.
Kulağa bu kadar beceriksizce gelen bir kelime için, “şifresiz” aslında hem kullanıcılar hem de güvenlik ekipleri için hayatı çok daha kolay hale getirmeyi vadediyor. Bu yönetici maliyetlerini düşürme, üretkenliği artırma ve siber riski azaltma konusunda cezbedici bir olasılık olabilir. Yine de bu göz alıcı avantajlara rağmen, hem işletmeden tüketiciye (B2C) hem de işletmeden işletmeye (B2B) alım hiçbir zaman beklendiği kadar güçlü olmamıştır.
Dünya’nın en büyük yazılım şirketi yeni bir teknoloji yaklaşımını desteklemeye karar verdiğinde, bunu dikkate almanın zamanı gelmiştir. Microsoft, bir süre önce parolaları “uygunsuz, güvensiz ve pahalı” olarak tanımlamıştı; hızlı ileri bu yılın mart ayına kadar ve şirket, ticari müşteriler için parolasız kimlik doğrulamayı tanıttı. Eylül ayında Microsoft, tüm kullanıcılar için desteğini genişleteceğini duyurdu. Artık “Parolasız kimlik doğrulama” döneminin en sonunda gerçekten var olduğunu söyleyebilirsiniz.
Parolalar artık amaca uygun olmadığında
Parolalar, bilgisayarlar kadar uzun süredir var. Yok oluşları birçok kez tahmin edildi. Yine de kurumsal uygulamalardan çevrimiçi bankacılığa, e-posta ve e-ticaret hesaplarına kadar her şeyin güvenliğini sağlamak için hala buradalar.
Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik bilgilerinin çok fazlasına sahibiz. Bir tahmin, ABD’li işçilerin %57’sinin kurumsal parolaları yapışkan notlara karaladığını söylüyor. Dijital ayak izimizi genişlettikçe sayı da sürekli artıyor. 1. Ekim 2020 tahmini, ortalama bir kişinin yaklaşık 100 şifresi olduğunu ortaya koyuyor, bu da pandemi başlamadan öncekinden yaklaşık %25 daha fazla.
Siber güvenlik açısından bakıldığında, parolalarla ilgili zorluk belgelenmiştir. Saldırganlar için giderek daha kolay hale gelen bir hedef haline gelmişlerdir. Tehdit aktörleri parolaları ele geçirdikten sonra meşru kullanıcılar gibi davranabilir, çevre güvenlik savunmalarını aşabilir ve aksi durumda olacağından çok daha uzun süre kurumsal ağlarda gizli kalabilirler. Bugün bir veri ihlalini tespit etmek ve kontrol altına almak için geçen süre yaklaşık 287 gündür.
Parola yöneticileri ve tek oturum açma, bu zorluklar için bir tür çözüm sunar. Her hesap için karmaşık parolaları saklayıp geri çağırarak kullanıcıların bunu yapmasına gerek kalmaz. Ancak bu tüketiciler arasında hala evrensel olarak popüler gelmiş değil. Sonuç? Tüketici ve kurumsal hesapları kimlik bilgisi doldurma ve diğer zorlayıcı tekniklere maruz bırakarak birden fazla hesapta hatırlaması kolay kimlik bilgilerini yeniden kullanırız.
Bu sadece güvenlik riskiyle de ilgili değil. Parolalar, BT ekiplerinin yönetmesi için önemli ölçüde zaman ve para gerektirir ve müşteri yolculuğuna ekstra sorun katabilir. İhlaller, B2B ve B2C ortamlarında kullanıcı deneyimine müdahale edebilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.
“Parolasızlık”, işletmenize nasıl fayda sağlayabilir?
Bu bağlamda, parolasız kimlik doğrulama ileriye doğru büyük bir sıçrama sunar. Kuruluşlar, yüz tanıma gibi biyometrik sistemlere sahip bir kimlik doğrulama uygulaması veya e-posta/SMS yoluyla gönderilen bir güvenlik anahtarı veya benzersiz bir kod kullanarak, statik kimlik bilgileriyle ilişkili güvenlik ve yönetici sıkıntılarını tek bir hamlede ortadan kaldıran bir yöntem seçebilir.
Kuruluşlar, B2B ve B2C operasyonları için bu yaklaşımı benimseyerek şunları yapabilir:
Kullanıcı deneyimini geliştirin: Oturum açma işlemlerini daha sorunsuz hale getirerek ve kullanıcıların parolalarını hatırlama ihtiyacını ortadan kaldırın. E-Ticaret kuruluşları için, bu oturum açma sorunları nedeniyle daha az alışveriş sepeti terk edilirse, satışların artması bile sağlayabilir.
Güvenliği artırın: Çalınacak parola yoksa, kuruluşlar güvenlik açığı için bir anahtar vektörünü kaldırabilir. Geçen yılki ihlallerin %84’ünden şifrelerin sorumlu olduğu iddia ediliyor. En azından, siber suçluları istediklerini elde etmek için daha çok uğraştıracaksınız. Ve günümüzde her yıl milyarlarca kez denenen kimlik bilgisi doldurma saldırılarının söz konusu olduğunu unutmayın.
Maliyetleri ve itibar zararını azaltın: Finansal olarak zarar veren fidye yazılımları ve veri ihlalleri riskini en aza indirin. Ayrıca, parola sıfırlama ve olay incelemesi ile ilişkili BT yöneticisi maliyetlerini de azaltacaksınız. Bir rapor, bunun parola sıfırlama başına 150 sterline (200 $) ve yılda 30.000 saat üretkenlik kaybına mal olabileceğini iddia ediyor. Bu, BT ekiplerinin değerli işler için harcayacağını ekstra zaman tasarrufundan bahsetmiyorum bile.
“Parolasızlık” neden hala ikinci planda?
Tüm bunlara rağman, Parolasızlık her derde deva değildir. Adapte olmadan önce aşağıdakiler de dahil olmak üzere çeşitli soru işaretleri hala mevcut:
Güvenlik %100 garanti edilmez: Örneğin, SIM değiştirme saldırıları, tehdit aktörlerinin SMS yoluyla gönderilen tek seferlik şifreleri (OTP’ler) atlatmasına yardımcı olabilir. Bilgisayar korsanları, örneğin casus yazılım yoluyla cihazlara/makinelere erişebilirse, OTP’leri de yakalayabilirler.
Biyometri gümüş bir kurşun değildir: Kullanıcının değiştiremeyeceği veya sıfırlayamayacağı fiziksel bir özellik ile kimlik doğrulaması yapıldığında, saldırganlar sistemi hacklemenin bir yolunu bulursa riskler çok daha yüksek olur. Ses ve yüz/görüntü tanıma teknolojisini zayıflatmak için makine öğrenimi teknikleri zaten geliştiriliyor.
Yüksek maliyetler: Geniş bir kullanıcı veya müşteri tabanına sahip KOBİ’ler, bazı parolasız teknolojilerin kullanıma sunulmasının, varsa yedek cihaz veya belirteçlerin çıkarılmasıyla ilgili potansiyel maliyetlerden bahsetmeden, oldukça pahalı olduğunu görebilir. Microsoft gibi yerleşik bir sağlayıcı kullanmak daha mantıklıdır, ancak bununla ilgili dahili bir geliştirme maliyeti olacaktır.
Kullanıcı isteksizliği: Büyük güvenlik eksikliklerine rağmen parolaların zamana direnmesinin bir nedeni vardır- kullanıcılar bunları nasıl kullanacaklarını içgüdüsel olarak bilirler. Bilinmeyen korkusunun üstesinden gelmek, kullanıcıların kurallara uymaktan başka seçeneklerinin olmadığı kurumsal bir ortamda daha kolay ele alınabilir. Ancak B2C dünyasında, müşterileri caydırmak için yeterli ekstra bir engel oluşturabilir. Bu nedenle, oturum açma sürecini olabildiğince sorunsuz ve sezgisel hale getirmek için özen gösterilmelidir.
Pandemi sonrası dönem ciddi bir şekilde başlarken, parolasızlık için gelecekte iki eğilim şekillendirici olacak: çevrimiçi tüketici hizmetlerinin kullanımında bir artış ve hibrit iş yerinin ortaya çıkması. Her ikisinin de merkezinde mobil cihaz olduğu için, herhangi bir kurumsal şifresiz stratejinin burada başlaması mantıklı görünüyor.
Üstün Koruma olarak sizlerin güvenliğinizi en üst seviyeye çıkaracak çözümler üretiyor ve danışmanlık hizmeti sağlıyoruz.
Kripto virüslerine ve diğer tüm saldırılara karşı alınabilecek en doğru ürünü kurumunuz için seçmenizde doğru kararı verebilmeniz için uzmanlarımız ile görüşebilir sizler için en uygun ürün teklifini alabilirsiniz.
Bizleri Blog sayfamızdan veya Sosya medya hesaplarımızdan takip etmeyi unutmayın.