Kulağa bu kadar beceriksiz gelen bir kelime için, “şifresiz” aslında hayatı çok daha kolay hale getirmeyi vaat ediyor – hem kullanıcılar hem de güvenlik ekipleri için. Yönetici maliyetlerini düşürme, üretkenliği artırma ve siber riski azaltma konusunda umut verici bir beklenti sunar. Yine de, bu göz alıcı avantajlara rağmen, hem işletmeden tüketiciye (B2C) hem de işletmeden işletmeye (B2B) ortamlarda alım, beklendiği kadar güçlü olmamıştır.

Ancak, dünyanın en büyük yazılım şirketi yeni bir teknoloji yaklaşımını desteklemeye karar verdiğinde, bunu dikkate almanın zamanı gelmiştir. Microsoft, parolaları “uygunsuz, güvensiz ve pahalı” bir süre önce; hızlı ileri bu yılın Mart ayına ve şirkete tanıtıldı parolasız kimlik doğrulama iş müşterileri için. Eylülde, Microsoft duyurdu tüm kullanıcılar için desteği genişleteceğini söyledi. Parolasız kimlik doğrulama döneminin sonunda burada olduğunu söyleyebilirsiniz.

Parolalar artık amaca uygun olmadığında

Parolalar, bilgisayarlar kadar uzun süredir var. Onların ölümü oldu birçok kez tahmin. Yine de kurumsal uygulamalardan çevrimiçi bankacılığa, e-posta ve e-ticaret hesaplarına kadar her şeyin güvenliğini sağlamak için hala buradalar.

Sorun şu ki, artık yönetmek ve hatırlamak için bu kimlik bilgilerinin çok fazlasına sahibiz. Bir tahmin ABD'li işçilerin %57'sinin yapışkan notlara kurumsal parolalar yazdığını öne sürüyor. Dijital ayak izimizi genişlettikçe sayı da sürekli artıyor. Bir Ekim 2020 tahmini Ortalama bir kişinin yaklaşık 100 şifresi olduğunu iddia ediyor, bu da pandemi başlamadan öncekinden yaklaşık yüzde 25 daha fazla.

Siber güvenlik açısından bakıldığında, şifrelerle ilgili zorluk iyi belgelenmiştir. Saldırganlara, çalması, tahmin etmesi, kimlik avı yapması veya kaba kuvvet kullanması giderek daha kolay hale gelen bir hedef sağlarlar. Bunlara sahip olduklarında, tehdit aktörleri meşru kullanıcılar gibi davranabilir, çevre güvenlik savunmalarını geride bırakabilir ve aksi durumda olacağından çok daha uzun süre kurumsal ağlarda gizli kalabilir. Bir veri ihlalini belirlemek ve kontrol altına almak için geçen süre bugün 287 gün.

Şifre yöneticileri ve tek oturum açma, bu zorluklar için bir tür çözüm sunar, her hesap için karmaşık şifreleri saklar ve geri çağırır, böylece kullanıcılar bunu yapmak zorunda kalmaz. Ancak tüketiciler arasında hala evrensel olarak popüler değiller. Sonuç? Tüketici ve kurumsal hesapları kimlik bilgisi doldurma ve diğer kaba kuvvet tekniklerine maruz bırakarak birden fazla hesapta hatırlaması kolay kimlik bilgilerini yeniden kullanırız.

Bu sadece güvenlik riskiyle de ilgili değil. Parolalar, BT ekiplerinin yönetmesi için önemli ölçüde zaman ve para gerektirir ve müşteri yolculuğuna ekstra sürtünme katabilir. İhlaller, B2B ve B2C ortamlarında kullanıcı deneyimine müdahale edebilecek büyük hacimli hesaplarda toplu sıfırlama gerektirebilir.

Şifresiz, işletmenize nasıl fayda sağlayabilir?

Bu bağlamda, şifresiz kimlik doğrulama büyük bir sıçrama sunuyor. Kuruluşlar, yüz tanıma gibi biyometrik sistemlere sahip bir kimlik doğrulama uygulaması veya e-posta/SMS yoluyla gönderilen bir güvenlik anahtarı veya benzersiz bir kod kullanarak, statik kimlik bilgileriyle ilişkili güvenlik ve yönetici sorunlarını tek bir hamlede ortadan kaldırabilir.

Kuruluşlar, B2B ve B2C operasyonları için bu yaklaşımı benimseyerek şunları yapabilir:

• Kullanıcı deneyimini geliştirin: Oturum açma işlemlerini daha sorunsuz hale getirerek ve kullanıcıların parolalarını hatırlama ihtiyacını ortadan kaldırarak. Bu, oturum açma sorunları nedeniyle daha az alışveriş sepeti terk edilirse, satışların artmasını bile sağlayabilir.
• Güvenliği iyileştirin: Çalınacak parola yoksa, kuruluşlar bir anahtar vektörünü tehlikeye atmak için kaldırabilir. Parolaların suçlanacağı iddia edildi ihlallerin %84'ü geçen yıl. En azından, kötü adamları istediklerini elde etmek için daha çok çalıştıracaksınız. Ve şu anda kimlik bilgisi doldurma saldırıları milyarlarcasına teşebbüs etti her yıl geçmişte kalacaktı.
• Maliyetleri ve itibar zararını azaltın: Finansal olarak zarar veren fidye yazılımları ve veri ihlalleri fırsatlarını en aza indirerek. Ayrıca, parola sıfırlama ve olay incelemesi ile ilişkili BT yöneticisi maliyetlerini de azaltacaktır. Bir iddiaları bildir bu, parola sıfırlama başına 150 sterline (200 $) ve yılda 30,000 saat üretkenlik kaybına mal olabilir. Bu, BT ekiplerinin daha yüksek değerli görevlere harcaması için serbest bırakılan ekstra zamandan bahsetmiyorum bile.

Parolayı geri tutan nedir?

Ancak, şifresiz her derde deva değildir. Evlat edinmenin önünde aşağıdakiler de dahil olmak üzere çeşitli engeller bulunmaktadır:

• Güvenlik %100 garanti edilmez: SIM takas saldırılarıörneğin, tehdit aktörlerinin SMS yoluyla gönderilen tek seferlik şifreleri (OTP'ler) atlatmasına yardımcı olabilir. Ve bilgisayar korsanları cihazlara/makinelere erişebiliyorsa, örneğin casus, OTP'leri de engelleyebilirler.
• Biyometri gümüş bir kurşun değildir: Kullanıcının değiştiremeyeceği veya sıfırlayamayacağı fiziksel bir öznitelikle kimlik doğrulaması yapıldığında, saldırganlar sistemi hacklemenin bir yolunu bulursa riskler çok daha yüksek olur. Ses ve yüz/görüntü tanıma teknolojisini zayıflatmak için makine öğrenimi teknikleri zaten geliştiriliyor.
• Yüksek maliyetler: Geniş bir kullanıcı veya müşteri tabanına sahip KOBİ'ler, bazı parolasız teknolojilerin kullanıma sunulmasının, eğer varsa, yedek cihazların veya jetonların çıkarılmasıyla ilgili potansiyel maliyetlerden bahsetmeden, oldukça pahalı olduğunu görebilir. Microsoft gibi yerleşik bir sağlayıcı kullanmak daha mantıklıdır, ancak bununla ilgili dahili bir geliştirme maliyeti olacaktır.
• Kullanıcı isteksizliği: Büyük güvenlik eksikliklerine rağmen parolaların zamana direnmesinin bir nedeni var - kullanıcılar bunları nasıl kullanacaklarını içgüdüsel olarak biliyorlar. Bilinmeyen korkusunun üstesinden gelmek, kullanıcıların kurallara uymaktan başka seçeneklerinin olmadığı kurumsal bir ortamda daha kolay ele alınabilir. Ancak B2C dünyasında, müşterileri caydırmak için yeterli ekstra sürtüşme yaratabilir. Bu nedenle, oturum açma sürecini olabildiğince sorunsuz ve sezgisel hale getirmek için özen gösterilmelidir.

Pandemi sonrası dönem ciddi bir şekilde başlarken, parolasız benimsemenin geleceğini iki eğilim şekillendirecek: çevrimiçi tüketici hizmetlerinin kullanımında bir artış ve karma işyeri. Her ikisinin de merkezinde mobil cihaz olduğu için, herhangi bir kurumsal şifresiz stratejinin burada başlaması mantıklı görünüyor.

Kaynak: https://www.welivesecurity.com/2021/11/08/passwordless-authentication-is-your-company-ready-move-passwords/