Şirketlerde ortak çalışma alanları oluşturuluyor. Eğer şifreler de paylaşılıyorsa hackerlar için bir kapı olabilir. Bu, 2023 Verizon Veri İhlal Araştırmaları Raporuyla kanıtlanmıştır. Ancak parolasız kimlik doğrulamayla bu çok daha kolay ve daha güvenlidir.
Maliyet tasarrufları ve üretkenlikteki artışlar, çalışanlar için ortak çalışma alanlarının belirleyici argümanlarıdır. Gerçekten de birçok sektörde ortak çalışma alanları yaygınlaştı. Ancak şirketlerin güvenlik riskleriyle uğraşması gerekiyor. Bu, yalnızca doğru kullanıcıların paylaşılan cihazlara erişebilmesini sağlamakla başlar.
Paylaşılan şifreler tehlike yaratıyor
Birden fazla kişinin paylaşılan bir iş istasyonuna erişmesi gerekiyorsa, paylaşılan oturum açma bilgileri veya geçerli parolalar içeren yapışkan notlar yaygın bir uygulamadır. Örneğin, sık vardiya değişiklikleri, mevsimlik işler veya yüksek personel dalgalanmaları günün gündemi olduğundan, her çalışanın gerekli kaynaklara herhangi bir zamanda bir "ana anahtar" aracılığıyla erişmesini sağlamak en pratik seçenek olarak kabul edilir. Bu şüpheli yaklaşım siber suçlular tarafından da bilinmiyor değil. Onlar için çalınan kimlik bilgileri ve şifreler son derece çekici: 2023 Verizon Veri İhlal Araştırmaları Raporu'na göre veri ihlallerinin yüzde 81'i çalıntı veya zayıf şifrelerden kaynaklanıyor.
Klasik çok faktörlü kimlik doğrulama neden bir çözüm değil?
Bu kadar göze çarpan güvenlik açıklarını kapatmanın ilk yolu çok faktörlü kimlik doğrulamadır (MFA). Ancak SMS, OTP kodları ve anlık bildirimlerle çalışan mobil MFA, kimlik avı, kaba kuvvet saldırıları, ortadaki adam (MiTM) saldırıları, kötü amaçlı yazılım ve SIM saldırıları gibi siber tehditlere karşı oldukça savunmasızdır. Anahtarın mülkiyetine dair kanıt sağlanamadığı gibi, özel anahtarın gerçekten mobil cihaza güvenli bir şekilde ulaştığına dair kanıt da sunulamaz. OTP kodlarını veya özel anahtarları ele geçirmek de siber suçlular için büyük bir zorluk değildir. Peki ya mobil cihazın pili biterse veya bu tür cihazların kullanımına bazı durumlarda izin verilmiyorsa?
İyi bir çözümü ne yapar?
Bu nedenle uygun bir çözüm seçerken, çözümün performansı üzerinde olumsuz etkiye sahip olabilecek verimlilik, güvenilirlik, maliyetler ve diğer dış değişkenler gibi faktörlerin dikkate alınması çok önemlidir. Ayrıca, kullanıcı doğrulama ve kullanıcı rahatlığı konuları etrafında dönen soruların yanıtlanmasıyla da ilgilidir: Bir kullanıcı kaydolurken meşruiyetini nasıl kanıtlayabilir? Birden fazla cihazda sorunsuz bir şekilde kimlik doğrulaması yapabileceklerinden nasıl emin olursunuz? Kimlik doğrulama zor koşullar altında da çalışır mı? Kimlik doğrulamayla ilgili destek biletlerinin sayısı uzun vadede azaltılabilir mi?
Parolaları parolasız kimlik doğrulamayla değiştirin
Geleneksel MFA'dan kimlik avına karşı dayanıklı MFA'ya geçiş, ortak çalışma ortamlarının güvenliğini sağlamada önemli bir adımdır. Modern MFA'daki bir sonraki adım, parolasız kimlik doğrulamanın tanıtılmasıdır. SMS OTP, parolasız kimlik doğrulama için bir seçenektir ancak listelenen gereksinimlerin tamamını karşılaması pek mümkün değildir. Klasik akıllı kartlar, SMS OTP'den daha fazla güvenlik sağlarken genellikle akıllı kart okuyucuları, kartlar ve arka uç yönetim platformları için yüksek yatırım maliyetleri gerektiren ve akıllı telefonlarda veya tabletlerde en iyi kullanıcı deneyimini sağlamayan, parolasız kimlik doğrulamanın başka bir biçimidir.
Yubico.com'da daha fazlası
Yubico Hakkında
Yubico, bilgisayarlara, mobil cihazlara, sunuculara ve İnternet hesaplarına kolay ve güvenli erişim için yeni küresel standartlar belirliyor. Şirketin amiral gemisi ürünü YubiKey, bir düğmeye dokunarak herhangi bir sayıda BT sistemi ve çevrimiçi hizmet için etkin donanım tabanlı koruma sağlar. Yubico'nun son derece taşınabilir donanım güvenlik modülü olan YubiHSM, sunuculardaki gizli verileri korur.