Alıcının Parolasız Kimlik Doğrulama Kılavuzu
Yayınlanan: 2020-09-09Kullanıcı doğrulama çözümlerinizi değerlendirmenizin üzerinden muhtemelen çok uzun zaman geçmiştir.
Ne de olsa işletmelerin yeni bir kullanıcı kimlik doğrulama çözümü için pazarda olduğu her gün değil. Bazıları, kullanıcılarının kimliğini doğrulamak için basit bir parola dışında hiçbir şey kullanmamıştır. Diğerleri, uzaktan erişim bağlantılarının kimliğinin doğrulanmasıyla ilgili belirli güvenlik endişelerini gidermek için veya daha güçlü kimlik doğrulama için düzenleyici bir gereksinime yanıt olarak geleneksel bir çok faktörlü kimlik doğrulama çözümü kullanmış olabilir. Bu kısa kılavuz, modern kullanıcı kimlik doğrulama yaklaşımlarının güncel bir incelemesini sağlar.
Verizon'un 2017'de yayınlanan Veri İhlali Araştırma Raporu (DBIR), kullanıcı kimlik doğrulamasıyla ilgili algılar için bir dönüm noktası oldu. Rapor, veri ihlallerinin yüzde 81'inin güvenliği ihlal edilmiş parolaların sonucu olduğunu ortaya çıkardığında BT dünyasında manşetlere taşındı.
Bu, birçok işletmenin şifrelerin güvenlik sorunlarını çözmediğini ve bunun yerine birçoğuna neden olduğunu anladığı ve alternatif kimlik doğrulama seçeneklerine bakmaya başladıkları zamandır. Bu, parolasız kimlik doğrulamanın, ileri görüşlü işletmeler tarafından izlenen niş bir alternatif olmaktan herkesin bahsettiği bir şeye dönüştüğü andır.
Parolasız kimlik doğrulama nedir?
Parolasız kimlik doğrulama, bir kullanıcının kimliğini parola kullanmadan doğrulayan bir kimlik doğrulama çözümleri sınıfını tanımlar. Kimlik kanıtı, kullanıcıyla benzersiz bir şekilde ilişkilendirilen bir şeye sahip olma (örn. bir kerelik parola oluşturucu, kayıtlı bir mobil cihaz veya bir donanım belirteci) veya kullanıcının biyometrik imzası (örn. parmak izi, yüz izi, retina taraması vb.). Kullanıcının bildiği bir şeye dayalı kimlik doğrulama (yani bilgi tabanlı kimlik doğrulama), parola olmadığı sürece de mümkündür.
4 tür parolasız kimlik doğrulama yöntemi
İşte insanların sıklıkla tercih ettiği birkaç yaygın olarak kullanılan parolasız kimlik doğrulama yöntemi:
Tek seferlik kodlar
Kayıtlı bir mobil cihaza veya e-posta adresine gönderilen tek seferlik kod. Bu genellikle işletmeler tarafından müşterilerinin kimliğini doğrulamak için kullanılır (B2C). Kurumsal kimlik doğrulama için, yani çalışanların kimliğini doğrulamak için daha az kullanılır.
biyometri
Bu parolasız kimlik doğrulama yöntemi, Apple Face ID'deki teknolojinin popüler uygulamaları ve en ucuz mobil cihazlarda bile her yerde bulunan parmak izi kimlik doğrulamasıyla, kullanıcıların mobil cihazlarında kimlik doğrulaması için bir norm haline geldi. Biyometri, öncelikle kullanıcının kimliğini cihazda doğrulamak için kullanılır ve daha az sıklıkla cihazdan erişilen kaynaklarda kullanılır.
Özel donanım güvenlik belirteçleri
Genellikle bir Ortak Anahtar Altyapısı (PKI) kimlik bilgilerini depolayan özel donanım güvenlik belirteçleri. Son yıllarda, YubiKeys gibi FIDO uyumlu cihazlar, parolalara yüksek güvenceli bir kullanıcı kimlik doğrulama alternatifi olarak popülaritesini artırıyor. Bu cihazlar, dövülmeleri zor olduğundan ve fiziksel olarak sahip olunması gerektiğinden iyi bir güvenlik seviyesi sunar, ancak aynı zamanda oldukça pahalıdır ve kullanıcılar için taşıması ve kullanması zahmetlidir.
Bir ana cihaza eklenen kimlik doğrulama bilgileri
Bu kimlik bilgisi (yani bir kişisel bilgisayara sabitlenmiş bir PKI istemci kimlik doğrulama sertifikası) çoğunlukla çalışan iş istasyonlarının iş ağlarına ve kaynaklarına kimliğini doğrulamak için kullanılır. Burada yine FIDO-uyumlu çözümler popülerlik kazanmaktadır ve en dikkate değer örnek Microsoft Windows Hello for Business'tır. Windows Hello, Windows'un daha yeni sürümlerinde mevcuttur ve kimlik bilgilerine erişimin kilidini açmak için FIDO uyumlu bir kimlik bilgisini bir kullanıcı PIN'i veya biyometrik baskı ile birleştirir.
Çok faktörlü kimlik doğrulama (MFA) ve parolasız kimlik doğrulama
Kimlik doğrulama için birden çok kimlik doğrulama biçimini birleştirmek, çok faktörlü kimlik doğrulama (MFA) ile sonuçlanır. Tarihsel olarak MFA, parola tabanlı kimlik doğrulamanın güvenliğini artırmanın bir yolu olarak kullanılmıştır. Özel bir anahtarlık veya kayıtlı bir mobil cihaz (sahip olduğunuz bir şey) ile birlikte bir parola (bildiğiniz bir şey) kullanmak, kimlik avı, kırma veya hacklenmesi daha zor olan birden fazla kimlik doğrulama faktörü sağlar ve bu nedenle daha yüksek düzeyde bir güvence sağlar.
Bugün, parolasız MFA ile sonuçlanan faktörlerden biri olarak parola olmadan birden çok kimlik doğrulama faktörünü kullanmak mümkündür. Parolasız MFA için en yaygın olarak kullanılan kimlik doğrulama faktörleri, kullanıcının kayıtlı mobil cihazı ve cihazın yerleşik parmak izi sensörü aracılığıyla sağlanan bir kullanıcı PIN'i veya parmak izidir.
Parolasız bir kimlik doğrulama çözümünü değerlendirirken dikkat edilecek noktalar
Peki, bir kuruluş doğru kimlik doğrulama çözümünü ararken neye bakmalıdır? Yeni bir kullanıcı kimlik doğrulama çözümü satın alırken dikkate alınması gereken pek çok nokta vardır, ancak en önemli üç tanesi şunlardır:
Kimlik doğrulama çözümü, kullanıcıların kimlik doğrulama kullanım durumlarının tamamını destekliyor mu?
En temel husus, bir kimlik doğrulama çözümünün, kullanıcıların iş günleri boyunca karşılaştıkları tam kapsamlı kimlik doğrulama kullanım durumlarını destekleyip desteklemediğidir. Belirli kullanım durumları desteklenmediğinde, iki seçenekten biri kullanılabilir: mevcut kimlik doğrulama çözümünü (genellikle basit kullanıcı adı ve parola) yerinde bırakın veya ikinci bir kimlik doğrulama çözümü getirin.
Kullanıcı adlarına ve parolalara geri dönmek, daha iyi ve daha güvenli bir kimlik doğrulama çözümüne yatırım yapma amacını ortadan kaldırır çünkü bu, savunmasız parolaların saldırganlar tarafından kullanılmaya devam edilebileceği ve işletmeyi açıkta bırakabileceği anlamına gelir. Evinizin etrafına müstahkem bir duvar inşa etmeye ve yerine asma kilitli bir arka kapı girişi bırakmaya benzetilir.
Desteklenmeyen kullanım durumlarının üstesinden gelebilecek ikinci bir kimlik doğrulama çözümünün elde edilmesi, başka bir çözümün dağıtılması ve daha da önemlisi, kullanıcıların başka bir kimlik bilgisi/doğrulayıcı taşımasını gerektirmesi anlamına gelir. Bu, muhtemelen kullanıcıları hayal kırıklığına uğratacak bir deneyim sunan pahalı bir tekliftir.
Kullanıcı kimlik doğrulaması kullanım durumlarının tam genişliğini desteklemek, tipik bir kuruluş için oldukça fazla senaryo ekleyebilir. Ortak kurumsal kullanım durumları şunları içerir:
- Windows ve Mac ana bilgisayarları ve bazı şirketlerde Linux dahil olmak üzere iş istasyonunda oturum açma da önemli bir husustur. Bu, işletim sistemleri ve ağ etki alanı yönetimi çözümleriyle hassas entegrasyonlar gerektirdiğinden, çoğu kimlik doğrulama çözümü için genellikle en zorlu kullanım durumudur.
- Uzaktan erişim VPN, mobil ve uzak çalışanların işlerine bağlı kalmalarını sağlayan temel bir teknoloji olmuştur. Kullanımda olan çeşitli teknolojiler ve çözümler sunan çok sayıda satıcı vardır. Neyse ki, yıllar içinde, kimlik doğrulama sistemleriyle doğrudan entegrasyon sağlamak için bir dizi standart ortaya çıktı.
- Bulut uygulamalarına erişim, en geleneksel işletmeler için bile ana akım haline geldi. Kurumsal kimlik doğrulama sistemleri ve bulut hizmetleri arasında birlikte çalışabilirliği kolaylaştırmak için bazı standartlar mevcut olsa da, hepsi tam olarak hazır değildir. Rakip standartlar ve mevcut standartlarda sık sık yapılan revizyonlar, bulut hizmetlerine erişimin desteklenmesinin hareketli bir hedef olduğu anlamına gelir.
- Çevrimdışı kimlik doğrulama, genel olarak birçok kimlik doğrulama sistemi ve özel olarak çok faktörlü kimlik doğrulama (MFA) için en önemli nokta olmuştur. Çoğu kimlik doğrulama çözümü bağlantılı bir dünya için tasarlandığından zorlu bir görev sunar. Bu nedenle, ağ bağlantısı kesildiğinde veya kullanılamadığında ve kimlik doğrulama sunucusuna erişilemediğinde, kullanıcıların bilgisayarlarında ve yerel olarak barındırılan kaynaklarda kimlik doğrulamaya devam edebilmelerini sağlamak için ayrıntılı geçici çözümler gerekir.
- Kayıp kimlik doğrulayıcı, özellikle donanım doğrulayıcı olduğunda büyük bir baş ağrısı yaratır. Uzak bir çalışana bir yedek jetonu fiziksel olarak göndermek maliyetli ve zaman alıcıdır. Bu nedenle, uzun süreli kesintileri önlemek için donanım tabanlı MFA çözümlerinden bazıları için yazılım tabanlı kurtarma çözümleri geliştirildi.
Genel olarak konuşursak, modern bir kurumsal kimlik doğrulama çözümü, çok çeşitli kimlik doğrulama kullanım durumlarını işleyebilen her yönüyle bir oyuncu olmalıdır. Belirli kullanım durumlarını iyi karşılayan bir nokta çözümüne gitmek, büyük olasılıkla, pahalı ve kullanıcılar için zor olan birden çok kimlik doğrulama çözümünü dağıtma ihtiyacıyla sonuçlanacaktır.
Kimlik doğrulama çözümü, halihazırda sahip olduklarınızla çalışacak mı?
Çoğu kuruluş için gerçek şu ki, BT'ye yıllarca yatırım yaparak çeşitli sistem ve uygulamalar karışımı elde ettiler. Bu sistemler, kabul edilmesi gereken bir gerçektir ve herhangi bir yeni kimlik doğrulama çözümünün, halihazırda mevcut olan her şeyle çalışabilmesi gerekir. Bir sök ve değiştir yaklaşımı çok acı verici ve pahalıdır.
Bu nedenle, modern kimlik doğrulama çözümlerinin eski sistemleri ve uygulamaları destekleyecek ve mevcut BT yatırımlarıyla kolayca entegre olacak şekilde tasarlanması beklenmelidir. Mevcut kullanıcı dizinlerini (örn. Active Directory) desteklemek, eski sistemlerle çalışmak, mevcut kimlik doğrulama çözümleriyle birlikte çalışmak, vb. tümü, pahalı özelleştirme ve entegrasyon projeleri gerektiren bir şey değil, çözüme dahil edilmelidir.
USB belirteçleri, OTP belirteçleri, FIDO kimlik doğrulayıcıları, mobil doğrulayıcılar ve daha fazlası gibi mevcut kimlik doğrulama çözümleriyle çalışmak da gerekli olmalıdır. Pek çok kuruluş, güçlü kimlik doğrulama çözümlerine yatırım yaptı, bu da başka hiçbir şeyin uygulanmadığı sıfırdan sıfır alan fırsatının neredeyse hiç olmadığı anlamına geliyor. Bu nedenle, mevcut kimlik doğrulama çözümleriyle uyum içinde çalışmak, heterojen bir kimlik doğrulama ortamının işlemlerini basitleştirmek ve eski çözümleri kademeli olarak kullanımdan kaldırarak daha modern çözümlere geçmek için bir araç sağlamak başlı başına önemli bir husus haline geldi.
Çözüm, denetçilerin ve düzenleyicilerin gereksinimlerini karşılıyor mu?
Günümüzde çoğu kuruluş, düzenlemeye tabi sektörlerde faaliyet göstermektedir ve veri koruma ve kullanıcı kimlik doğrulaması konusunda katı taleplere tabidir. Düzenlemelere ve PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR vb. gibi endüstri standartlarına uyum, bu nedenle önemli bir husustur ve genellikle yeni bir kullanıcı kimlik doğrulama çözümüne yatırım yapmak için ana itici güçtür.
Parolasız kimlik doğrulamanın faydaları
Parolasız kimlik doğrulama, yeni çözümün her açıdan açıkça üstün olduğu hayattaki nadir durumlardan biridir. Bunu seçmek, herhangi bir takas yapmayı veya artıları ve eksileri tartmayı gerektirmez. Parolasız kimlik doğrulama, daha iyi güvenlik, daha iyi kullanıcı deneyimi sunar ve parola tabanlı kimlik doğrulama çözümlerine kıyasla sahip olma ve çalıştırma daha ucuzdur.
Kullanıcı deneyimini geliştirir
Parolasız kimlik doğrulama, kullanıcıların parolaları hatırlaması ve girmesi gerekmediğinden daha iyi bir kullanıcı deneyimi sunar. Bu, daha hızlı oturum açma ve daha az başarısız deneme anlamına gelir. Ve şifreler asla unutulmaz veya sıfırlanmaları gerekir, bu da kayıp veya unutulan şifreler nedeniyle daha az kesinti ve daha az ağırlaşma anlamına gelir.
Genel güvenliği artırır
Savunmasız parolaları iyi tasarlanmış parolasız bir kimlik doğrulama çözümüyle değiştirmek, aslında güvenliği artırır çünkü parolasız, kimlik avına karşı dayanıklıdır ve ortadaki adam, tuş günlüğü, kimlik bilgisi doldurma, parola püskürtme ve diğerleri dahil olmak üzere diğer kimlik bilgileri erişim saldırılarına karşı daha iyi koruma sağlar. .
Uzun vadede daha ucuz
Parolasız kimlik doğrulama, parolalara kıyasla sahip olmak ve çalıştırmak için daha ucuzdur. Parolalar, kullanıcıların periyodik parola yenilemelerini ve ara sıra parola sıfırlamalarını gerçekleştirmelerini sağlamak için destekleyici parola yönetim sistemlerine ihtiyaç duyduklarından, pahalı yönetim gerektirir.
Parolalar ayrıca, kullanıcılar parolalarını unuttuklarında veya kimlik doğrulayıcılarını kaybettiklerinde ve kurtarma konusunda yardım için yardım masasını aradığında yardım masalarında önemli bir yük oluşturur. Kullanıcıları eğitmek ve onları kimlik avından korumak için uygulanan kimlik avı önleme programlarını kapatarak daha fazla maliyet tasarrufu sağlanabilir. İyi tasarlanmış parolasız kimlik doğrulama, kimlik avına karşı korumalıdır.
Parolasız kimlik doğrulama ile ilgili zorluklar
Parolasız kimlik doğrulaması uygulamaya karar veren işletmeler için bir numaralı zorluk, genellikle parolasız kimlik doğrulama için tasarlanmamış eski sistemleri ve uygulamalarıdır. Bu nedenle, parolasız bir iş yeri vizyonunu benimsemek kolay olsa da, yeni ve eski sistemleri birleştiren heterojen bir BT ortamıyla uğraşırken oraya ulaşmak göz korkutucu olabilir.
Bir yaklaşım, yalnızca onu destekleyen sistemler ve uygulamalar için parolasız kimlik doğrulaması dağıtmaktır. Bu genellikle bulut uygulamaları için ve bazen de daha yeni işletim sistemlerinde (yani Windows 10'un en son sürümleri) parolasız kimlik doğrulamanın devreye alınması anlamına gelir. Ancak parolasız olmak gerçekten ya hep ya hiç çabasıdır: parolalardan ya kurtulursunuz ya da kurtulmazsınız.
Bu nedenle, kullanıcılar için parolasız kimlik doğrulamayı başarılı bir şekilde dağıtmak için parolasızın daha iyi, daha ucuz ve daha güvenli bir seçenek olduğuna karar vermek genellikle yeterli değildir. Mevcut ve heterojen bir BT ortamında parolasız dağıtım yapmanıza yardımcı olacak teknolojiyi seçmek ve tüm kimlik doğrulama kullanım durumlarınızı ele almak önemlidir.
Parolasız kimlik doğrulama çözümü ortamı
Piyasadaki hemen hemen her kimlik doğrulama çözümü satıcısı, parolasız kimlik doğrulama sunduğunu iddia eder. Görevli kimlik doğrulama satıcıları, MFA tekliflerini, bazı kullanım durumları için bazı parolasız kimlik doğrulama biçimlerine izin verecek şekilde uyarladılar. Daha yeni kimlik doğrulama oynatıcıları, parolasız olarak iyi çalışacak modern altyapı ve uygulamalarla müşterileri hedefleyerek, her şey dahil parolasız çalışıyor - eski sistemler ve uygulamalar geride kaldı.
Ancak, parolasız çalışmak üzere tasarlanmayan çok sayıda sistem ve uygulama bulunduğundan, çoğu kuruluş için evrensel olarak parolasız kimlik doğrulaması uygulamak hala mümkün değildir. Bazı sistemler için şifreleri yerinde bırakmak neredeyse amacını ortadan kaldırır çünkü şifresizden faydalanmak için gerçekten tüm şifrelerden kurtulmanız gerekir.
Parolasız kimlik doğrulama çözümüne başarılı geçiş, tüm sistemlerde ve uygulamalarda çalışabilen, mümkün olduğunda parolasız kimlik doğrulama sağlayan ve parolasızlığın mümkün olmadığı durumlarda parolasız bir deneyim yaratan bir çözüm gerektirir. Bu yaklaşımın yararı, UX açısından bakıldığında, kullanıcıların bir parola oluşturması, hatırlaması veya girmesi gerekmemesidir.
Güvenlik açısından, parolalar ya tamamen kaldırılır ya da kullanıcılar tarafından bilinmez, bu da onları kimlik avına karşı korumalı hale getirir. Ayrıca, parolasız bir deneyim uygularken, parolalar makineler tarafından yönetilir, bu da yüksek karmaşıklık ve sık rotasyonlardan yararlandıkları anlamına gelir ve bu da onları parolalara yönelik birçok saldırı biçimine karşı daha dirençli hale getirir.