Appgate, şifrelerin çalınmasını önlemek için farklı güvenli kimlik doğrulama modelleri geliştiren bir şirket olarak, bu sistemin evriminin bir zaman çizelgesini sundu.
Bir parola ile başarılı bir şekilde oturum açmak artık bir sisteme ve hassas hesaplara yasal erişimi garanti etmiyor. Bu nedenle, güvenli erişim şirketi ve siber güvenlik alanında dünya lideri olan Appgate, dijital tehditlere karşı koruma sağlamak için güvenli kimlik doğrulamanın uygulanmasının önemini açıklıyor.
İfşa edilen kimlik bilgilerinin sayısı 2018’den bu yana yüzde 300 arttı ve bu büyüme, kullanıcı anahtarlarının ve parolalarının güvenli kimlik doğrulama olarak etkisiz bir yöntem olduğunu ortaya çıkardı. Bununla birlikte, kuruluşların büyük çoğunluğu bu modele güvenmeye devam ediyor.
Açıkça belirtilmesi gereken ilk şey, her kimlik doğrulama faktörünün üç kategoriden birine girmesi:
- Bilgi: Bu kategori bilinen bir şeye referansta bulunur. En basit örnek bir kullanıcının şifresi. Bununla birlikte, bu kimlik bilgilerini değiştirmek kolay olduğundan, bilgi kategorisi güvenli kimlik doğrulamanın uygulanmasında en az etkili olan başlık.
- Kontrol altına alma: Bu, sahip olunan ve manipüle edilmesi daha zor olduğu için güçlü bir kimlik doğrulama kategorisi olarak kabul edilen bir kapsama sahip. Kullanıcının fiziksel olarak yanlarında bir şeyler olması zorunluluğunu getirir, ancak yine de kusursuz bir önlem olduğunu kanıtlamaz.
- İçsel: Bu, en güçlü kimlik doğrulama kategorisidir. Dolandırıcıların insan özelliklerini taklit etmesi çok daha zor, bu nedenle bu doğal kategori siber suçlular için daha az hedef haline geliyor.
Her kimlik doğrulama faktörünün avantajları ve dezavantajları var. Aşağıda, Appgate kimlik doğrulamanın gelişimine genel bir bakış sunuyor:
- İlk şifre: Temel sistem 1960’ların başında MIT’de oluşturuldu, bu da şifrenin elli yıldan daha eski olduğu ve o zamanlar bile güvenli olmadığı anlamına geliyor. Kurulumu kolay ve uygun maliyetli olmalarına rağmen, zayıf bir kimlik doğrulama faktörü haline gelebilir ve kolay bir şekilde kırılabilirler.
- Tek seferlik şifreler ilk olarak 1980’lerin sonunda patentlendi: Bu model tek seferlik bir şifre sağlar ve düzenli aralıklarla değişen rastgele bir sayı ortaya çıkarıyor. Benzersiz sayısal kod, frekansla değişse ve manipüle edilmesini zorlaştırsa da, çok daha erişilebilir akıllı cihazlarla değiştirilen eski bir sistem.
- Cihaz tanıma: Çerezler 1990’ların sonunda oluşturuldu ve 2000’lerin başında standart hale geldi. Büyük ölçekli cihaz tanımanın ilk örneğiydi. Bu teknoloji, sürekli güncellenen çeşitli yöntemlerle gelişti ve geliştirildi, ancak dolandırıcılar bir Uzaktan Erişim Truva Atı (RAT) kullanarak bir aygıta uzaktan erişebilirler.
- SMS: 2000’li yılların başında yaygın olarak kullanıldı ve genel olarak şifrelerin telefonlara dağıtımının başlangıcı oldu. Güvenli bir kimlik doğrulama sistemi uygulamanın basit bir yolu denebilir. Ancak, cihazını kaybeden veya artık kayıtlı telefon numarasına erişimi olmayan kullanıcılar için uygun değil.
- Push: Blackberry, push bildirimlerini ilk kullanan şirket oldu, ancak Google ve Apple bunu 2009 ve 2010’da yaygınlaştırdı. Bu faktör, bir mobil cihazda kullanıcının bir işlemi veya oturum açma girişimini kabul etmesine veya reddetmesine olanak tanıyan bir açılır mesaj sunar. Cihaz düzeyinde uygulandığı için çok güvenli bir yöntemdir, ancak kullanıcının hesaba orijinal olarak kayıtlı cihaza erişmesine dayanır.
- Parmak izi biyometrisi: Apple’ın Touch ID’si 2013’te parmak izi biyometrisini popüler hale getirdi. Bu yöntem, yalnızca kayıtlı kullanıcının parmak izinin kimliğini doğrulamasını gerektiriyor ve bu da bir dolandırıcının kopyalanmasını zorlaştırıyor.
- QR kimlik doğrulaması: WhatsApp web sitesi 2015 yılında QR kimlik doğrulamasını başlattı. QR kodları, her kullanıcıya benzersiz bir kod sağlayarak güvenli bir kimlik doğrulama yöntemi sunuyor. Hızlı, kullanışlı ve çok güvenli bir kimlik doğrulama biçimi olmasına karşın yalnızca bant dışı işlemlerde kullanılabilir.
- Yüz Biyometrisi: Apple’ın Face ID’si, kullanıcıların kimliğini doğrulayan ilk yüz biyometri örneklerinden biriydi. Dezavantajları arasında ışığa ve kullanıcının yüzünün açısına bağlı olması ve ayrıca kullanıcının bir fotoğrafı veya videosu tarafından yakalanabilmesi yer alıyor.
Birçok kimlik doğrulama modeli belirli bir düzeyde koruma sağlarken, hiçbir model tek başına yeterince etkili değil. Bu nedenle, farklı kategorilerdeki birden çok modeli kullanarak güvenli kimlik doğrulaması uygulamalarını sağlamak önemli.
