Hiç kimsenin şifrelere deli olmadığını söylemek yanlış olmaz. Bilgi güvenliği şefleri için, çalışanların şifre listelerini masalarına bırakmaları veya bilgisayarlarındaki Post-it notlarına koymaları kabusu var. Çalışanlar için, çeşitli cihazlara ve kaynaklara erişim sağlamak için birden fazla şifre girmek zorunda kalmanın zorluğu vardır.
Parolasız kimlik doğrulama teknolojisi bu sorunları çözmek için tasarlandı ve bu araçların kullanımı artıyor. A 200 CISO’nun katıldığı son anket Güvenlik sağlayıcısı Portnox’un sponsorluğunda Wakefield Research tarafından yapılan araştırma, güvenlik liderlerinin önemli bir çoğunluğunun (%92) kuruluşlarının parolasız kimlik doğrulamayı uyguladığını veya uygulamayı planladığını söylediğini gösterdi. Bu, 2024’teki %70 seviyesinden bir artış. CISO’lar, artan çalışan üretkenliği ve gelişmiş kullanıcı deneyiminin en önemli faydalar olduğunu belirtti.
Parolasız kimlik doğrulama, donanım belirteçleri, biyometri veya mobil anlık bildirimler gibi alternatif yöntemler aracılığıyla, geleneksel parolalara ihtiyaç duymadan kullanıcı kimliğini doğrular. Gelişmiş güvenlik ve gelişmiş kullanıcı deneyimi gibi potansiyel faydalar sunar.
Eğitim hizmetleri sağlayıcısı Universal Teknik Enstitüsü, Microsoft’un şifresiz bir platformunu kullanmaya başladı ve şirketin kıdemli başkan yardımcısı ve CIO’su Adrienne DeTray, “ve benimsemeyi genişlettikçe, daha az şifre sıfırlama, daha az hizmet masası bileti ve güne daha hızlı başlama ile avantajlar hızla ortaya çıkıyor” dedi.
DeTray, “En büyük etki kültüreldir” dedi. “Bu, teknolojiyi yeniden daha hafif ve daha insani hissettirme konusunda ciddi olduğumuzu gösteriyor. Yıllar geçtikçe o kadar çok sistem ve oturum açma ekledik ki, teknolojinin ağırlığı işin bir parçası haline geldi. Bu, idari engeli ortadan kaldırmaya yardımcı olan ve ekosistemi daha kesintisiz ve bağlantılı hissettiren adımlardan biri.”
DeTray bunun sadece güvenlikle ilgili olmadığını, aynı zamanda kullanıcı deneyimiyle de ilgili olduğunu söyledi. “Her parola sıfırlama veya kilitleme, insanları yavaşlatır ve odaklanmalarını azaltır” dedi. “Şifresiz, günün tüm sıkıntılarını ortadan kaldırıyor ve insanlara zamanı geri kazandırıyor. Güvenlik ve kullanılabilirliğin el ele çalıştığı bağlantılı bir ekosistem tasarlamanın bir parçası.”
MFA ‘altın standart’ siber güvenlik statüsünü kaybediyor
CTO Srikara Rao, dijital ürün mühendisliği hizmetleri sağlayıcısı R Systems International’ın şifresiz bir ortama aşamalı geçişin ortasında olduğunu söyledi. Rao, “Bizim için bu bir trendi takip etmekle ilgili değil; bu, önceki altın standardımız olan çok faktörlü kimlik doğrulamanın yaşını gösterdiği gerçeğine doğrudan bir yanıttır” dedi. “Tehdit ortamı, geleneksel MFA’nın baş edebileceğinin ötesinde bir evrim geçirdi.”
R Systems’in bu hamleyi yapma kararı hem güvenlik hem de iş etkinleştirme faktörlerinden kaynaklanıyor. Rao, “Kimlik bilgilerine dayalı saldırılar, kimlik avı girişimlerinde önemli bir artış ve birkaç ramak kala olayla birlikte, en büyük tehdit vektörü olmaya devam ediyor, bu da harekete geçme aciliyetinin altını çiziyor.” dedi. “Kuruluşumuz içinde kimlik avına karşı dayanıklı çözümleri teşvik etmek istiyoruz.”
Rao, operasyonel açıdan şifre sıfırlamanın oldukça pahalı hale geldiğini söyledi. Sıfırlamalar, doğrudan işçilik giderleri ve çalışan verimliliği kaybı ve BT kaynak tüketimi gibi önemli dolaylı maliyetler nedeniyle maliyetli olabilir. Araştırma firması Forrester, tek bir parola sıfırlama işleminin 70 dolara mal olabileceğini ve bunun büyük şirketler için hızlı bir şekilde artabileceğini tahmin ediyor.
Ayrıca şirketin, kullanıcıların yeniden başlattıkları veya eriştikleri her şeyin yeniden doğrulanmasını zorunlu kılan PCI 4.0 gibi uyumluluk gereksinimlerine uyması da kritik önem taşıyor. Rao, “Parolasız kimlik doğrulama işlemi sorunsuz hale getirecek” dedi. “Ve son olarak, en iyi teknoloji ve siber güvenlik yetenekleri için rekabet ederken, parolasız bir kuruluş olmamız, ileriyi düşünen, önceliği güvenliğe veren bir kuruluş olduğumuzun sinyalini veriyor.”
Kendi cihazını getir politikaları bir faktördür
Sağlık hizmetleri sağlayıcısı Diversus Health, teknolojiyi sertifika tabanlı ağ erişim kontrolü biçiminde kullanarak parolasız kimlik doğrulamasına da geçiyor.
BT güvenlik yöneticisi Neil Ford, “Yakın zamanda kendi cihazını getir politikasını benimsememiz nedeniyle, yıllık dahili HIPAA uyumluluk denetimimiz, yüksek riskli tehditlerimizden biri olarak ağ erişim kontrolü eksikliğini tespit etti” dedi. “Böylece tehdidi azaltmak için kullanılabilecek çözümleri aramaya başladık.”
Diversus Health, bu yılın başlarında Portnox’un, cihazların kimliğini doğrulamak için sertifika tabanlı kimlik doğrulamayı kullanan bir sistemini devreye aldı. Ford, “Sertifikayı bulut tabanlı bir uç nokta yönetimi çözümü aracılığıyla dağıtıyoruz, bu nedenle Portnox ile doğrulama personel için şeffaftır” dedi.
Ford, çözümün bilinmeyen cihazların şirketin ağına bağlanması ve dahili kaynaklara erişebilmesi tehdidini etkili bir şekilde azalttığını söyledi.
Parolasız kimlik doğrulamanın başarılı bir şekilde benimsenmesinin anahtarlarından biri, güvenlik değişikliğini personele etkili bir şekilde iletmektir. “Çalışanlar onlarca yıllık şifre hafızasının üstesinden geliyor ve kullanıcıların ‘cihazımı kaybedersem ne olur?’ konusundaki meşru kaygılarını ele alıyor. kritik” dedi Rao. “‘Neden’i çalışanlarımıza satmamız gerektiğini kısa sürede öğrendik.”
Rao, şirketlerin parolasız kimlik doğrulamayı başka bir güvenlik zorunluluğu olarak değil, daha az hayal kırıklığı, daha hızlı oturum açma ve parola sıfırlamaların ortadan kaldırılması yoluyla çalışanlara doğrudan fayda sağlayacak şekilde çerçevelemesi gerektiğini söyledi. R Systems, geçişi yapmadan önce insanların telefonlarındaki parmak izi tanıma gibi erişim araçlarına alışmalarını sağlamak için küçük, etkileşimli eğitim oturumları düzenledi.
Rao, “Kullanıcı eğitimi sağlayan kuruluşların önemini yeterince vurgulayamıyorum.” “Başarılı bir dağıtım ile raf yazılımı yatırımı arasında önemli bir fark var.”
Rao, R Systems’in şifresiz stratejisinin tek bir satıcıya bağlı olmadığını, FIDO2 ve WebAuthn açık standartları üzerine inşa edildiğini ve “bize her risk profili için doğru aracı seçme esnekliği sağladığını” söyledi. “Yöneticiler, geliştiriciler ve yöneticiler gibi ayrıcalıklı kullanıcılar FIDO2 donanım güvenlik anahtarlarını kullanırken, daha geniş iş gücü Windows Hello ve Face ID gibi cihaz biyometrikleriyle entegre geçiş anahtarlarına güveniyor.”
Şirket hâlâ parolasız kimlik doğrulamasına geçişin sonuçlarını değerlendiriyor ve bunun herkes için en iyi şekilde çalışmasını sağlamak için çalışıyor.
Rao, “Daha hızlı oturum açma ve şifreyle ilgili yardım masası bildirimlerinde önemli bir azalma ile çalışan deneyimimizin önemli ölçüde arttığını gördük” dedi. “En önemlisi, parolasız kimlik doğrulama, sıfır güven mimarimizin temel taşı haline geldi ve bize kullanıcı veya cihaz konumundan bağımsız olarak güvenli erişim sağlayan daha güçlü, yüksek güvenceli bir kimlik katmanı sağladı.”