Mediatrend Desktop Mediatrend Mobile
Mediatrend Desktop Mediatrend Mobile
Diğer
    HaberlerGüvenlikŞifre kabusu yolun sonuna geldi

    Şifre kabusu yolun sonuna geldi

    Herkes gibi benim de farklı farklı hesaplarım için gereğinden fazla şifrem var. Şu anda sadece tüm hesaplarıma ve cihazlarıma erişmek için onlarca girişle uğraşıyorum. Ve her web sitesi için değişen parola gereksinimleriyle, her şeyi düzenli tutmak neredeyse imkansız.

    Pek çoğunuz gibi ben de yıllar önce tüm şifrelerimi hatırlamaya çalışmaktan vazgeçtim ve bu sorumluluğu bir şifre yöneticisine devrettim. Ancak hafızamı bir parola yöneticisine devretmek, şirketlerin siteleri daha fazla güvenlik katmanı oluşturmaya devam ettikçe kendi sorunlarını da beraberinde getiriyor. Her giriş, soygun tarzı bir kasa kırma gibi hissettiriyor: Şifre yöneticisinin kilidini kendi şifresiyle açıp tıklıyorsunuz. Benzersiz, telaffuz edilemeyen bir karakter dizisini kopyalayıp oturum açma formuna yapıştırıyorsunuz. E-postama veya telefonuma gönderilen altı haneli bir kodla benim olduğumu onayladıktan sonra da giriş gerçekleşiyor.

    Ve bu sadece tek bir hesap için. Kullandığınız günlük hesapları düşünürseniz onlarcası hemen aklınıza gelecektir.

    Kimlik bilgisi hırsızlığı tırmanışta

    Şifreler, çok sayıda olmalarına rağmen insanların bilgilerini güvende tutmanın kusursuz bir yolu da değil. Kırılmalarının kolay olduğu biliniyor: Microsoft her saniye yaklaşık 1.287 ya da günde yaklaşık 111 milyon parola saldırısı rapor ediyor. Cybersecurity Ventures ise her saniye ihlallerden 44 hesabın çalındığını bildiriyor. Bir dizi harf, rakam ve karakterin yanılabilirliği göz önüne alındığında, teknoloji firmaları 1960’larda kullanılmaya başlanmasından bu yana, kodların hem rakam hem de harf içermesini zorunlu kılmaktan güvenlik soruları gibi ikinci bir kimlik doğrulama adımı eklemeye kadar şifrelerin üzerine bir dizi savunma getirdi. Bu ek önlemler, izinsiz girişleri önlemek için çok az şey yaptı. Yalnızca geçen yıl 24 milyardan fazla oturum açma kimlik bilgisi ifşa edildi ve bu rakam 2020 yılına kıyasla %65 artış gösterdi.

    Teknoloji devlerini tek çatı altında buluşturan platform: FIDO Alliance

    Parola sorununu çözmek için Apple, Amazon, Google ve Microsoft gibi en etkili teknoloji firmalarından bazılarının oluşturduğu bir koalisyon, son on yılını bu geleneksel parola yöntemlerini tamamen ortadan kaldıracak bir oturum açma sistemi üzerinde çalışarak geçiren FIDO Alliance’ı kurdu. Tamamen şifresiz bir geleceğe henüz yakın olmasak da, incelediğim bu yeni sistem şimdiden oyunun kurallarını değiştirecek gibi görünüyor.

     

    İnternetin doğuşu, çevrimiçi faaliyet göstermeyi uman işletmeler için acil bir sorun oluşturdu. Bir kişinin söylediği kişi olduğundan nasıl emin olabiliriz? İşletmeler bu sorunu çözmek için en basit çözüme yöneldi: Metin tabanlı girişler ya da parolalar. Cambridge Üniversitesi tarafından yapılan bir araştırmada, şifrelere alternatif olarak sunulan yirmi yıllık öneriler karşılaştırıldı ve her biri, işletmelerin bunları kurmasının ne kadar kolay olduğunun bir ölçüsü olan dağıtılabilirlik konusunda şifrelerden daha kötü sonuç verdi.

    Kullanım kolaylığına rağmen şifrelerin önemli dezavantajları var: Veri ihlallerinin %80’inden fazlası zayıf şifrelerden kaynaklanıyor. Siber güvenlik uzmanları çevrimiçi gizliliği sıkılaştırmanın yollarını bulmuş olsa da, çoğu zaman verileri güvende tutma sorumluluğu nihai olarak kullanıcıların kendisine ait ve insanlar da bu açıdan çok güvenilir sayılmaz. Çoğu insan kimlik bilgilerinin güvensiz olduğunu bilse de, sadece birkaç kişi bu konuda bir şey yapma zahmetine katlanıyor. Ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri, şifrelerin yarattığı sorunların üzerindeki yara bantlarından ibaret.

    Şifresiz bir dünya

    Şifreleri yok etme arayışı yeni değil. Bill Gates 2004 yılında geleneksel şifrelerin ölümünü öngörmüştü ve şifrelerin yerine geçecek birçok girişim oldu. Ancak hiçbiri bir alternatif bulamadı. FIDO Alliance’ın “geçiş anahtarları” olarak adlandırılan çözümü, güvenlik yükünü kullanıcıdan teknolojiye kaydırıyor. Passkeys ile her web sitesi için benzersiz şifreler kaydetme konusunda endişelenmenize ya da oturum açmak için güvenlik adımlarından oluşan bir labirentte gezinmenize gerek kalmıyor. FIDO’nun şifresiz dünyasında şifre siz oluyorsunuz. Herhangi bir yerde oturum açmak için tek yapmanız gereken yüzünüzü veya parmak izinizi taramak oluyor.

    Şifre yok hırsızlık yok

    Premium bir parola yöneticisi ve FIDO Alliance üyesi olan 1Password’ün baş ürün sorumlusu Steve Won “Parola mevcut değilse kelimenin tam anlamıyla bir parolayı çalamazsınız” şeklinde durumu özetliyor. Yani Behzat Ç. dizisinin bir sahnesinde geçen “Ceset yoksa cinayet de yok” sözü şifreler için de “Parola yoksa hırsızlık da yok” durumuna dönüşüyor.

    Eğer bu sistem başarılı olursa, geçiş anahtarları en acil çevrimiçi güvenlik endişelerinden bazılarını ortadan kaldırabilir. FIDO’nun son güncellemesinin ardından, geçtiğimiz yıl birçok büyük şirket cihazlarında ve web sitelerinde geçiş anahtarları için destek sunmaya başladı. Apple’dan Mastercard’a kadar pek çok platform sahibi de FIDO’ya destek veriyor.

    Geçiş anahtarları nasıl çalışıyor?

    Yeni şifresiz oturum açma özelliğini kullanmak için öncelikle dizüstü bilgisayarınızda, telefonunuzda, tabletinizde veya başka bir cihazda bir geçiş anahtarı ayarlamanız gerekiyor. Ekstra bir uygulama yüklemenize gerek yok. Apple, Microsoft ve Google artık varsayılan olarak geçiş anahtarı sistemleri sunuyor.

    Google hesaplarımdan biri için şifresiz oturum açmak istediğinizde, şifreyle kayıt sayfalarını ziyaret ediyorsunuz. Web sitesi veya uygulama yüzünüzü veya parmak izinizi tarıyor. Cihazınızda biyometrik tarayıcı yoksa, cihazın kilit ekranı, PIN kodunu veya şifresini girmenizi istiyor. (Bu adım, sizi doğrulamak için yüzünüzü veya parmak izinizi tarayamayan cihazlar için geçici bir çözüm – ancak amaç PIN gereksinimini ortadan kaldırmak). Site kimliğinizi doğruladıktan sonra benzersiz bir sanal anahtar çifti oluşturuyor. Bunlardan biri web sitesinin sunucusunda kalıyor. Diğeri ise özel ve cihazda kalıyor.

    iPhone’un ekran kilidini açmak kadar basit

    Bu hesaba bir sonraki girişinizde tek yapmanız gereken, giriş formundaki küçük bir anahtar simgesine dokunmak. Ardından site kimliğimi Face ID ile doğruluyor ve saniyeler içinde giriş yapmış oluyorsunuz. Uzun bir nümerik şifre girmek ya da iki faktörlü kimlik doğrulama gibi ekstra giriş adımlarıyla uğraşmak gerekmiyor. Perde arkasında, web sitesi veya uygulama daha önce cihazınıza kaydettiğiniz özel anahtarı okuyor ve yalnızca sunucusundaki anahtarla eşleşirse kapının kilidini açıyor. Kulağa karmaşık gelse de, her şey arka planda gerçekleşiyor ve anında oluyor. Hiçbir şeyi hatırlamanız veya yönetmeniz gerekmiyor. Bir iPhone’un kilidini açmak kadar basit bir işlem.

    Ayrıca şifrelerden çok daha güvenli ve özel. Biyometrik bilgileriniz ve parolalarınız cihazlarınızdan asla ayrılmadığından, oturum açma bilgilerinizin bir veri ihlalinde tehlikeye girme olasılığı çok düşük.

    Kitlelerin adapte olması gerekiyor

    Parolalarla ilgili en büyük sorun kaç sitenin bunları kabul ettiği. Yani bu sistemin oturması için yaygınlaşması şart. Şu anda parola desteği olan web siteleri ve uygulamaların listesi birkaç düzine şirketle sınırlı ve sık ziyaret ettiğim hizmetlerin çoğu bu desteğe sahip değil maalesef.

    Ancak geçiş anahtarı hareketi yayılıyor: Daha fazla şirket FIDO İttifakı’na katılıyor ve parolaları benimsiyor. Gelecek 12 ila 18 ay içinde ivmenin önemli ölçüde artacağını söylemek yanlış olmaz.

    Ekosistem sorunu

    Diğer büyük zorluk ise farklı cihaz türleri arasında bağlantı kurmak. Şu anda Apple veya Google ile bir geçiş anahtarı oluşturduğunuzda, bunu yalnızca kendi ekosistemleriyle senkronize ediyorlar. Tüm cihazlarınız tek bir şirkete aitse bu harika bir şey; Apple geçiş anahtarınız iPhone, iPad ve MacBook’ta çalışabilir. Ancak bir iPhone’unuz ve bir PC dizüstü bilgisayarınız varsa, geçiş anahtarınızı bu cihazlar arasında kolayca aktaramazsınız. Oturum açmak için, oturum açmak istediğiniz web sitesini ziyaret etmeniz, kullanıcı adınızı girmeniz ve ardından Bluetooth aracılığıyla geçiş anahtarınızı depolayan yakındaki bir aygıta bağlanmanız gerekiyor. Eğer yakınınızda ihtiyacınız olan geçiş anahtarına sahip bir cihaz yoksa, geleneksel şifrenizi kullanmak zorunda kalırsınız. Yani geçiş anahtarınızın kayıtlı olduğu telefonunuzu kaybettiyseniz, bilgisayarınızda geleneksel bir şifreyle hizmete giriş yapmanız gerekecek.

    Aile üyeleri ve dostlarla paylaşılan hesaplar

    Netflix dahil bazı platformlarda şifreleri arkadaşlarımızla, ailelerimizle paylaşırız ya da bir şekilde bu hesapları ortak kullanmayı tercih ederiz. İşte tam bu noktada yeni bir sorun ortaya çıkıyor. Birçok kullanıcı, hesaplarını arkadaşları ve aile üyeleriyle paylaştıklarını ve bunun da biyometrik bilgilere dayanan geçiş anahtarlarının kullanımını zorlaştırdığını söylüyor. Bu durum, halihazırda hesap paylaşımını engelleyen yayın platformları da dahil olmak üzere bazı işletmeler için faydalı olabilir, ancak paylaşılan bir hizmeti yasal olarak kullanmaya çalışan müşteriler için sorun teşkil ediyor. Şu anda, geçiş anahtarlarını destekleyen web siteleri aynı zamanda geleneksel bir giriş de sunuyor, böylece hesap erişimini örneğin başka bir ülkede olan biriyle paylaşmak istediğinizde, ona şifreyi mesajla gönderebiliyorsunuz. Ancak bir sitede yalnızca parola seçeneği olsaydı, diğer kişi Bluetooth menzilinizde olmadığı sürece hesabınızı kullanmasına izin vermeniz mümkün olmazdı.

    Teknoloji devleri parola paylaşımına karşı

    Bu tasarım gereği: Google gibi firmalar bir parola paylaşmanızı istemezler çünkü bu parolasız bir geleceğin tüm önermesini ortadan kaldırır ve bilgisayar korsanlarının hedeflerini olmadıkları biri gibi davranarak kandırdıkları yaygın bir saldırı türü olan kimlik avına karşı savunmasız bırakır.

    Elbette geçiş anahtarlarında hala güvenlik açıkları mevcut. Örneğin, yeni bir iPhone kurmak için hala Apple ID parolanıza ya da PIN kodunuza ihtiyacınız var. Son raporlar, suçluların sadece kilit ekranına bakarak PIN kodunu kolayca öğrenebiliyor ve bu bilgiyle suçlular bir kişinin dijital hayatını kolayca ele geçirebiliyor. Ölümcül olabilecek bir boşluk kesinlikle. Yani bu sistem güvenlik sorunlarını tamamen ortadan kaldırmıyor ancak bilgisayar korsanlığı girişimleri için çıtayı yükseltiyor, onları daha zor hale getiriyorlar.

    Sonuç olarak, sayısız güvenlik çemberinden geçmeden internette gezinebilmek ferahlatıcı. Karşılaştığımız kusurlar birinci nesil hatalardan başka bir şey değilmiş gibi geliyor. Şifreler bir gecede ortadan kalkmayacak, ancak FIDO Alliance’ın girişimleri şifresiz geleceğin anahtarı olacak gibi görünüyor.

    FIDO Alliance ile ilgili detaylı bilgiye bu sayfadan ulaşabilirsiniz.

    Haberler

    BUNLARI DA BEĞENEBİLİRSİN