Güvenlik Uzmanları, Çok Faktörlü Kimlik Doğrulamanın (MFA) Tek Başına Yetersiz Olduğunu Söylüyor
Bir süredir, çok faktörlü kimlik doğrulama (MFA) – itme bildirimleri, doğrulayıcı uygulamalar veya diğer ikincil adımlar şeklinde – giderek artan siber güvenlik sorununa cevap olarak kabul ediliyordu.
Fakat hackerlar kurnaz ve hünerli olduğu için sürekli olarak MFA şemalarını geçmek için yeni yollar buluyorlar.
Bugünün kurumları daha güçlü savunmalara ihtiyaç duyuyorlar – uzmanlar MFA’nın hala önemli olduğunu söyleseler de, kimlik doğrulama sürecinin sadece küçük bir parçası olması gerektiğini vurguluyorlar.
MFA Neden Yetersiz?
Önceden denenmiş ve doğrulanmış şifrelerin artık eski moda olduğu görülüyor. Ne kadar sayı, harf, özel karakter veya numara içerirlerse içersinler, kullanıcılar dikkatsiz, tembel, saf veya fazla güvenici oldukları için çalınmaları çok kolay hale geldi.
ÇTM Insights’in kurucusu ve yönetici ortağı Lou Steinberg, “Geleneksel şifreler sadece paylaşılan sırlardır, binlerce yıl önce bir Roma bekçisinin sırrı sorduğu gibi pek ileri olmayan” dedi.
MFA, 1990’larda ve 2000’lerde daha fazla kurumun çevrimiçi olmaya başlamasıyla daha popüler hale geldi ve geleneksel şifrelere bir çözüm gibi görünüyordu. Ancak dijital dönüşüm, buluta geçiş ve onlarca hatta yüzlerce SaaS uygulamasının benimsenmesiyle kurumlar daha savunmasız hale geldi. Artık güvenlik duvarlarının ve veri merkezlerinin arkasında güvenle saklanamıyorlar. Kontrol ve şeffaflık eksikliği yaşıyorlar.
Cisco’nun kimlik güvenliği ürünleri başkan yardımcısı Matt Caulfield, “Bunlar çalındığında, oyun biter” diyerek VentureBeat’e konuştu.
Şifresiz Geleceğe Doğru
MFA’nın zayıflıkları, birçok kurumun parmak izi, cihaz parmak izi, coğrafi konum veya biyometrikler gibi şifresiz yöntemleri benimsemesine neden oldu.
YubiKey cihazını üreten Yubico’nun standartlar ve ittifaklar başkan yardımcısı Derek Hanson, “Kullanıcılar, bilgisayarlarında veya cihazlarında saklanan şifreleme güvenliği ‘anahtarları’ aracılığıyla kimlik doğruluyorlar” diye açıkladı.
Bitwarden’in şifresiz direktörü Anders Aberg, “Cihaz parmak izi veya coğrafi konum gibi yaklaşımlar geleneksel MFA’yi tamamlayabilir” açıklamasını yaptı.
Caulfield ise, “Cihaz güveni parçası, yeni gelişmiş MFA’yi engellemek için yeni gümüş kurşun olarak daha yaygındır. İkinci dalga MFA olarak adlandırıyorum” dedi.
Analitik Kullanımı ve Güvenlik Stratejileri Oluşturma
Kuruluşların analitik araçları entegre ettiklerini ancak bu verileri siber güvenliklerini güçlendirmek için kullanmadıklarını belirtti Caulfield.
Ameesh Divatia, “Kuruluşların kesinlikle bir yedek stratejiye sahip olmaları gerekiyor” dedi. “Kişisel kimlik bilgileri ve diğer gizli verilerin kriptografik olarak korunması gerektiğini” vurguladı.
‘Çok Faktörlü’nün Anlamı
Dickson, “MFA hiyerarşisinin tamamında, zayıf MFA hiç MFA olmamaktan iyidir” dedi.
Caulfield ise, “MFA’nın neden ‘çok faktörlü’ olarak adlandırıldığını, ‘çok’ kelimesinin her şey olabileceğini” belirtti.
“MFA’nın temel, olgun veya optimize edilmiş olup olmadığı”nı belirlemek gerektiğini vurguladı ve “Hiçbir zaman tamamen güvenli bir tek faktör olmayacak” dedi.
