Getty Resimleri
On yıldan fazla bir süredir bize parolaların olmadığı bir dünyanın çok yakın olduğu sözü verildi ve yine de her yıl bu güvenlik nirvanasının ulaşılamaz olduğunu kanıtladı. Şimdi, ilk kez, Apple, Google ve Microsoft tarafından benimsenen ve platformlar arası ve hizmetler arası geçiş anahtarlarına izin veren bir standart biçiminde, uygulanabilir bir parolasız kimlik doğrulama biçimi kitlelere sunulmak üzere.
Geçmişte zorlanan parola öldürme planları bir dizi sorundan muzdaripti. Önemli bir eksiklik, birisi telefon numaralarının veya fiziksel jetonların ve bir hesaba bağlı telefonların kontrolünü kaybettiğinde geçerli bir kurtarma mekanizmasının olmamasıydı. Diğer bir sınırlama, çoğu çözümün nihayetinde gerçekten şifresiz olamamasıdır. Bunun yerine, kullanıcılara yüz taraması veya parmak izi ile oturum açma seçenekleri verdiler, ancak bu sistemler nihayetinde bir parolaya geri döndü ve bu, kimlik avı, parola yeniden kullanımı ve unutulan parolaların – başlangıçta parolalardan nefret etmemizin tüm nedenleri – olmadığı anlamına geliyordu. gitme.
Yeni bir yaklaşım
Bu sefer farklı olan şey, Apple, Google ve Microsoft’un hepsinin aynı iyi tanımlanmış çözümle birlikte olduğu görülüyor. Sadece bu da değil, çözüm kullanıcılar için her zamankinden daha kolay ve Github ve Facebook gibi büyük hizmetlerin kullanıma sunulması daha az maliyetli. Ayrıca, kimlik doğrulama ve güvenlik uzmanları tarafından titizlikle tasarlanmış ve hakemlerce gözden geçirilmiştir.
FIDO İttifakı
Mevcut çok faktörlü kimlik doğrulama (MFA) yöntemleri, son beş yılda önemli adımlar attı. Örneğin Google, yeni bir cihazdan Google hesabıma giriş yaparken ikinci faktör olarak kullandığım bir iOS veya Android uygulamasını indirmeme izin veriyor. CTAP’ye dayalı – kısaltması istemciden kimlik doğrulama protokolüne—Bu sistem, telefonun yeni cihaza yakın olduğundan ve yeni cihazın aslında Google’a bağlı bir site olduğundan ve Google gibi görünmediğinden emin olmak için Bluetooth kullanır. Bu, kimlik avı yapılamaz olduğu anlamına gelir. Standart, telefonda saklanan kriptografik sırrın çıkarılamamasını sağlar.
Google ayrıca bir Gelişmiş Koruma Programı Bu, yeni cihazlardan girişlerin kimliğini doğrulamak için bağımsız dongle’lar veya son kullanıcı telefonları biçiminde fiziksel anahtarlar gerektirir.
Şu anda en büyük sınırlama, MFA ve şifresiz kimlik doğrulamanın her servis sağlayıcı tarafından farklı şekilde – eğer varsa – sunulmasıdır. Çoğu banka ve finansal hizmet gibi bazı sağlayıcılar yine de SMS veya e-posta yoluyla tek seferlik şifreler gönderir. Bunların güvenliğe duyarlı sırları taşımak için güvenli araçlar olmadığını kabul eden birçok hizmet, TOTP olarak bilinen bir yönteme geçti. zamana dayalı tek kullanımlık şifre—Parolayı “sahip olduğum bir şey” faktörüyle etkin bir şekilde artıran ikinci bir faktörün eklenmesine izin vermek için.
Fiziksel güvenlik anahtarları, TOTP’ler ve daha az bir ölçüde SMS ve e-posta yoluyla iki faktörlü kimlik doğrulama ileriye doğru atılan önemli bir adımı temsil eder, ancak üç önemli sınırlama vardır. İlk olarak, kimlik doğrulama uygulamaları aracılığıyla oluşturulan ve metin veya e-posta ile gönderilen TOTP’ler kimlik avı yapılabilir, normal şifreler gibi. İkincisi, her hizmetin kendi kapalı MFA platformu vardır. Bu, bağımsız fiziksel anahtarlar veya telefon tabanlı anahtarlar gibi kimlik avı yapılamaz MFA biçimlerini kullanırken bile, kullanıcının Google, Microsoft ve diğer tüm İnternet mülkleri için ayrı bir anahtara ihtiyacı olduğu anlamına gelir. Daha da kötüsü, her işletim sistemi platformunun MFA’yı uygulamak için farklı mekanizmaları vardır.
Bu sorunlar yerini üçüncü bir soruna bırakıyor: çoğu son kullanıcı için olağandışılık ve MFA sunmaya çalışırken her hizmetin karşılaştığı önemsiz maliyet ve karmaşıklık.
