Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri

Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri

Büyük şirketler, çevrimiçi hesaplarda oturum açmanın daha güvenli bir yolu olarak geçiş anahtarlarını kullanmaya başladı ”

Bazı küçük işletmeler şifre kullanımını zorunlu kılsa da şirketlerin bu teknolojiyi müşterilerine kimlik doğrulama seçeneği olarak sunması daha olasıdır

Apple ve Microsoft, donanım ve yazılımlarına geçiş anahtarları için destek ekledi; iOS, Mac OS ve Windows 11’in tümü bu teknolojiyi destekliyor

Kimlik ve parola yönetimi firması 1Password’ün baş ürün sorumlusu Steve Won, şirketler için geçiş anahtarlarının kimlik yönetimini iyileştirme ve kimlik doğrulamayı iyileştirme maliyetlerinin bir kısmını ortadan kaldırabileceğini söylüyor Hizmetlerden birinde tekrar oturum açan kullanıcıya yeni bir anahtar seti verilerek bu durum kurtarılabilir Şirket, 10 Ekim’de kullanıcılara şunları yapma olanağı sunmaya başladı: geçiş anahtarlarını varsayılan seçenek yap kişisel hesapları arasında geçiş yaparak oturum açtıklarında geçiş yapmalarını ister

Won, “Kurumların benimsenmesinin önümüzdeki on yıl içinde tamamen savunulabilir olacağı konusunda gerçekten iyimserim” diyor En büyük kimlik sağlayıcıları arasında birlikte çalışabilirliği amaçlayan spesifikasyon, bir kullanıcının cihazının, özel ve genel anahtarları kullanarak kullanıcının bir hizmette oturum açmasını sağlayarak kimliğini doğrulamasına olanak tanır WebAuthn, tüketiciler için önemli ölçüde karmaşıklık yaratan birçok uygulamaya yol açarken, geçiş anahtarları Apple, Google ve Microsoft dahil büyük İnternet firmaları tarafından destekleniyor ve bu da tüketiciler için geçiş anahtarlarının kullanımını önemli ölçüde kolaylaştırıyor “Aslında bir geçiş anahtarı cihazımdaki bir bölgeye sabitlenmiş durumda; yani eğer o cihazı okyanusa atarsam (bir nedene bile ihtiyacım yok) ve yeni bir cihaz satın alırsam, nasıl tekrar oturum açabilirim? B2C için büyük bir engel olarak görülüyordu [business to consumer] topluluk” diyor ”

Kimlik Avının Sonu mu?

Doğru şekilde uygulanan geçiş anahtarları, çalınacak parolalar olmadığından, kimlik bilgilerini toplamayı amaçlayan kimlik avı saldırılarını ortadan kaldırabilir

Forrester Research’ün başkan yardımcısı ve baş analisti Andras Cser, kimlik avına karşı direnç ve paylaşılan sırların ortadan kaldırılması vaadine rağmen işletmelerin geçiş anahtarlarını taahhüt etme konusunda hala tereddütlü olduğunu söylüyor “Servis sağlayıcıları – [such as] perakendeciler, sağlık kuruluşları, [and financial services] şirketler, cihazın doğrulanması ve kimlik doğrulamasını yapan kişinin varlığı konusunda endişe duyuyor Haziran ayında Google, şirketlerin Workspace kullanıcılarını şifre kullanmak yerine şifre anahtarlarına geçirmelerine izin vermeye başladı “Klasik PKI sistemleri bunların hiçbirini sizin için yapmaz, hem de çok büyük bir idari yük olmadan ”



siber-1

Beyond Identity’den Casey, önemli bir anlaşmazlık noktasının, bir cihaz kaybolduğunda anahtarların kurtarılması meselesi olduğunu söylüyor

“Piyasada hala sıfır ila minimum düzeyde benimsenme görüyoruz” diyor Casey, şirketler için geçiş anahtarlarının, dört gereksinim karşılandığı sürece çevrimiçi kaynaklarla etkileşim kurmanın bir yolu olarak standartlaştırılmış bir PKI sağlama vaadi taşıdığını söylüyor

FIDO (Fast Identity Online) Alliance’ın WebAuthn standardını temel alan parolasız kimlik doğrulama yaklaşımı, geliştiricilerin bulut hizmetlerinde ve Web uygulamalarında oturum açmak için kullanıcı cihazının (FaceID ve parmak izi sensörleri gibi) kimlik doğrulama teknolojisinden yararlanmasına olanak tanır oturum açma sağlayıcısı “Vay be, gibi pek çok işletmeyle konuştum, [passkeys are] temelde kullanılabilir sertifikalar veya … kullanılabilir Yubikey’ler Bunun yerine, geçiş anahtarları muhtemelen mevcut ortak anahtar altyapılarında (PKI) veya kimlik bilgilerine dayalı sistemlerde isteğe bağlı bir faktör haline gelecektir Sistem (1) tuşların hareket edemeyeceğini; (2) kayıp cihazların kurtarılması sorununu çözer; (3) her türlü cihazda, tarayıcıda ve çevrimiçi hizmette çalışır; ve (4) şirketlere cihazlar için merkezi politika yönetimi sağlar ”

Hassard, örneğin Okta’nın kimlik yönetimine, erişim ayrıcalıklarına ve kullanıcının cihazının uygun güvenlik kontrollerine sahip olmasını ve güvenlik ihlali belirtileri göstermemesini sağlamaya odaklandığını söylüyor “Çünkü istemci cihaz tamamen sahiplenilinceye kadar bu teknolojinin büyük bir kısmı harika ve bu iyi bir şey değil

Başka bir Sıfır Güven Olasılığı

Geçiş anahtarı sağlayıcıları ve kimlik ve erişim yönetimi (IAM) şirketleri, geçiş anahtarlarının kurumsal kullanım sorunlarını çözebilirse, iş hayatında büyük ilerleme kaydedebilirler “Geçiş anahtarlarıyla ilgili gerçekten harika olan şey, bir tarayıcı veya kullanıcı aracısı ile kimlik bilgilerini ve anahtarları yöneten gerçek bir kimlik doğrulayıcı arasında iyi tanımlanmış bir arayüz olduğu fikridir

Beyond Identity’nin CEO’su Jasson Casey, bulut tabanlı küçük işletmeleri de kapsayacak şekilde genişleyebilecek bu kullanılabilirliğin, büyük şirketlerde geçiş anahtarları için gerekli olan kontrol ve tasdik işlemlerine izin vermediğini söylüyor Bunların hepsi güvenliğe sıfır güven yaklaşımının temelidir

Casey, “Gerçekten bunun, işletmelerin eninde sonunda ihtiyaç duyduğu geçiş anahtarları ve PKI’dan oluşan bir aşk çocuğu olacağını düşünüyorum” diyor

“Müşteri kimliğinin güvenlik ve sürtüşmeyi dengelemeye odaklandığına bakarsanız, çünkü çok fazla sürtüşme yaşarsanız insanlar ürünlerinizi satın almazlar” diyor

Apple, Google ve Microsoft, anahtarları hizmetlerine bağlayarak bu sorunu çözüyor Okta Ürün Yönetimi Kıdemli Direktörü Ian Hassard, tüketicilerin kullanımı kolay hizmetlere ihtiyaç duymasına rağmen, şirketlerin çalışanlarının belirli bir teknolojiyi kullanmasını zorunlu kılabileceğini, bu teknolojinin bir öğrenme eğrisi olsa veya günlük iş akışlarına bazı adımlar eklese bile, diyor Sertifikalar başa çıkılması zor bir kabus ve Yubikey açısından kimse donanım yönetimi işinde yer almak istemiyor

“Etkili bir geçiş anahtarı sisteminin altında, benzer güvenlik garantileri sağlayan, ancak hizmeti aktif olarak yönetmenizi gerektirmeyen dağıtılmış, otomatikleştirilmiş bir PKI sistemi bulunur… cihazın yönetilmesine veya BYOD cihazlarına bakılmaksızın



Geçiş anahtarlarına yönelik artan destek, tüketicilerin ve küçük işletmelerin sonunda web sitelerine ve bulut uygulamalarına parolasız erişim için kullanımı kolay bir teknolojiye sahip oldukları anlamına geliyor; ancak işletmeler muhtemelen bir süre daha bu teknolojinin kullanılabilir bir biçimini göremeyecekler “Fakat iş gücü kimliğinde, iş gücünüzü yönetiyorsanız, daha yüksek düzeyde güvence ve güvenlik sağlamak için daha fazla sürtüşme uygulayabileceğiniz anlamında biraz daha tutsak bir izleyici kitlesine sahip olursunuz ” Casey diyor

“Cihazın güvenliğinin ihlal edilmediğine dair güvence istiyorsunuz” diyor ”

Şirketlerin Geçiş Anahtarlarından Daha Fazlasına İhtiyacı Var

İşletmelerin karşılaştığı sorunlar farklıdır