Pazartesi, Mayıs 16, 2022
spot_img
Ana SayfaTeknoloji HaberleriApple, Google ve Microsoft, şifreleri ve kimlik avını tek seferde nasıl öldürecek?

Apple, Google ve Microsoft, şifreleri ve kimlik avını tek seferde nasıl öldürecek?

Getty Resimleri

On yıldan fazla bir süredir bize parolaların olmadığı bir dünyanın çok yakın olduğu sözü verildi ve yine de her yıl bu güvenlik nirvanasının ulaşılamaz olduğunu kanıtladı. Şimdi, ilk kez, Apple, Google ve Microsoft tarafından benimsenen ve platformlar arası ve hizmetler arası geçiş anahtarlarına izin veren bir standart biçiminde, uygulanabilir bir parolasız kimlik doğrulama biçimi kitlelere sunulmak üzere.

Geçmişte zorlanan parola öldürme planları bir dizi sorundan muzdaripti. Önemli bir eksiklik, birisi telefon numaralarının veya fiziksel jetonların ve bir hesaba bağlı telefonların kontrolünü kaybettiğinde geçerli bir kurtarma mekanizmasının olmamasıydı. Diğer bir sınırlama, çoğu çözümün nihayetinde gerçekten şifresiz olamamasıdır. Bunun yerine, kullanıcılara yüz taraması veya parmak izi ile oturum açma seçenekleri verdiler, ancak bu sistemler nihayetinde bir parolaya düştü ve bu, kimlik avı, parola yeniden kullanımı ve unutulan parolaların – başlangıçta parolalardan nefret etmemizin tüm nedenleri – olmadığı anlamına geliyordu. gitme.

Yeni bir yaklaşım

Bu sefer farklı olan şey, Apple, Google ve Microsoft’un hepsinin aynı iyi tanımlanmış çözümle birlikte olduğu görülüyor. Sadece bu da değil, çözüm kullanıcılar için her zamankinden daha kolay ve Github ve Facebook gibi büyük hizmetlerin kullanıma sunulması daha az maliyetli. Ayrıca, kimlik doğrulama ve güvenlik uzmanları tarafından titizlikle tasarlanmış ve hakemlerce gözden geçirilmiştir.

Parolasız kimlik doğrulamanın nasıl görüneceğine dair bir maket.
büyüt / Parolasız kimlik doğrulamanın nasıl görüneceğine dair bir maket.

FIDO İttifakı

Mevcut çok faktörlü kimlik doğrulama (MFA) yöntemleri, son beş yılda önemli adımlar attı. Örneğin Google, yeni bir cihazdan Google hesabıma giriş yaparken ikinci faktör olarak kullandığım bir iOS veya Android uygulamasını indirmeme izin veriyor. İstemciden kimlik doğrulama protokolünün kısaltması olan CTAP’ye dayanan bu sistem, telefonun yeni cihaza yakın olduğundan ve yeni cihazın aslında Google’a bağlı olduğundan ve Google gibi görünen bir site olmadığından emin olmak için Bluetooth kullanır. Bu, kimlik avı yapılamaz olduğu anlamına gelir. Standart, telefonda saklanan kriptografik sırrın çıkarılamamasını sağlar.

Google ayrıca, yeni cihazlardan girişlerin kimliğini doğrulamak için bağımsız dongle’lar veya son kullanıcı telefonları biçiminde fiziksel anahtarlar gerektiren bir Gelişmiş Koruma Programı sağlar.

Şu anda en büyük sınırlama, MFA ve parolasız kimlik doğrulamanın her bir hizmet sağlayıcı tarafından farklı şekilde sunulmasıdır. Çoğu banka ve finansal hizmet gibi bazı sağlayıcılar yine de SMS veya e-posta yoluyla tek seferlik şifreler gönderir. Bunların, güvenliğe duyarlı sırları taşımak için güvenli araçlar olmadığını kabul ederek, birçok hizmet, etkin bir şekilde arttıran ikinci bir faktörün eklenmesine izin vermek için TOTP olarak bilinen bir yönteme (zaman tabanlı tek seferlik parolanın kısaltması) geçti. “Sahip olduğum bir şey” faktörü ile şifre.

Fiziksel güvenlik anahtarları, TOTP’ler ve daha az bir ölçüde SMS ve e-posta yoluyla iki faktörlü kimlik doğrulama ileriye doğru atılan önemli bir adımı temsil eder, ancak üç önemli sınırlama vardır. İlk olarak, kimlik doğrulama uygulamaları aracılığıyla oluşturulan ve metin veya e-posta ile gönderilen TOTP’ler, normal şifrelerle aynı şekilde kimlik avı için kullanılabilir. İkincisi, her hizmetin kendi kapalı MFA platformu vardır. Bu, bağımsız fiziksel anahtarlar veya telefon tabanlı anahtarlar gibi kimlik avı yapılamaz MFA biçimlerini kullanırken bile, kullanıcının Google, Microsoft ve diğer tüm İnternet mülkleri için ayrı bir anahtara ihtiyacı olduğu anlamına gelir. Daha da kötüsü, her işletim sistemi platformunun MFA’yı uygulamak için farklı mekanizmaları vardır.

Bu sorunlar yerini üçüncü bir soruna bırakıyor: çoğu son kullanıcı için katıksız kullanılamazlık ve MFA sunmaya çalışırken her hizmetin karşılaştığı önemsiz maliyet ve karmaşıklık.

RELATED ARTICLES

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Popüler Konular