Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri

Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri
“Fakat iş gücü kimliğinde, iş gücünüzü yönetiyorsanız, daha yüksek düzeyde güvence ve güvenlik sağlamak için daha fazla sürtüşme uygulayabileceğiniz anlamında biraz daha tutsak bir izleyici kitlesine sahip olursunuz ”



siber-1

Sistem (1) tuşların hareket edemeyeceğini; (2) kayıp cihazların kurtarılması sorununu çözer; (3) her türlü cihazda, tarayıcıda ve çevrimiçi hizmette çalışır; ve (4) şirketlere cihazlar için merkezi politika yönetimi sağlar

FIDO (Fast Identity Online) Alliance’ın WebAuthn standardını temel alan parolasız kimlik doğrulama yaklaşımı, geliştiricilerin bulut hizmetlerinde ve Web uygulamalarında oturum açmak için kullanıcı cihazının (FaceID ve parmak izi sensörleri gibi) kimlik doğrulama teknolojisinden yararlanmasına olanak tanır

“Müşteri kimliğinin güvenlik ve sürtüşmeyi dengelemeye odaklandığına bakarsanız, çünkü çok fazla sürtüşme yaşarsanız insanlar ürünlerinizi satın almazlar” diyor ”

Hassard, örneğin Okta’nın kimlik yönetimine, erişim ayrıcalıklarına ve kullanıcının cihazının uygun güvenlik kontrollerine sahip olmasını ve güvenlik ihlali belirtileri göstermemesini sağlamaya odaklandığını söylüyor En büyük kimlik sağlayıcıları arasında birlikte çalışabilirliği amaçlayan spesifikasyon, bir kullanıcının cihazının, özel ve genel anahtarları kullanarak kullanıcının bir hizmette oturum açmasını sağlayarak kimliğini doğrulamasına olanak tanır oturum açma sağlayıcısı Sertifikalar başa çıkılması zor bir kabus ve Yubikey açısından kimse donanım yönetimi işinde yer almak istemiyor ” Casey diyor “Geçiş anahtarlarıyla ilgili gerçekten harika olan şey, bir tarayıcı veya kullanıcı aracısı ile kimlik bilgilerini ve anahtarları yöneten gerçek bir kimlik doğrulayıcı arasında iyi tanımlanmış bir arayüz olduğu fikridir

Apple ve Microsoft, donanım ve yazılımlarına geçiş anahtarları için destek ekledi; iOS, Mac OS ve Windows 11’in tümü bu teknolojiyi destekliyor Bunun yerine, geçiş anahtarları muhtemelen mevcut ortak anahtar altyapılarında (PKI) veya kimlik bilgilerine dayalı sistemlerde isteğe bağlı bir faktör haline gelecektir

Kimlik ve parola yönetimi firması 1Password’ün baş ürün sorumlusu Steve Won, şirketler için geçiş anahtarlarının kimlik yönetimini iyileştirme ve kimlik doğrulamayı iyileştirme maliyetlerinin bir kısmını ortadan kaldırabileceğini söylüyor “Servis sağlayıcıları – [such as] perakendeciler, sağlık kuruluşları, [and financial services] şirketler, cihazın doğrulanması ve kimlik doğrulamasını yapan kişinin varlığı konusunda endişe duyuyor

Başka bir Sıfır Güven Olasılığı

Geçiş anahtarı sağlayıcıları ve kimlik ve erişim yönetimi (IAM) şirketleri, geçiş anahtarlarının kurumsal kullanım sorunlarını çözebilirse, iş hayatında büyük ilerleme kaydedebilirler

Won, “Kurumların benimsenmesinin önümüzdeki on yıl içinde tamamen savunulabilir olacağı konusunda gerçekten iyimserim” diyor “Vay be, gibi pek çok işletmeyle konuştum, [passkeys are] temelde kullanılabilir sertifikalar veya … kullanılabilir Yubikey’ler

“Piyasada hala sıfır ila minimum düzeyde benimsenme görüyoruz” diyor Okta Ürün Yönetimi Kıdemli Direktörü Ian Hassard, tüketicilerin kullanımı kolay hizmetlere ihtiyaç duymasına rağmen, şirketlerin çalışanlarının belirli bir teknolojiyi kullanmasını zorunlu kılabileceğini, bu teknolojinin bir öğrenme eğrisi olsa veya günlük iş akışlarına bazı adımlar eklese bile, diyor

“Cihazın güvenliğinin ihlal edilmediğine dair güvence istiyorsunuz” diyor Casey, şirketler için geçiş anahtarlarının, dört gereksinim karşılandığı sürece çevrimiçi kaynaklarla etkileşim kurmanın bir yolu olarak standartlaştırılmış bir PKI sağlama vaadi taşıdığını söylüyor ”

Şirketlerin Geçiş Anahtarlarından Daha Fazlasına İhtiyacı Var

İşletmelerin karşılaştığı sorunlar farklıdır “Çünkü istemci cihaz tamamen sahiplenilinceye kadar bu teknolojinin büyük bir kısmı harika ve bu iyi bir şey değil ”

Kimlik Avının Sonu mu?

Doğru şekilde uygulanan geçiş anahtarları, çalınacak parolalar olmadığından, kimlik bilgilerini toplamayı amaçlayan kimlik avı saldırılarını ortadan kaldırabilir



Geçiş anahtarlarına yönelik artan destek, tüketicilerin ve küçük işletmelerin sonunda web sitelerine ve bulut uygulamalarına parolasız erişim için kullanımı kolay bir teknolojiye sahip oldukları anlamına geliyor; ancak işletmeler muhtemelen bir süre daha bu teknolojinin kullanılabilir bir biçimini göremeyecekler

“Etkili bir geçiş anahtarı sisteminin altında, benzer güvenlik garantileri sağlayan, ancak hizmeti aktif olarak yönetmenizi gerektirmeyen dağıtılmış, otomatikleştirilmiş bir PKI sistemi bulunur… cihazın yönetilmesine veya BYOD cihazlarına bakılmaksızın “Aslında bir geçiş anahtarı cihazımdaki bir bölgeye sabitlenmiş durumda; yani eğer o cihazı okyanusa atarsam (bir nedene bile ihtiyacım yok) ve yeni bir cihaz satın alırsam, nasıl tekrar oturum açabilirim? B2C için büyük bir engel olarak görülüyordu [business to consumer] topluluk” diyor Bunların hepsi güvenliğe sıfır güven yaklaşımının temelidir WebAuthn, tüketiciler için önemli ölçüde karmaşıklık yaratan birçok uygulamaya yol açarken, geçiş anahtarları Apple, Google ve Microsoft dahil büyük İnternet firmaları tarafından destekleniyor ve bu da tüketiciler için geçiş anahtarlarının kullanımını önemli ölçüde kolaylaştırıyor

Casey, “Gerçekten bunun, işletmelerin eninde sonunda ihtiyaç duyduğu geçiş anahtarları ve PKI’dan oluşan bir aşk çocuğu olacağını düşünüyorum” diyor

Apple, Google ve Microsoft, anahtarları hizmetlerine bağlayarak bu sorunu çözüyor ”

Bazı küçük işletmeler şifre kullanımını zorunlu kılsa da şirketlerin bu teknolojiyi müşterilerine kimlik doğrulama seçeneği olarak sunması daha olasıdır Haziran ayında Google, şirketlerin Workspace kullanıcılarını şifre kullanmak yerine şifre anahtarlarına geçirmelerine izin vermeye başladı “Klasik PKI sistemleri bunların hiçbirini sizin için yapmaz, hem de çok büyük bir idari yük olmadan ”

Büyük şirketler, çevrimiçi hesaplarda oturum açmanın daha güvenli bir yolu olarak geçiş anahtarlarını kullanmaya başladı Hizmetlerden birinde tekrar oturum açan kullanıcıya yeni bir anahtar seti verilerek bu durum kurtarılabilir

Beyond Identity’den Casey, önemli bir anlaşmazlık noktasının, bir cihaz kaybolduğunda anahtarların kurtarılması meselesi olduğunu söylüyor Şirket, 10 Ekim’de kullanıcılara şunları yapma olanağı sunmaya başladı: geçiş anahtarlarını varsayılan seçenek yap kişisel hesapları arasında geçiş yaparak oturum açtıklarında geçiş yapmalarını ister

Forrester Research’ün başkan yardımcısı ve baş analisti Andras Cser, kimlik avına karşı direnç ve paylaşılan sırların ortadan kaldırılması vaadine rağmen işletmelerin geçiş anahtarlarını taahhüt etme konusunda hala tereddütlü olduğunu söylüyor

Beyond Identity’nin CEO’su Jasson Casey, bulut tabanlı küçük işletmeleri de kapsayacak şekilde genişleyebilecek bu kullanılabilirliğin, büyük şirketlerde geçiş anahtarları için gerekli olan kontrol ve tasdik işlemlerine izin vermediğini söylüyor