Şifreyi silmenin zamanı geldi

Microsoft'a göre, şifreler bilgisayarların ortaya çıktığı ilk günlerden beri var olmuş ve kullanışlılıklarını yitirmişlerdir. Başka bir zahmetli iş, onları düzenli olarak ezberlemek veya hatırlanması zor olan karmaşık alfasayısal dizelere dönüştürmektir. Bu, güvenlik kararlarının en iyisi değildir.

Onlarca yıldır bilgisayar endüstrisi, cihazların güvenliğini sağlamaya odaklanmıştır.Şimdi bu modelin güncellenmesi gerekiyor. Bu günlerde cihazların güvenliğini sağlamak hayati önem taşıyor, ancak başka görevler olduğu için bu yeterli değil. Cihazı kullanan kişiler veya kullanıcılar hakkındaki bilgilerin güvenliğini sağlamanız gerekir.

Güvenlik açığını halkın bakış açısından anlamaya çalışmak

Birinin kasanın içinde bir yere gizlenmiş değerli mücevherleri olduğunu ve bunlara erişmek istediğini varsayalım. Sahibi onu almak için başkasını gönderiyor. Kasayı açmanın tek yolu, kilit açma kodunu sahibine açacak kişiye bildirmektir. Kod kağıda yazılır, zarfın içine konur, kapanır ve bu kişiye aktarılır. Bu adamın kasaya ulaşmak için tüm caddeden geçmesi gerekiyor. Yolda kod kaybolabilir veya çalınabilir. Ya da değerli eşyalara sahip olmakla emanet edilen, dolandırıcılık yapan ve mücevherlerle gizlenen bir kişi.

Böyle bir güvenlik sistemini kullanmak isteyen var mı? Hayır. Sorun, iletilen kodun ortak bir sır haline gelmesi olduğu için bu güvenli görünmüyor. Şifrelerle aynı sorun.

Bir banka hesabına veya e-postaya erişmek için siteye giriş yapmanız gerektiğinde, hesap sahibi olduğunu iddia eden kişi olduğunuzu bildirmek için sunucuya gönderilen şifreyi yazarsınız. Parola, banka hesabı, e–posta veya diğer hassas veriler arasında duran tek korumadır. Bu nedenle, bir bilgisayar korsanı şifreyi ele geçirmeyi başarırsa ya şifreyi çalmayı başarırsa ya da şifre zayıf olduğu için tahmin ederse, sisteme girebilir ve verilere erişebilir.

İstatistikler, çalınan veya zayıf şifrelerin tüm hacker saldırılarının% 80'inin nedeni olduğunu göstermektedir.

Şifreler önemli verilerinizin kapısıdır

Kaç tane kilit olursa olsun ve ne kadar ağır olursa olsun, bir kapı açık kalırsa, onları evin kapısına monte etmek işe yaramaz. Hırsızlık çok fazla hasara neden olabilir ve diğer kilitler işe yaramaz hale gelecektir. Günümüzde her birimizin sistemde birden fazla hesabı vardır, örneğin kuruluşumuzun veya işletmemizin portalı, banka hesapları, birden fazla e-posta hesabı, çeşitli sosyal medya hesapları ve daha fazlası. Zayıf bir parola tehlikeye girerse ve kişi tüm hesaplar için aynı şifreyi tekrarlarsa, bu diğer tüm güvenlik önlemlerini tehlikeye atacaktır.

Parola yöneticileri verilerinizi güvende tutmanıza yardımcı olur. Ancak, kimlik avı saldırılarından kaynaklanan parolaların çalınmasını engelleyemezler. Bununla birlikte, bu risk iki faktörlü kimlik doğrulaması (2FA) kullanılarak en aza indirilebilir. Özellikle son on yılda siber suçların sayısındaki artış, artan farkındalık seviyelerine yol açmıştır. Sonuç olarak, bu durum 2fa'nın 2017'de% 28'den 2019'da% 53'e yükselmesine neden oldu.

Bununla birlikte, 2FA hala karmaşık kimlik avı saldırılarına karşı dirençli değildir. Kullanıcılar zayıf şifreler kullanmaya devam ettikleri için sorunu daha da kötüleştiriyorlar. Bu davranışın temel nedeni rahatlıktır.

Sırlarını paylaşmayı nasıl durduracağız?

Parolalar gizliyse ve bunu yapmak için tasarlanmışsa, en iyi yol bunları paylaşmayı bırakmaktır. Ancak şifreyi başka bir kişiye aktarmanın bir risk olduğunu düşünüyorsak, sorun şu ki şifrelerimizi girdiğimiz web uygulamasına aktardığımızın farkında değiliz ve başka seçeneğimiz yok. Riski biliyoruz ama yine de devam ediyoruz, aksi takdirde başka ameliyatlar yapamayız.

Web tabanlı kimlik doğrulama çözümü

Web Kimlik doğrulaması, parola ihtiyacını ortadan kaldırır. Bir anahtar çiftinden oluşan asimetrik şifreleme kullanır: özel ve genel. Bir şeyi şifrelemek için kullanılan genel anahtar, yalnızca uygun özel anahtarla deşifre edilebilir.

Örneğin, birisine gizli bir mesaj göndermek istiyorsanız. Mesaj anahtar kutuda saklanır ve kilitlenir. Ancak gönderen onu açamaz. İletiyi depolayan kutu genel anahtardır ve kutuyu açabilen anahtar özel anahtardır. Ortak anahtarın kopyaları herkese serbestçe dağıtılabilir. Bu durumda kutu sadece kilitlenecek ve hedeflenen gönderene gönderilen gizli mesaj uygun özel anahtar olmadan açıklanmayacaktır. Böylece özel anahtar bir sır olarak kalır. Kimseye bulaşmaz. Bu mekanizma Webauthn'un kalbinde yer almaktadır.

Webauthn nasıl çalışır?

Webauthn, USB Security Key, Windows Hello veya Apple TouchID gibi donanım aygıtlarını kullanarak siteye giriş yapmanızı sağlar. Bu cihazlar kimlik doğrulayıcılar olarak bilinir ve özel anahtar ve genel anahtarı içeren kimlik bilgileri olarak bilinen yeni bir anahtar çifti depolarlar. Bu kimlik bilgileri siteye kaydolmanıza yardımcı olur. Kayıt olduktan sonra, kullanıcının siteye giriş yapması için kimlik bilgileri doğrulayıcı tarafından alınır.

Sunucuya şifre göndermek yerine, sunucu rastgele bir dize gönderir. Bu kullanıcıya bir meydan okumadır. Kullanıcı bu çağrıyı kendi özel anahtarıyla imzalar ve bunun sonucunda bir karma elde edilir. Kullanıcı bu karmayı ilgili ortak anahtarla sunucuya geri gönderir. Sunucu, kullanıcının ilgili özel anahtara sahip olduğunu kanıtlayarak bu karmayı ortak anahtarla doğrular ve böylece kimlik doğrulaması başarılı olur.

Bu süreçte sır yok. Genel anahtarları depolayan veritabanı artık bilgisayar korsanları için anlamlı değildir.

Sonuç

Web kimlik doğrulaması, güvenilir ve güvenli bir kimlik doğrulama mekanizmasıdır. Parola kullanımını ortadan kaldırır ve kullanıcıları bunları hatırlama ihtiyacından kurtarır.