Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri

Geçiş Anahtarları Harikadır, Ancak Kurumsal Kullanıma Hazır Değildir - Dünyadan Güncel Teknoloji Haberleri

Şirketlerin Geçiş Anahtarlarından Daha Fazlasına İhtiyacı Var

İşletmelerin karşılaştığı sorunlar farklıdır “Vay be, gibi pek çok işletmeyle konuştum, [passkeys are] temelde kullanılabilir sertifikalar veya … kullanılabilir Yubikey’ler

Won, “Kurumların benimsenmesinin önümüzdeki on yıl içinde tamamen savunulabilir olacağı konusunda gerçekten iyimserim” diyor

Beyond Identity’den Casey, önemli bir anlaşmazlık noktasının, bir cihaz kaybolduğunda anahtarların kurtarılması meselesi olduğunu söylüyor ”

Hassard, örneğin Okta’nın kimlik yönetimine, erişim ayrıcalıklarına ve kullanıcının cihazının uygun güvenlik kontrollerine sahip olmasını ve güvenlik ihlali belirtileri göstermemesini sağlamaya odaklandığını söylüyor ”

Büyük şirketler, çevrimiçi hesaplarda oturum açmanın daha güvenli bir yolu olarak geçiş anahtarlarını kullanmaya başladı ”



siber-1

“Müşteri kimliğinin güvenlik ve sürtüşmeyi dengelemeye odaklandığına bakarsanız, çünkü çok fazla sürtüşme yaşarsanız insanlar ürünlerinizi satın almazlar” diyor Sistem (1) tuşların hareket edemeyeceğini; (2) kayıp cihazların kurtarılması sorununu çözer; (3) her türlü cihazda, tarayıcıda ve çevrimiçi hizmette çalışır; ve (4) şirketlere cihazlar için merkezi politika yönetimi sağlar

Kimlik ve parola yönetimi firması 1Password’ün baş ürün sorumlusu Steve Won, şirketler için geçiş anahtarlarının kimlik yönetimini iyileştirme ve kimlik doğrulamayı iyileştirme maliyetlerinin bir kısmını ortadan kaldırabileceğini söylüyor oturum açma sağlayıcısı En büyük kimlik sağlayıcıları arasında birlikte çalışabilirliği amaçlayan spesifikasyon, bir kullanıcının cihazının, özel ve genel anahtarları kullanarak kullanıcının bir hizmette oturum açmasını sağlayarak kimliğini doğrulamasına olanak tanır “Aslında bir geçiş anahtarı cihazımdaki bir bölgeye sabitlenmiş durumda; yani eğer o cihazı okyanusa atarsam (bir nedene bile ihtiyacım yok) ve yeni bir cihaz satın alırsam, nasıl tekrar oturum açabilirim? B2C için büyük bir engel olarak görülüyordu [business to consumer] topluluk” diyor

“Cihazın güvenliğinin ihlal edilmediğine dair güvence istiyorsunuz” diyor “Servis sağlayıcıları – [such as] perakendeciler, sağlık kuruluşları, [and financial services] şirketler, cihazın doğrulanması ve kimlik doğrulamasını yapan kişinin varlığı konusunda endişe duyuyor “Geçiş anahtarlarıyla ilgili gerçekten harika olan şey, bir tarayıcı veya kullanıcı aracısı ile kimlik bilgilerini ve anahtarları yöneten gerçek bir kimlik doğrulayıcı arasında iyi tanımlanmış bir arayüz olduğu fikridir Sertifikalar başa çıkılması zor bir kabus ve Yubikey açısından kimse donanım yönetimi işinde yer almak istemiyor

Apple ve Microsoft, donanım ve yazılımlarına geçiş anahtarları için destek ekledi; iOS, Mac OS ve Windows 11’in tümü bu teknolojiyi destekliyor WebAuthn, tüketiciler için önemli ölçüde karmaşıklık yaratan birçok uygulamaya yol açarken, geçiş anahtarları Apple, Google ve Microsoft dahil büyük İnternet firmaları tarafından destekleniyor ve bu da tüketiciler için geçiş anahtarlarının kullanımını önemli ölçüde kolaylaştırıyor “Çünkü istemci cihaz tamamen sahiplenilinceye kadar bu teknolojinin büyük bir kısmı harika ve bu iyi bir şey değil

Başka bir Sıfır Güven Olasılığı

Geçiş anahtarı sağlayıcıları ve kimlik ve erişim yönetimi (IAM) şirketleri, geçiş anahtarlarının kurumsal kullanım sorunlarını çözebilirse, iş hayatında büyük ilerleme kaydedebilirler

FIDO (Fast Identity Online) Alliance’ın WebAuthn standardını temel alan parolasız kimlik doğrulama yaklaşımı, geliştiricilerin bulut hizmetlerinde ve Web uygulamalarında oturum açmak için kullanıcı cihazının (FaceID ve parmak izi sensörleri gibi) kimlik doğrulama teknolojisinden yararlanmasına olanak tanır



Geçiş anahtarlarına yönelik artan destek, tüketicilerin ve küçük işletmelerin sonunda web sitelerine ve bulut uygulamalarına parolasız erişim için kullanımı kolay bir teknolojiye sahip oldukları anlamına geliyor; ancak işletmeler muhtemelen bir süre daha bu teknolojinin kullanılabilir bir biçimini göremeyecekler ” Casey diyor Bunların hepsi güvenliğe sıfır güven yaklaşımının temelidir “Klasik PKI sistemleri bunların hiçbirini sizin için yapmaz, hem de çok büyük bir idari yük olmadan

Forrester Research’ün başkan yardımcısı ve baş analisti Andras Cser, kimlik avına karşı direnç ve paylaşılan sırların ortadan kaldırılması vaadine rağmen işletmelerin geçiş anahtarlarını taahhüt etme konusunda hala tereddütlü olduğunu söylüyor Casey, şirketler için geçiş anahtarlarının, dört gereksinim karşılandığı sürece çevrimiçi kaynaklarla etkileşim kurmanın bir yolu olarak standartlaştırılmış bir PKI sağlama vaadi taşıdığını söylüyor

Beyond Identity’nin CEO’su Jasson Casey, bulut tabanlı küçük işletmeleri de kapsayacak şekilde genişleyebilecek bu kullanılabilirliğin, büyük şirketlerde geçiş anahtarları için gerekli olan kontrol ve tasdik işlemlerine izin vermediğini söylüyor

Casey, “Gerçekten bunun, işletmelerin eninde sonunda ihtiyaç duyduğu geçiş anahtarları ve PKI’dan oluşan bir aşk çocuğu olacağını düşünüyorum” diyor “Fakat iş gücü kimliğinde, iş gücünüzü yönetiyorsanız, daha yüksek düzeyde güvence ve güvenlik sağlamak için daha fazla sürtüşme uygulayabileceğiniz anlamında biraz daha tutsak bir izleyici kitlesine sahip olursunuz Haziran ayında Google, şirketlerin Workspace kullanıcılarını şifre kullanmak yerine şifre anahtarlarına geçirmelerine izin vermeye başladı

“Piyasada hala sıfır ila minimum düzeyde benimsenme görüyoruz” diyor Okta Ürün Yönetimi Kıdemli Direktörü Ian Hassard, tüketicilerin kullanımı kolay hizmetlere ihtiyaç duymasına rağmen, şirketlerin çalışanlarının belirli bir teknolojiyi kullanmasını zorunlu kılabileceğini, bu teknolojinin bir öğrenme eğrisi olsa veya günlük iş akışlarına bazı adımlar eklese bile, diyor Şirket, 10 Ekim’de kullanıcılara şunları yapma olanağı sunmaya başladı: geçiş anahtarlarını varsayılan seçenek yap kişisel hesapları arasında geçiş yaparak oturum açtıklarında geçiş yapmalarını ister

“Etkili bir geçiş anahtarı sisteminin altında, benzer güvenlik garantileri sağlayan, ancak hizmeti aktif olarak yönetmenizi gerektirmeyen dağıtılmış, otomatikleştirilmiş bir PKI sistemi bulunur… cihazın yönetilmesine veya BYOD cihazlarına bakılmaksızın ”

Bazı küçük işletmeler şifre kullanımını zorunlu kılsa da şirketlerin bu teknolojiyi müşterilerine kimlik doğrulama seçeneği olarak sunması daha olasıdır

Apple, Google ve Microsoft, anahtarları hizmetlerine bağlayarak bu sorunu çözüyor Hizmetlerden birinde tekrar oturum açan kullanıcıya yeni bir anahtar seti verilerek bu durum kurtarılabilir ”

Kimlik Avının Sonu mu?

Doğru şekilde uygulanan geçiş anahtarları, çalınacak parolalar olmadığından, kimlik bilgilerini toplamayı amaçlayan kimlik avı saldırılarını ortadan kaldırabilir Bunun yerine, geçiş anahtarları muhtemelen mevcut ortak anahtar altyapılarında (PKI) veya kimlik bilgilerine dayalı sistemlerde isteğe bağlı bir faktör haline gelecektir