İnsanlar neden iki faktörlü kimlik doğrulamanın mükemmel olmadığını söylüyor?

İki faktörlü kimlik doğrulama ilk kez kullanıma sunulduğunda, cihaz güvenliğinde devrim yarattı ve kimlik hırsızlığının çok daha zor hale gelmesine yardımcı oldu - oturum açma işlemlerine eklenen küçük rahatsızlıklar pahasına.

Ancak mükemmel değil ve bilgisayar korsanlığı ve veri hırsızlığı sorunlarımızın tümünü çözmedi. Son zamanlarda çıkan bazı haberler, bilgisayar korsanlarının iki faktörlü kimlik doğrulamayı nasıl atlattığı ve ona olan güvenimizin bir kısmını nasıl aşındırdığı konusunda daha fazla bağlam sağladı.

İki faktörlü kimlik doğrulama tam olarak nedir?

İki faktörlü kimlik doğrulama, cihazlar ve hizmetler için oturum açma işlemine ekstra bir güvenlik katmanı ekler. Önceden, oturum açma işlemleri kimlik doğrulama için tek bir faktöre sahipti - tipik olarak bir parola veya parmak izi taraması veya Face ID gibi biyometrik bir oturum açma ve bazen güvenlik sorularının eklenmesi. Bu biraz güvenlik sağladı, ancak mükemmel olmaktan çok uzaktı, özellikle zayıf parolalar veya otomatik doldurulan parolalar söz konusu olduğunda (veya oturum açma veritabanları saldırıya uğradığında ve bu bilgiler karanlık web'de görünmeye başladığında).

İki faktörlü kimlik doğrulama, ikinci bir faktör ekleyerek bu sorunları giderir; bu, kişinin gerçekten kendileri olduğundan ve erişim yetkisine sahip olduğundan emin olmak için yapması gereken başka bir şeydir. Tipik olarak, bu, hizmetten bir metin mesajı veya e-posta almak gibi, daha sonra girmeniz gereken başka bir kanal aracılığıyla bir kod gönderilmesi anlamına gelir.

Bazıları zamana duyarlı kodlar (TOTP, Zamana Dayalı Tek Kullanımlık Parola) ve bazıları belirli bir cihazla ilişkili benzersiz kodlar (HOTP, HMAC tabanlı Tek Kullanımlık Parola) kullanır. Bazı ticari sürümler, elinizin altında olması gereken ek fiziksel anahtarları bile kullanabilir.

Güvenlik özelliği o kadar yaygın hale geldi ki, muhtemelen "Girmeniz için size güvenli bir kod içeren bir e-posta gönderdik, lütfen kontrol edin" gibi mesajlar görmeye alışmışsınızdır. almadıysanız spam filtreniz. Yeni cihazlarda en yaygın olanıdır ve biraz zaman alsa da, tek faktöre kıyasla güvenlikte büyük bir sıçramadır. yöntemler. Ama bazı kusurlar var.

Kulağa oldukça güvenli geliyor. Sorun ne?

Yakın zamanda siber güvenlik şirketi Sophos'tan şaşırtıcı yeni bir yöntemi ayrıntılarıyla anlatan bir rapor çıktı. bilgisayar korsanları iki faktörlü kimlik doğrulamayı atlıyor: kurabiye. Kötü aktörler, neredeyse her tür tarayıcıya, web hizmetine, e-posta hesabına ve hatta dosyaya erişmelerini sağlayan "çerez çalmak" durumundadır.

Bu siber suçlular bu çerezleri nasıl alıyor? Sophos, Emotet botnet'in, Google Chrome tarayıcılarındaki verileri hedefleyen çerez çalan kötü amaçlı yazılımlardan biri olduğunu belirtiyor. İnsanlar ayrıca, giriş bilgilerinin Genesis adlı bir pazar yerinde sona erdiği son EA vakasında ünlenen yer altı pazarları aracılığıyla çalıntı çerezler satın alabilirler. Sonuç, şirkete şantaj yapmak için kullanılan 780 gigabayt çalınan veri oldu.

Bu yüksek profilli bir durum olsa da, altta yatan yöntem dışarıda ve iki faktörlü kimlik doğrulamanın sihirli değnek olmaktan çok uzak olduğunu gösteriyor. Çerez çalmanın ötesinde, yıllar boyunca tespit edilen bir dizi başka sorun vardır:

• Bir hacker varsa bir hizmet için kullanıcı adınızı veya şifrenizi ele geçirdiniz, e-postanıza (özellikle aynı şifreyi kullanıyorsanız) veya telefon numaranıza erişebilirler. Bu, özellikle SMS/metin tabanlı iki faktörlü kimlik doğrulama için sorunludur, çünkü telefon numaralarını bulmak kolaydır ve telefonunuzu kopyalamak (diğer hilelerin yanı sıra) ve kısa mesaj kodunu almak için kullanılabilir. Daha fazla çalışma gerektirir, ancak kararlı bir bilgisayar korsanının hala ileriye dönük açık bir yolu vardır.
• Google Auth veya Duo gibi iki faktörlü kimlik doğrulama için ayrı uygulamalar çok daha güvenlidir, ancak benimseme oranları çok düşüktür. İnsanlar, yalnızca tek bir hizmet için güvenlik amacıyla başka bir uygulama indirmek istememe eğilimindedir ve kuruluşlar basitçe "E-posta mı yoksa kısa mesaj mı?" müşterilerin indirmesini istemek yerine üçüncü taraf uygulaması. Başka bir deyişle, en iyi iki faktörlü kimlik doğrulama türleri gerçekten kullanılmıyor.
• Bazen parolaların sıfırlanması çok kolaydır. Kimlik hırsızları, müşteri hizmetlerini aramak veya yeni bir parola istemek için başka yollar bulmak için bir hesap hakkında yeterli bilgiyi toplayabilir. Bu genellikle söz konusu iki faktörlü kimlik doğrulamayı ortadan kaldırır ve işe yaradığında hırsızların hesaba doğrudan erişmesine izin verir.
• İki faktörlü kimlik doğrulamanın daha zayıf biçimleri, ulus devletlere karşı çok az koruma sağlar. Hükümetler, SMS mesajlarını izleme, kablosuz iletişim operatörlerini zorlama veya kimlik doğrulama kodlarını başka yollarla ele geçirme dahil olmak üzere iki faktörlü kimlik doğrulamasına kolayca karşı koyabilen araçlara sahiptir. Verilerini daha totaliter rejimlerden gizli tutmanın yollarını isteyenler için bu iyi bir haber değil.
• Birçok veri hırsızlığı planı, bunun yerine insanları kandırmaya odaklanarak iki faktörlü kimlik doğrulamayı tamamen atlar. sadece bak bankalardan geliyormuş gibi görünen tüm kimlik avı girişimleri, devlet kurumları, internet sağlayıcıları vb. önemli hesap bilgileri istiyor. Bu kimlik avı mesajları çok gerçekçi görünebilir ve "Sizin bilgilerinize ihtiyacımız var" gibi şeyler içerebilir. hesap sahibi olduğunuzu da doğrulayabilmemiz için tarafımıza kimlik doğrulama kodu" veya diğer hileler kodları al

İki faktörlü kimlik doğrulamayı kullanmaya devam etmeli miyim?

Kesinlikle. Aslında, hizmetlerinizi ve cihazlarınızı gözden geçirmeli ve varsa iki faktörlü kimlik doğrulamayı etkinleştirmelisiniz. Kimlik hırsızlığı gibi sorunlara karşı basit bir kullanıcı adı ve paroladan çok daha iyi güvenlik sunar.

SMS tabanlı iki faktörlü kimlik doğrulama bile hiç olmamasından çok daha iyidir. Aslında, Ulusal Standartlar ve Teknoloji Enstitüsü bir kez iki faktörlü kimlik doğrulamada SMS kullanımına karşı tavsiyede bulundu, ama sonra bunu gelecek yıl geri aldı çünkü kusurlarına rağmen yine de sahip olmaya değerdi.

Mümkün olduğunda, kısa mesajlara bağlı olmayan bir kimlik doğrulama yöntemi seçin ve daha iyi bir güvenlik biçimine sahip olacaksınız. Ayrıca, parolalarınızı güçlü tutun ve bunları oluşturmak için bir şifre yöneticisi kullanın Yapabiliyorsanız girişler için.

İki faktörlü kimlik doğrulama nasıl geliştirilebilir?

SMS tabanlı kimlik doğrulamasından uzaklaşmak, mevcut büyük projedir. İki faktörlü kimlik doğrulamanın birkaç faktöre geçmesi olasıdır. Duo gibi üçüncü taraf uygulamaları, süreçle ilgili birçok zayıflığı ortadan kaldırır. Ve daha fazla yüksek riskli alan, parmak izi veya ek güvenlik soruları gibi üçüncü bir gereksinim ekleyen MFA'ya veya çok faktörlü kimlik doğrulamaya taşınacak.

Ancak iki faktörlü kimlik doğrulamayla ilgili sorunları ortadan kaldırmanın en iyi yolu, fiziksel, donanım tabanlı bir özellik sunmaktır. Şirketler ve devlet kurumları, belirli erişim seviyeleri için bunu zorunlu kılmaya başladı bile. Yakın gelecekte, hepimizin cüzdanlarında, hizmetlere giriş yaparken cihazlarımıza kaydırmaya hazır özelleştirilmiş kimlik doğrulama kartlarına sahip olma ihtimalimiz yüksek. Şimdi garip gelebilir, ancak siber güvenlik saldırılarında hızlı artış, en şık çözüm olabilir.

Editörlerin Önerileri

• Nvidia RTX 4060 Ti neden 2023 için yeterli değil?
• Hacker rütbeleri patlıyor — işte kendinizi nasıl koruyabileceğiniz
• Google Chrome Gizli Modu neden iddia ettiği gibi değil?
• İşte bu yüzden insanlar Nvidia RTX 4090'ın beklemeye değmeyeceğini söylüyor
• İnsanların M2 yerine M1 MacBook Air satın almalarının nedeni bu.

Yaşam tarzınızı yükseltinDijital Eğilimler, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği ön incelemelerle okuyucuların hızlı tempolu teknoloji dünyasını takip etmelerine yardımcı olur.