Kurumsal geçiş anahtarı uygulamaları: Nüanslar ve zorluklar

Geçiş anahtarlarına geçmek kuruluşlara; etkili çalışan kimlik doğrulama, artırılmış üretkenlik ve yasal uyumluluk için uygun maliyetli bir yol vaat ediyor. Bu iş çözümünün tüm artılarını ve eksilerini ayrı bir makalede ayrıntılı şekilde ele aldık. Ancak, geçişin başarısı ve hatta uygulanabilirliği, kurumsal sistemdeki çok sayıda teknik ayrıntılara ve uygulama özelliklerine bağlıdır.

Kimlik yönetim sistemlerinde geçiş anahtarı desteği

Organizasyonel engelleri aşmadan ve ilkeleri belirlemeden önce, temel BT sistemlerinizin geçiş anahtarlarına geçmeye hazır olup olmadığını belirlemeniz gerekir.

Microsoft Entra ID (Azure AD), geçiş anahtarlarını tamamen destekler ve yöneticilerin bunları birincil oturum açma yöntemi olarak ayarlamasına olanak tanır. Şirket içi kaynaklarla hibrit dağıtımlar için Entra ID, Active Directory etki alanı denetleyicinizin işleyebileceği Kerberos biletleri (TGT’ler) oluşturabilir.

Ancak Microsoft; RDP, VDI veya yalnızca şirket içi AD oturum açma işlemleri için henüz yerel geçiş anahtarı desteği sunmamaktadır. Bu tür tokenlar, geleneksel PIV (akıllı kartlar) teknolojisini ve FIDO2 (geçiş anahtarları) teknolojisini aynı anda destekleyebilir. Bu senaryolar için üçüncü taraf çözümleri de mevcuttur, ancak bunların kullanımının genel güvenlik durumunuz ve mevzuata uygunluğunuz üzerinde nasıl bir etkisi olacağını değerlendirmeniz gerekir.

Google Workspace ve Google Cloud kullanıcıları için sevindirici haber, bunların tam geçiş anahtarı desteği sunmasıdır.

Okta, Ping, Cisco Duo ve RSA IDplus gibi popüler kimlik yönetim sistemleri de FIDO2 ve tüm önemli geçiş anahtarlarını desteklemektedir.

İstemci cihazlarda geçiş anahtarı desteği

Konuyla ilgili detaylı bir yazımız var. Google, Apple ve Microsoft’un tüm modern işletim sistemleri geçiş anahtarlarını destekler. Ancak, şirketiniz Linux kullanıyorsa, muhtemelen ek araçlara ihtiyacınız olacaktır ve genel destek hala sınırlıdır.

Ayrıca, tüm büyük işletim sistemlerinde yüzeysel olarak tam destek gibi görünse de, geçiş anahtarlarının saklanma biçiminde çok fazla çeşitlilik vardır ve bu da uyumluluk sorunlarına yol açabilir. Windows bilgisayarlar ve Android akıllı telefonlar gibi birkaç sistemin bir arada kullanılması en sorunlu durumlardır. Bir cihazda geçiş anahtarı oluşturduktan sonra başka bir cihazda bu anahtara erişemediğinizi fark edebilirsiniz. Cihaz filosunu sıkı bir şekilde yöneten şirketler için bu sorunu çözmenin birkaç yolu vardır. Örneğin, çalışanlarınızın kullandıkları her şirket cihazı için ayrı bir geçiş anahtarı oluşturmalarını sağlayabilirsiniz. Bu, başlangıçta biraz daha fazla kurulum gerektirir zira çalışanlar, her cihazda aynı geçiş anahtarı oluşturma işlemini gerçekleştirmelidir. Ancak, bu işlem tamamlandıktan sonra oturum açmak çok az zaman alır. Ayrıca, herhangi bir cihazı kaybetmeleri durumunda, iş verilerine tamamen erişemez hale gelmezler.

Diğer bir seçenek ise, şirket tarafından onaylanmış bir parola yöneticisi kullanarak tüm çalışanların cihazlarında geçiş anahtarlarını depolamak ve senkronize etmektir. Bu, işletim sistemi geçiş anahtarlarını yerel olarak depolayamadığı için Linux bilgisayarları kullanan şirketler için de bir zorunluluktur. Önemli bir uyarı: Bu yaklaşım, yasal uyumluluk denetimlerinde bazı karmaşıklıklar yaratabilir.

Senkronizasyon ve çoklu platformlarla neredeyse hiç sorun yaşamayacağınız bir çözüm arıyorsanız, YubiKey gibi donanım geçiş anahtarları en uygun seçenek olacaktır. Ancak, bunların kurulumu ve yönetimi önemli ölçüde daha pahalı olabilir.

İş uygulamalarında geçiş anahtarı desteği

Geçiş anahtarlarını iş uygulamalarınıza dahil etmenin ideal senaryosu, tüm uygulamalarınızın tek oturum açma (SSO) ile oturum açmasıdır. Bu şekilde, Entra ID veya Okta gibi kurumsal SSO çözümünüzde yalnızca geçiş anahtarı desteğini uygulamanız yeterlidir. Ancak, bazı kritik iş uygulamalarınız SSO’yu desteklemiyorsa veya bu destek sözleşmenizin bir parçası değilse (maalesef bu durum bazen olabilir), kullanıcıların her bir sisteme oturum açabilmesi için ayrı geçiş anahtarları oluşturmanız gerekir. Donanım tokenleri 25 ila 100 geçiş anahtarı depolayabilir, bu nedenle buradaki ek maliyetiniz yönetim tarafında olacaktır.

Geçiş anahtarlarını tam olarak destekleyen popüler iş sistemleri arasında Adobe Creative Cloud, AWS, GitHub, Google Workspace, HubSpot, Office 365, Salesforce ve Zoho bulunur. Bazı SAP sistemleri de geçiş anahtarlarını destekler.

Çalışanların hazır olması

Geçiş anahtarlarını kullanıma sunmak, senaryo ne olursa olsun ekibinizin hızlanmasını sağlamak anlamına gelir. Yeni arabirimleri anlamaya çalışırken kafalarının karışmasını istemezsiniz. Amaç, herkesin her bir cihazda geçiş anahtarlarını kullanırken kendini güvende hissetmesidir. İşte çalışanlarınızın anlaması gereken temel konular.

• Geçiş anahtarları neden parolalardan üstündür? Çok daha güvenlidirler, oturum açmak için daha hızlıdırlar ve düzenli olarak değiştirilmeleri gerekmez.
• Biyometrik veriler geçiş anahtarları ile nasıl çalışır? Biyometrik veriler cihazdan asla çıkmaz ve işveren tarafından saklanmaz veya işlenmez.
• İlk geçiş anahtarları nasıl alınır? Örneğin Microsoft’un Geçici Erişim Geçişi özelliği vardır ve üçüncü taraf IAM sistemleri genellikle bir ilk katılım bağlantısı gönderir; yine de sürecin kapsamlı bir şekilde belgelenmesi gerekir.
• Cihazları geçiş anahtarlarını tanımadığında ne yapmak gerekir?
• Cihazlarını kaybetmeleri durumunda ne yapmaları gerekir? Kendi geçiş anahtarına sahip başka bir cihazdan oturum açabilirler veya belki de böyle bir acil durum için kendilerine kapalı bir zarf içinde verilen bir OTP kullanabilirler.
• Diğer bilgisayarlardan (şirket ilkeleri izin veriyorsa) iş sistemlerine nasıl giriş yapılır?
• Geçiş anahtarı ile ilgili bir kimlik avı girişimi nasıl görünebilir?

Geçiş anahtarları sihirli değnek değildir

Geçiş anahtarlarına geçmek, siber güvenlik ekibinizin kimlik tehditlerini risk listesinden çıkarabileceği anlamına gelmez. Elbette, saldırganlar için işler zorlaşır, ancak yine de aşağıdakileri yapabilirler:

• Geçiş anahtarlarına geçmemiş sistemleri hedef alma
• Halen parola ve OTP gibi yedek oturum açma yöntemlerine sahip sistemlere yönelme
• Bilgi hırsızlarının bulaştığı cihazlardan kimlik doğrulama tokenlarını çalma
• Geçiş anahtarı korumalarını atlamak için özel teknikler kullanma

Geçiş anahtarının kendisini ele geçirmek imkansız olsa da, saldırganlar sahte web altyapısı kurarak bir kurbanı kurumsal bir hizmette kötü amaçlı bir oturumu doğrulaması ve onaylaması için kandırabilir.

Bu tür bir AiTM saldırısının yakın tarihli bir örneği ABD’de belgelenmiştir. Bu olayda, kurban kurumsal bir hizmet için sahte bir kimlik doğrulama sayfasına çekilmiş, saldırganlar önce kullanıcı adı ve parolalarını ele geçirmiş, ardından da bir QR kodu taratarak oturum onayını almıştır. Bu olayda, güvenlik ilkeleri doğru şekilde yapılandırılmıştı, bu nedenle bu QR kodunun taranması başarılı bir kimlik doğrulamasına yol açmadı. Ancak geçiş anahtarlarıyla böyle bir mekanizma uygulandığından, saldırganlar bir yerde yanlış yapılandırıldığını ve kimlik doğrulamanın gerçekleştirildiği cihaz ile anahtarın saklandığı cihazın fiziksel yakınlığının kontrol edilmediğini umarlar.

Sonuç olarak, geçiş anahtarlarına geçmek ayrıntılı ilke yapılandırması gerektirir. Bu, hem kimlik doğrulama ilkelerini (bir geçiş anahtarı mevcut olduğunda parolaların devre dışı bırakılması veya bilinmeyen satıcılardan fiziksel tokenların yasaklanması gibi) hem de izleme ilkelerini (şüpheli konumlardan geçiş anahtarı kayıtlarının veya cihazlar arası senaryoların kaydedilmesi gibi) içerir.