Geçiş anahtarları kurumsal kullanıma hazır mı?

Her büyük teknoloji devi, kimlik avı ve kimlik bilgisi sızıntılarını sona erdirebilecek etkili, kullanışlı bir parola ikamesi olarak geçiş anahtarlarını tanıtıyor. Temel fikir oldukça basit; cihazınızdaki özel bir donanım modülünde güvenli bir şekilde saklanan kriptografik bir anahtarla hesabınıza giriş yapıyorsunuz ve bu anahtarın kilidini biyometri veya PIN ile açıyorsunuz. Ev kullanıcıları için geçerli geçiş anahtarlarının durumunu; terminoloji ve temel kullanım ve daha karmaşık senaryolar olmak üzere iki ayrı makalede ayrıntılarla ele almıştık. Ancak işletmelerin siber güvenlik konusunda tamamen farklı gereksinimleri ve yaklaşımları vardır. Peki, kurumsal bir ortamda geçiş anahtarları ve FIDO2 WebAuthn ne kadar iyi?

Şirketlerin geçiş anahtarlarına geçme nedenleri

Her büyük ölçekli geçişte olduğu gibi, geçiş anahtarlarına geçiş yapmak için de sağlam bir iş gerekçesi gerekir. Kağıt üzerinde, geçiş anahtarları aynı anda birçok acil sorunu çözmektedir:

• Çalınan gerçek kimlik bilgilerinin neden olduğu güvenlik ihlali riskini azaltır. Kimlik avına karşı koruma sağlaması, geçiş anahtarlarının reklamı yapılan en önemli avantajıdır.
• Deneme yanılma ve kimlik bilgisi doldurma gibi diğer kimlik saldırılarına karşı savunmaları güçlendirir.
• Uyumluluk konusunda yardım eder. Birçok sektörde, düzenleyiciler çalışanlar için sağlam kimlik doğrulama yöntemlerinin kullanılmasını zorunlu kılar ve geçiş anahtarları genellikle bu niteliklere sahiptir.
• Maliyetleri azaltır. Bir şirket dizüstü bilgisayarlarda veya akıllı telefonlarda saklanan geçiş anahtarlarını tercih ederse, USB cihazlarının, akıllı kartların ve bunlarla ilgili yönetim ve lojistiğin ekstra masrafı olmadan yüksek düzeyde güvenlik elde edebilir.
• Çalışan verimliliğini artırır. Sorunsuz, verimli bir kimlik doğrulama süreci her çalışana günlük zaman kazandırır ve başarısız oturum açma girişimlerini azaltır. Geçiş anahtarlarına geçiş genellikle evrensel olarak nefret edilen düzenli parola değişikliklerinden kurtulmakla el ele gider.
• Unutulan parolalar ve kilitli hesaplarla ilgili destek taleplerinin sayısını azaltarak yardım masasının iş yükünü hafifletir. (Elbette bunun yerine, geçiş anahtarları içeren kayıp cihazlar gibi başka tür sorunlar da ortaya çıkmaktadır).

Geçiş anahtarlarının kullanımı ne kadar yaygın?

Bir FIDO Alliance raporuna göre, ABD ve Birleşik Krallık’ta ankete katılan kuruluşların %87‘si ya halihazırda geçiş anahtarlarını kullanmaya başladı ya da şu anda geçiş yapma sürecinde. Ancak rapora daha yakından bakıldığında, bu etkileyici rakamın hesap erişimi için akıllı kartlar ve USB tokenları gibi tanıdık kurumsal seçenekleri de içerdiği ortaya çıkıyor. Bunlardan bazıları gerçekten de WebAuthn ve geçiş anahtarlarına dayanıyor olsa da, sorunları yok değil. Oldukça pahalılar ve BT ve siber güvenlik ekipleri üzerinde fiziksel token ve kartların yönetimi ile ilgili; düzenleme, teslimat, değiştirme, iptal etme vb., sürekli bir yük oluşturuyorlar. Akıllı telefonlara ve hatta bulut senkronizasyonuna dayalı olarak yoğun bir şekilde tanıtılan çözümlere gelince, katılımcıların %63’ü bu tür teknolojileri kullandığını bildirmiş, ancak bunların tam olarak ne ölçüde benimsendiği belirsizliğini korumakta.

İşgücünün tamamını yeni teknolojiye geçiren şirketlerin sayısı çok az. Bu süreç hem organizasyonel açıdan zorlayıcı hem de pahalı olabiliyor. Çoğu zaman dağıtım aşamalı olarak yapılıyor. Pilot stratejiler farklılık gösterse de, şirketler genellikle IP’ye erişimi olan çalışanlarla (%39), BT sistem yöneticileriyle (%39) ve C-suite yöneticileriyle (%34) başlıyor.

Geçiş anahtarının benimsenmesinin önündeki potansiyel engeller

Bir kuruluş geçiş anahtarlarına geçmeye karar verdiğinde, kaçınılmaz olarak bir dizi teknik zorlukla karşılaşacaktır. Sadece bunlar bile başlı başına bir makale konusu olabilir. Ancak bu yazı için en belirgin konulara değinelim:

• Eski ve yalıtılmış BT sistemleri – özellikle şirket içi Active Directory – kullanılırken geçiş anahtarlarına geçişin zorluğu (ve bazen tamamen imkansızlığı)
• Apple, Google ve Microsoft ekosistemlerinde geçiş anahtarı depolama yaklaşımlarının parçalara ayrılması ve farklı cihazlarda tek bir geçiş anahtarı kullanımının zorlaşması
• Şirket kişisel cihazların kullanımına izin veriyorsa (BYOD) veya aksine Bluetooth’u yasaklamak gibi katı yasaklara sahipse ek yönetim zorlukları
• Token satın alma veya kiralama ve fiziksel cihazların yönetimi için devam eden maliyetler
• Yüksek güvenceli doğrulama senaryoları için senkronize edilemeyen donanım anahtarlarının özel gereksinimi (ve o zaman bile, hepsi uygun değildir – FIDO Alliance bu konuda özel öneriler sunar)
• Çalışanları eğitme ve biyometri kullanımı konusundaki endişelerini giderme gerekliliği
• Parçalanma, eski sistemler ve kayıp cihazlarla ilgili sorunları ele almak için BT, siber güvenlik ve yardım masası için yeni, ayrıntılı ilkeler oluşturma gerekliliği (işe alma ve işten çıkarma prosedürleriyle ilgili sorunlar dahil)

Düzenleyiciler geçiş anahtarları hakkında ne diyor?

Tüm bu zorluklara rağmen, bir düzenleyici kurum tarafından talep edilmesi halinde, bazı kuruluşlar için geçiş anahtarlarına geçiş kaçınılmaz bir sonuç olabilir. Başlıca ulusal ve sektörel düzenleyiciler genellikle doğrudan ya da dolaylı olarak geçiş anahtarlarını desteklemektedir:

NIST SP 800-63 Dijital Kimlik Yönergeleri, Kimlik Doğrulayıcı Güvence Seviyesi 2 için “senkronize edilebilir kimlik doğrulayıcıların” (açıkça geçiş anahtarlarını ima eden bir tanım) ve Kimlik Doğrulayıcı Güvence Seviyesi 3 için cihaza bağlı kimlik doğrulayıcıların kullanılmasına izin verir. Bu nedenle, geçiş anahtarlarının kullanımı ISO 27001, HIPAA ve SOC 2 denetimleri sırasında kutuları güvenle kontrol eder.

PCI Güvenlik Standartları Konseyi, DSS 4.0.1’e ilişkin yorumunda FIDO2‘yi “kimlik avına karşı dayanıklı kimlik doğrulama” kriterlerini karşılayan bir teknoloji olarak açıkça belirtmektedir.

AB Ödeme Hizmetleri Direktifi 2 (PSD2) teknolojiden bağımsız bir şekilde yazılmıştır. Bununla birlikte, Güçlü Müşteri Kimlik Doğrulaması (SCA) ve önemli finansal işlemler için Açık Anahtar Altyapısı tabanlı cihazların kullanılmasının yanı sıra ödeme verilerinin işlem imzasıyla dinamik olarak ilişkilendirilmesini gerektirir. Geçiş anahtarları bu gereksinimleri destekler.

Avrupa direktifleri DORA ve NIS2 de teknolojiden bağımsızdır ve genellikle yalnızca çok faktörlü kimlik doğrulamanın uygulanmasını gerektirir ki bu, geçiş anahtarlarının kesinlikle karşıladığı bir gerekliliktir.

Kısacası, özellikle geçiş anahtarlarını seçmek mevzuata uyumluluk için zorunlu değildir, ancak birçok kuruluş bunun en uygun maliyetli yol olduğunu düşünmektedir. Geçiş anahtarlarının lehine olan faktörler arasında, bulut hizmetlerinin ve SaaS’ın yaygın kullanımı, müşteriye yönelik web siteleri ve uygulamalar için geçiş anahtarlarının sürekli olarak kullanıma sunulması ve iyi yönetilen kurumsal bilgisayar ve akıllı telefon filosu sayılabilir.

Geçiş anahtarlarına geçiş için kurumsal yol haritası

1. İşlevler arası bir ekip oluşturun. Buna BT, siber güvenlik, BT sistemlerinin iş sahipleri, teknik destek, İK ve iç iletişim dahildir.
2. Kimlik doğrulama sistemlerinizi ve yöntemlerinizi envanterleyin. WebAuthn/FIDO2’nin halihazırda desteklendiği, hangi sistemlerin yükseltilebileceği, çoklu oturum açma (SSO) entegrasyonunun uygulanabileceği, yeni kimlik doğrulama yöntemlerini sistemlerinizin desteklediği yöntemlere çevirmek için özel bir hizmetin oluşturulması gereken ve güçlendirilmiş SOC izleme altında parolaları kullanmaya devam etmeniz gereken yerleri belirleyin.
3. Geçiş anahtarı stratejinizi tanımlayın. Donanım güvenlik anahtarlarını mı yoksa akıllı telefonlarda ve dizüstü bilgisayarlarda saklanan geçiş anahtarlarını mı kullanacağınıza karar verin. Birincil oturum açma yöntemlerinizi ve geçici erişim şifreleri (TAP) gibi acil durum erişim seçeneklerini planlayın ve yapılandırın.
4. Kurumsal bilgi güvenliği ilkelerinizi geçiş anahtarlarının benimsenmesini yansıtacak şekilde güncelleyin. Ayrıntılı kayıt ve kurtarma kuralları oluşturun. Geçiş anahtarlarına geçişin söz konusu olmadığı durumlar için iletişim kurallarını oluşturun (örneğin, kullanıcının geçiş anahtarı desteği olmayan eski bir cihaza güvenmesi gerektiği vb. durumlar için). Zorunlu cihaz şifreleme, biyometri kullanımı ve birleşik uç nokta yönetimi veya kurumsal mobilite yönetimi cihaz sağlık kontrolleri gibi güvenli geçiş anahtarı depolaması sağlamak için yardımcı önlemler geliştirin.
5. Farklı sistemler ve kullanıcı grupları için kullanıma sunma sırasını planlayın. Sorunları adım adım belirlemek ve düzeltmek için uzun bir zaman çizelgesi belirleyin.
6. Entra ID ve Google Workspace gibi erişim yönetimi sistemlerinde geçiş anahtarlarını etkinleştirin ve izin verilen cihazları yapılandırın.
7. Küçük bir kullanıcı grubuyla başlayarak bir pilot uygulama başlatın. Geri bildirim toplayın ve talimatlarınızı ve yaklaşımınızı iyileştirin.
8. SSO ve diğer yöntemleri kullanarak geçiş anahtarlarını yerel olarak desteklemeyen sistemleri kademeli olarak birleştirin.
9. Çalışanlarınızı eğitin. Kullanıcılara açık talimatlar vererek ve geçişi hızlandırmak için her ekipte “şampiyonlar” ile çalışarak bir geçiş anahtarı benimseme saldırı kampanyası başlatın.
10. İlerlemeyi takip edin ve süreçleri iyileştirin. Kullanım ölçümlerini, oturum açma hatalarını ve destek taleplerini analiz edin. Erişim ve kurtarma politikalarını buna göre ayarlayın.
11. Kullanımları tek haneli oranlara düşen eski kimlik doğrulama yöntemlerini aşamalı olarak kaldırın. Her şeyden önce, kısa mesaj ve e-posta gibi güvenli olmayan iletişim kanalları aracılığıyla gönderilen tek seferlik kodları ortadan kaldırın.