Şifrenizi bir daha asla değiştirmenize gerek kalmayabilir.

Şifrenizi bir daha asla değiştirmenize gerek kalmayabilir.

İnternetin icadından bu yana şifreler çevrimiçi aktivitelerde her yerde mevcuttu, ancak uzmanlar Newsweek'e bunun çok uzun sürmeyebileceğini söyledi.

Yapay zeka ve yeni kimlik doğrulama sistemlerindeki gelişmeler, geleneksel şifrelerin hızla güncellendiği veya biyometrik güvenlik seçenekleriyle değiştirildiği anlamına geliyor; bu da kopyalanamayan bir şey.

Neden Önemli?

Çoğu insanın şifre görgü kuralları, güvenlik uzmanlarının olması gerektiğini söylediği seviyenin altında kalıyor. ABD'de en yaygın şifre uzunluğu yalnızca sekiz ila 10 karakterdir ve önemli bir kısmı yalnızca küçük harf ve rakamlardan oluşur, bu da şifreleri kaba kuvvet saldırılarına karşı savunmasız hale getirir.

Bu nedenle ve anında erişim sağladıkları için, şifreler bir bilgisayar korsanının veya dolandırıcının elde edebileceği en değerli bilgidir ve dolandırıcılık tekniklerinin çoğu, suçluların cihazlara, bilgisayar ağlarına ve hatta banka hesaplarına erişmesini sağlayarak şifreleri ele geçirmek için tasarlanmıştır.

Şifrelerin Geleceği

Birçok kullanıcı için şifreleri manuel olarak girmek artık geçmişte kaldı. Üst düzey şifre yöneticileri, şifreleri otomatik olarak saklamanın ve girmenin sözde güvenli bir yolunu kanıtlıyor.

Ancak, güvenlik firması Appknox'un kurucu ortağı ve CEO'su Subho Halder, Newsweek'e verdiği demeçte, şifre yöneticilerinin de kendilerine özgü büyük sorunları olduğunu ve Çok Faktörlü Kimlik Doğrulama'nın (MFA), şifre tabanlı herhangi bir güvenlik sisteminin gücünü artırmanın en güvenilir yollarından biri olduğunu söyledi.

Halder, "Şifre yöneticileri giderek daha gelişmiş hale geliyor, ancak aynı zamanda daha savunmasız hale geliyorlar" dedi.

"Artık sıfır bilgi şifrelemesi ve donanım destekli MFA kullanıyorlar, ancak korudukları şeyler nedeniyle başlıca hedef olmaya devam ediyorlar. LastPass ihlali, meta veriler sızdırılırsa veya kullanıcılar MFA'yı etkinleştirmezse, şifreli kasaların bile tehdit unsuru haline gelebileceğini gösterdi.

"Kullanıcılar, şirketlerin en değerli varlıklarını koruduğu gibi şifre yöneticilerini de korumalıdır: MFA, şifreleme, düzenli denetimler ve sağlıklı bir doz paranoya. Bir parola yöneticisi bir kasa gibidir, ancak güçlendirilmiş bir kapısı olmadan yine de savunmasızdır."

Veri şirketi BigID'nin güvenlikten sorumlu başkan yardımcısı Kyle Kurdziolek de bu düşünceyi destekleyerek Newsweek'e verdiği demeçte, parola yöneticilerinin güvenilir olduğunu ancak yine de geleneksel bilgisayar korsanlığı yöntemlerine karşı savunmasız olduğunu söyledi.

"Parola yöneticileri genel olarak daha güvenli hale gelmeye devam ediyor; çoğu artık güçlü şifreleme kullanıyor, sıfır güven mimarisini benimsiyor ve ek güvenlik kontrolleri uyguluyor.

"Ancak herhangi bir araç gibi, bunlar da yalnızca etraflarındaki insanlar ve sistemler kadar güvenlidir. Ana parolaların kimlik avı yoluyla tekrar kullanılması veya çalınması ya da yazılımdaki güvenlik açıklarının kapatılmaması durumunda ihlaller yaşandığını görüyoruz.

"Bir parola yöneticisini korumanın en iyi yolu, güçlü ve benzersiz ana parolalar kullanmak, çok faktörlü kimlik doğrulamayı etkinleştirmek ve yazılımı güncel tutmaktır. Ancak iş bununla bitmiyor. İyi bir parola yöneticisi olsa bile, kimlik bilgileri ve sırlar genellikle kod, bulut depolama veya iş birliği araçları arasında kopyalanır ve gizlenir.

Biyometrik Güvenlik

Her iki uzman da, parmak izi ve yüz tanıma gibi sahibinden kolayca ayrılamayan fiziksel veriler olan biyometrik verilerin, parolaların yakın gelecekte kullanımdan kaldırılmasının en olası yollarından biri olduğunu söyledi.

Halder, "Teknoloji açısından değil, güven ve tutarlılık açısından bir dönüm noktasındayız," dedi. "Parolalar, biyometrik kimlik doğrulama ve token tabanlı erişim zaten mevcut, ancak benimsenme parçalı. 2024 FIDO Alliance raporu, Apple ve Google'ın artan desteğine rağmen, web sitelerinin yüzde 15'inden azının şu anda parolaları desteklediğini gösterdi.

Appknox'ta, uygulamaların OTP'ler veya biyometri gibi 'şifresiz' oturum açma yöntemleri sunmasına rağmen, bunları genellikle güvenli olmayan bir şekilde uyguladığını ve kullanıcıları müdahale, yeniden kullanım veya tekrarlama saldırılarına maruz bıraktığını sürekli olarak görüyoruz.

"Yani, yalnızca şifreleri değiştirmekle kalmıyor, aynı zamanda erişim fikrini de sıfırdan yeniden inşa ediyoruz. Güvenli ve şifresiz kimlik doğrulama platformlar arasında uyumlu ve kusursuz hale gelene kadar, şifreler eski bir yedek çözüm olarak varlığını sürdürecek."

Kurdziolek, biyometriye odaklanma konusunda hemfikir olmakla birlikte, sektörün benimseme sürecinde teknolojide herhangi bir boşluk veya kusur bulunmamasına özellikle dikkat etmesi gerektiğini söyledi.

"Biyometri, MFA ve donanım güvenlik anahtarları gibi geleneksel şifrelerin yerini alabilecek teknolojilerin arkasında gerçek bir ivme var, ancak yaygın olarak benimsenme süreci hala devam ediyor. Kuruluşların şifresiz bir geleceğe doğru adımlar atmasının arkasında ivme olsa da, çoğu kişi için bu henüz yıllar alacak.

"Şifreleri değiştirmek çözümün sadece bir parçası. Sırlar, kimlik bilgileri ve anahtarlar genellikle bulut depolama, kod depoları ve günlük araçlarda gizli kalır. Kuruluşların, nerede olurlarsa olsunlar hassas verilerinin kontrolünü ele almaları gerekiyor, böylece şifresiz güvenliğe geçerken riski azaltabilir ve saldırganların istismar edebileceği açıkları kapatabilirler."

Yapay Zekalı Şifreler

Şu anda teknolojideki her alanda olduğu gibi, en büyük soru yapay zekanın geleceği nasıl etkileyeceği.

Şifreler söz konusu olduğunda, yapay zekanın iki ucu keskin bir kılıç olduğu konusunda hemfikir; kullanıcılara güvenlik amacıyla daha iyi araçlar ve tespit yöntemleri sunarken, suçlulara ve bilgisayar korsanlarına da aynı araçları sağlıyor.

Halder, Newsweek'e verdiği demeçte, "Hem kullanıcılara hem de saldırganlara yardımcı oluyor, ancak şu anda saldırganlar daha hızlı ölçekleniyor." dedi.

Yapay zeka sadece kaba kuvvet saldırılarını hızlandırmakla kalmıyor; aynı zamanda parola kalıplarını çözüyor, kimlik avı içeriklerini otomatik olarak oluşturuyor ve insan davranışlarını her zamankinden daha ikna edici bir şekilde simüle ediyor.

Öte yandan, yapay zeka savunmacılara da yardımcı oluyor; kimlik bilgisi doldurma saldırılarını gerçek zamanlı olarak tespit etmekten, parolaları zayıf olduğunda veya tekrar kullanıldığında kullanıcıları uyarmaya kadar. Ancak yapay zekanın geçici bir çözüm olmasına izin veremeyiz.

"Asıl sıçrama, parolalara tamamen güvenmeyi bırakıp, yalnızca sırlarla değil, davranış, biyometri ve cihaz kimliğiyle desteklenen sürekli, bağlamsal kimlik doğrulamasına geçtiğimizde gerçekleşecek."

Kurdziolek de yapay zekaya karşı aynı şekilde temkinliydi ve suçluların onu parolaları giderek daha hızlı kırmak için kullandığını söyledi.

Yapay zekâ, denklemin her iki tarafında da parolalar için güvenlik ortamını yeniden şekillendiriyor. Günlük kullanıcılar ve savunmacılar için yapay zekâ, şüpheli oturum açma işlemlerini tespit etmeye, kimlik bilgisi doldurma girişimlerini daha hızlı işaretlemeye ve biyometri gibi daha akıllı parolasız kimlik doğrulama yöntemlerini desteklemeye yardımcı oluyor.

Ancak saldırganlar, otomatik kaba kuvvet saldırıları yoluyla parolaları daha hızlı kırmak ve kimlik bilgilerini çalan daha ikna edici kimlik avı planları oluşturmak için de yapay zekâyı kullanıyor.

Sonuç olarak, yapay zekâ güçlü parola hijyeni ve sır korumasını daha da kritik hale getiriyor. Parolaları çok faktörlü veya parolasız kimlik doğrulamayla değiştirmek veya desteklemek akıllıca bir adımdır, ancak saldırganların istismar edebileceği gizli kimlik bilgilerini ve sırları ortaya çıkarmak da aynı derecede önemlidir.

Kaynak: NW