22-07-2013, 11:48
Ben, şahsım ve Kimliğim
Yazan Ray Wizbowski, Gemalto Kimlik & Erişim Yönetimi- Þirketler İçin Stratejik Pazarlama Başkan Yardımcısı
Sistem ne kadar güvenli olursa olsun, müşterileri bilgilerini açık etmek üzere kandıran dolandırıcılar her zaman olacaktır. Öyleyse, kullanıcılarımızı kendi savunmasızlıklarından nasıl koruyabiliriz? Cevap “çok faktörlü” kimlik doğrulama olabilir.
Purdue Üniversitesi Bilgisayar Bilimi profesörü Gene Spafford, BT güvenliği hakkında şöyle konuşmuştu: “Gerçekten güvenli tek sistem, kapatılmış, beton blokları arasına saklanmış ve silahlı korumalar tarafından korunan kurşun geçirmez bir odaya kilitlenmiş sistemdir- buna rağmen yine de şüphelerim olacaktır”. Oldukça dramatik ve karamsar bir açıklama. Ancak, beton olmadığı zaman, insanların kimliklerini güvende tutabilmek için güçlü kimlik doğrulama seçeneğini tercih edebileceğimizi söyleyen sağlam argümanlar da mevcut.
Mobil ödemeler söz konusu olduğunda, zincirin en savunmasız elemanının kullanıcı olduğuna şüphe yok. Verizon/Secret Service veri güvenlik kırılımı araştırmasına göre, tüm endüstrilerde güvenliği kırılan kayıtların yüzde 86’sı çalıntı oturum açma bilgileri sonucunda gerçekleşti. Günümüzün “bağlı” dünyasında, kimlik çalmak ödeme bilgilerini çalmaktan daha ciddi, çünkü bu, suçluların birden fazla dolandırıcılık gerçekleştirmesini sağlıyor. Tipik olarak dolandırıcılar “sosyal mühendisliği” kullanarak kimlik çalıyor- klavyede basılan tuşları kaydeden sahte bir uygulama geliştiriyor veya kişisel bilgiler isteyen sahte bir hayırseverlik başvurusu gönderiyor-ancak kullanıcılar bilinçlendikçe onların dolandırıcılıkları da giderek daha karmaşık hale geliyor. Peki kullanıcıları kendilerinden korumak için endüstri ne yapabilir?
Öncelikle, gerçekçi olun. Uygunluk ve güvenlik arasında kalmak için her zaman bir denge vardır, ne kadar fazla güvenlik katmanı koyarsanız kullanıcı için o kadar fazla komplike katman olacaktır. Bu anlamda, konu yine durumun gerekliliğine geliyor. Örneğin, Gmail kullanan bir tüketici, muhtemelen minimal düzeyde bir güvenlik uygulayacaktır çünkü yüksek güvenlikli bilgiler göndermeyecektir ve Google’ın zaten bunları takip ettiğini biliyordur. Ancak mobil ödemelerde daha güçlü bir güvenlik formuna ihtiyaç vardır. Tipik olarak, mobil ödeme sistemleri tek bir PIN veya parola kullanılarak çalıştırılır. İşte burada savunmasızlık devreye girer, zira insanlar genellikle tahmin edilebilir parolalar, örneğin “parola”, kullanırlar. Ayrıca, suçluların bilgisayarlarının milyonlarca kombinasyonu deneme hızı, görünürde güvenli olan parolaları bile saldırılara açık hale getirir. Daha güvenli olan koruma şekli ise, tek seferlik parola (OTP) kullanan “iki faktörlü” kimlik doğrulamadır. Burada, söz konusu hizmet OTP’yi kullanıcının telefonuna yönlendirir, kullanıcı da parolayı sisteme girer. Bu da, bildiğiniz ve (parola) sahip olduğunuz ile (telefon) bir karışım yaratan kimlik doğrulama sistemini oluşturur.
Güçlü bir kombinasyondur, zira suçlular telefona da sahip olmadığı sürece, çalıntı kart bilgilerini kullanamaz. Bu da kart bilgilerinin endüstriyel seviyede toplanmasını anında önler. Bu teknik, kontrolün bir kısmını, kendi tercihlerine göre zorluk seviyesini değiştirebilecek olan kullanıcıya geri verir. Örneğin, bir tüketici önceden tanımlanmış bir lokasyonun dışında veya yurtdışında olduğunda bir OTP bildirimi talep edebilir. Mobil OTP’ler, özellikle bulut hizmetlerine erişim sağlayan uzaktan kullanıcılar için, güçlü kimlik doğrulama sistemi ile güvenliğin hızlı ve maliyet etkin şekilde kuvvetlendirilmesini sağlar. Ancak yine de daha güçlü kimlik doğrulamalar geliştirmemiz ve ne kadar fazla güvenlik katmanı uygulanırsa o kadar iyi olduğunu her zaman bilmemiz gerekiyor.
Peki endüstri iki faktörlü kimlik doğrulamanın ötesine nasıl geçebilir? Cevap, bildiğiniz ve sahip olduğunuz şeyin yanına üçüncü bir unsur eklemekten geçiyor: olduğunuz bir şey, örneğin biyometrik kimlik doğrulama gibi. Endüstrinin bunu gerçekleştirme isteği olduğu konusunda eminim. İnsanların finansal hayatlarında mobilin merkezde olacağına inanmamak için aptal olmak gerekiyor. Þu an her finansal hizmet şirketinin bir mobil stratejisi var. Geldiğini biliyorlar ve hazırlanıyorlar.
Yazan Ray Wizbowski, Gemalto Kimlik & Erişim Yönetimi- Þirketler İçin Stratejik Pazarlama Başkan Yardımcısı
Sistem ne kadar güvenli olursa olsun, müşterileri bilgilerini açık etmek üzere kandıran dolandırıcılar her zaman olacaktır. Öyleyse, kullanıcılarımızı kendi savunmasızlıklarından nasıl koruyabiliriz? Cevap “çok faktörlü” kimlik doğrulama olabilir.
Purdue Üniversitesi Bilgisayar Bilimi profesörü Gene Spafford, BT güvenliği hakkında şöyle konuşmuştu: “Gerçekten güvenli tek sistem, kapatılmış, beton blokları arasına saklanmış ve silahlı korumalar tarafından korunan kurşun geçirmez bir odaya kilitlenmiş sistemdir- buna rağmen yine de şüphelerim olacaktır”. Oldukça dramatik ve karamsar bir açıklama. Ancak, beton olmadığı zaman, insanların kimliklerini güvende tutabilmek için güçlü kimlik doğrulama seçeneğini tercih edebileceğimizi söyleyen sağlam argümanlar da mevcut.
Mobil ödemeler söz konusu olduğunda, zincirin en savunmasız elemanının kullanıcı olduğuna şüphe yok. Verizon/Secret Service veri güvenlik kırılımı araştırmasına göre, tüm endüstrilerde güvenliği kırılan kayıtların yüzde 86’sı çalıntı oturum açma bilgileri sonucunda gerçekleşti. Günümüzün “bağlı” dünyasında, kimlik çalmak ödeme bilgilerini çalmaktan daha ciddi, çünkü bu, suçluların birden fazla dolandırıcılık gerçekleştirmesini sağlıyor. Tipik olarak dolandırıcılar “sosyal mühendisliği” kullanarak kimlik çalıyor- klavyede basılan tuşları kaydeden sahte bir uygulama geliştiriyor veya kişisel bilgiler isteyen sahte bir hayırseverlik başvurusu gönderiyor-ancak kullanıcılar bilinçlendikçe onların dolandırıcılıkları da giderek daha karmaşık hale geliyor. Peki kullanıcıları kendilerinden korumak için endüstri ne yapabilir?
Öncelikle, gerçekçi olun. Uygunluk ve güvenlik arasında kalmak için her zaman bir denge vardır, ne kadar fazla güvenlik katmanı koyarsanız kullanıcı için o kadar fazla komplike katman olacaktır. Bu anlamda, konu yine durumun gerekliliğine geliyor. Örneğin, Gmail kullanan bir tüketici, muhtemelen minimal düzeyde bir güvenlik uygulayacaktır çünkü yüksek güvenlikli bilgiler göndermeyecektir ve Google’ın zaten bunları takip ettiğini biliyordur. Ancak mobil ödemelerde daha güçlü bir güvenlik formuna ihtiyaç vardır. Tipik olarak, mobil ödeme sistemleri tek bir PIN veya parola kullanılarak çalıştırılır. İşte burada savunmasızlık devreye girer, zira insanlar genellikle tahmin edilebilir parolalar, örneğin “parola”, kullanırlar. Ayrıca, suçluların bilgisayarlarının milyonlarca kombinasyonu deneme hızı, görünürde güvenli olan parolaları bile saldırılara açık hale getirir. Daha güvenli olan koruma şekli ise, tek seferlik parola (OTP) kullanan “iki faktörlü” kimlik doğrulamadır. Burada, söz konusu hizmet OTP’yi kullanıcının telefonuna yönlendirir, kullanıcı da parolayı sisteme girer. Bu da, bildiğiniz ve (parola) sahip olduğunuz ile (telefon) bir karışım yaratan kimlik doğrulama sistemini oluşturur.
Güçlü bir kombinasyondur, zira suçlular telefona da sahip olmadığı sürece, çalıntı kart bilgilerini kullanamaz. Bu da kart bilgilerinin endüstriyel seviyede toplanmasını anında önler. Bu teknik, kontrolün bir kısmını, kendi tercihlerine göre zorluk seviyesini değiştirebilecek olan kullanıcıya geri verir. Örneğin, bir tüketici önceden tanımlanmış bir lokasyonun dışında veya yurtdışında olduğunda bir OTP bildirimi talep edebilir. Mobil OTP’ler, özellikle bulut hizmetlerine erişim sağlayan uzaktan kullanıcılar için, güçlü kimlik doğrulama sistemi ile güvenliğin hızlı ve maliyet etkin şekilde kuvvetlendirilmesini sağlar. Ancak yine de daha güçlü kimlik doğrulamalar geliştirmemiz ve ne kadar fazla güvenlik katmanı uygulanırsa o kadar iyi olduğunu her zaman bilmemiz gerekiyor.
Peki endüstri iki faktörlü kimlik doğrulamanın ötesine nasıl geçebilir? Cevap, bildiğiniz ve sahip olduğunuz şeyin yanına üçüncü bir unsur eklemekten geçiyor: olduğunuz bir şey, örneğin biyometrik kimlik doğrulama gibi. Endüstrinin bunu gerçekleştirme isteği olduğu konusunda eminim. İnsanların finansal hayatlarında mobilin merkezde olacağına inanmamak için aptal olmak gerekiyor. Þu an her finansal hizmet şirketinin bir mobil stratejisi var. Geldiğini biliyorlar ve hazırlanıyorlar.