ŞİRKETLERİN ÇOK FAKTÖRLÜ KİMLİK DOĞRULAMADA BAŞARISIZ OLMASININ NEDENLERİ!
Microsoft, izlediği ihlal edilen hesapların %99,9’unun MFA kullanmadığını bildiriyor. Önemli verilere sahip şirketlerde de çok faktörlü kimlik korumanın yer edinmeye başlasa da istenilen düzeyde olmadığını belirten WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerin MFA uygulamasında sıklıkla düştükleri 5 hataya dikkat çekiyor.
Kullanıcıların bir uygulamaya erişmek için kimliklerini en az iki faktörle doğrulamasını gerektiren çok faktörlü kimlik doğrulama (MFA), önemli verilere erişim konusunda ciddi önem arz ediyor. Durum öyle ki ihlal edilen hesapların tamamında MFA kullanılmadığı görülüyor. Gerçekleştirdiği koruma stratejisi nedeniyle geçen yıla oranla şirketlerde kullanımı %12 artan MFA’nın işlevselliği ise çeşitli problemlerden dolayı zaman zaman etkili olamıyor.
Ağ güvenliği ve zekası, güvenli Wi-Fi, gelişmiş uç nokta güvenliği ve çok faktörlü kimlik doğrulamanın önde gelen küresel sağlayıcısı WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerde etkili bir çok faktörlü kimlik doğrulama stratejisinin uygulanabilmesi için 5 önemli ipucunu sıralıyor:
MFA’nın seçim olmasına izin vermeyin
Şirketlerde MFA uygulanacaksa, bu çalışanlar için bir tercih durumunu kapsamamalı. Şirketler arasında MFA’nın etkinliğini yitirmesinin başlıca sebebi bunun çalışanlara tercih olarak sunulmasından başlıyor. Şirketlerde MFA kullanımı tercih değil, zorunluluk olmalıdır.
MFA ile sürtüşecek zayıf uygulamalara yer vermeyin
MFA kullanmak güvenlik kontrollerinde fazladan bir adım olarak görülüyor. Ancak görevi önemli olan kimlik doğrulamasını kolaylaştıracak süreci kapsıyor. MFA, siber yorgunluğu artırmak için değil, azaltmak için kullanılmalı. Bu yüzden MFA kullanımı sırasında kullanıcıları yoracak mevcut zayıf uygulamaları kaldırarak, kimlik doğrulamayı kolaylaştırmak gerekiyor.
Çok faktörlü kimlik doğrulamayı yalnızca belirli çalışanlar ve uygulamalar için kullanmayın
Şirketler arasında en sık görülen hatalardan biri de MFA’yı sadece önemli olduğu düşünülen departman ve çalışanlara yönelik kullanmaktan geçiyor. Ancak hackerlerin hiç ummadık bir açıktan ve çalışan üzerinden saldıracağının unutulmaması gerekiyor. Tüm çalışanların ve uygulamaların kritik öneme sahip olduğunu varsayarak, herkes ve hassas veriler içeren tüm uygulamalar için MFA’yı zorunlu kılmak gerekiyor.
Tek başına SMS doğrulamasına güvenmeyin
Kimlik doğrulaması için kısa mesaj kullanmak, hiçbir önlem almamaktan iyi görünüyor. Ancak bunu da uygulamak bir dizi güvenlik sorununu beraberinde getiriyor. SMS kodu kimlik doğrulaması, aynı zamanda mobil kimlik avı ve SIM Swapping saldırılarının yaşanmasına neden oluyor. Sadece SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması daha güvenli sonuçlar oluşturuyor.
Kullanımı zor ve karmakarışık çözümleri uygulamayın
Şirketler belirli bir alandaki kimlik doğrulamayla ilgili sorunları ele almak için bir ihlalden veya denetimden sonra MFA uygulamaya çabalıyor. Ancak seçilen araçların çok dar kullanım sunmaları şirketleri aynı yerde olmasa da başka alanlarda zarara uğratıyor. Ayrıca sahip olunan araçların kullanımının zor ve karmaşık olmasının da MFA’dan beklenilen etkiyi görmemelerine neden olduğunu aktaran WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerin pahalı donanımlara ihtiyaç duymadan, büyük bütçeler harcamadan bulut tabanlı çok faktörlü kimlik doğrulama hizmetine sahip olabileceğine dikkat çekiyor. Şirketlere 5 cephede şifre güvenliği sağlayan bulut tabanlı MFA hizmetleri Authpoint’in kolay kullanılabilir ve güçlü bir yapıya sahip olduğunu aktaran Evmez, mobil uygulama, bulut tabanlı yönetim, üçüncü parti entegrasyonları ve son eklenen DarkWeb Scan özelliği ile birçok şirketin büyük bütçeler harcamadan çok faktörlü kimlik doğrulama hizmetine kavuşabileceklerinin altını çiziyor.