Sektörde 2013 Yılından beri her yıl Mayıs ayının ilk Perşembe günü “World Password Day” olarak bilinmektedir. Şifrelerimizin güvenliğini sağlamak başlı başına bir problem olduğunu hepimiz biliyoruz. Bunun için farklı güvenlik çözümlerine ihtiyaç duyuyoruz. Bununla beraber güvenlik çözümlerinin yanı sıra, personellerimizin farkındalığını arttırmak da başlı başına bir çözüm yöntemi haline gelmiş bulunmakta.
Güvenlik demişken, bir şifre nasıl güvenli olabilir ? Kaç karakterli olmalıdır? Sadece rakamlardan oluşsa veya farklı karakterlerde mi bulunsa ?
Aşağıdaki tabloya baktığımızda şifrelerimizin bir saldırgan tarafından ne kadar sürede öğrenilebileceğini görüyoruz. Aslında belli karakterlerde kompleks şifrelerde çözüm değil görünüyor.
Evet güvenliği sağlamak için şifrenin kompleks olması kesinlikle başlıca güvenlik önlemlerimizden bir tanesi. Ancak Microsoft der ki, “Peki ya bu şifrelerle uğraşmak zorunda kalmasaydık.”
2015 yılında, Windows 10’a parola girmeden erişmenin güvenli yolları olarak Windows Hello ve Windows Hello for Business tanıtıldığında, identity sistemlerinin saniyede yaklaşık 115 parola saldırısı tespit edildiği biliniyordu. On yıldan kısa bir süre sonra bu sayı %3.378 artarak saniyede 4.000’den fazla şifre saldırısına ulaştı. Şifre saldırıları çok popüler çünkü hala sonuç alıyorlar. Çevrimiçi yaşamlarımızı korumak için şifrelerin yeterli olmadığı acı bir şekilde ortada. Şifrenizi ne kadar uzun ve karmaşık yaparsanız yapın veya ne sıklıkta değiştirirseniz değiştirin, yine de risk taşır.
Microsoft şifreleri tarih sayfasından silme konusunda kararlı. Bir süredir uygulamalarda ve web sitelerinde parola yerine FIDO Security Key, Windows Hello’yu veya Microsoft Authenticator uygulamasını kullanarak oturum açabiliyoruz. 2022 Yılında Microsoft, dilerse kullanıcılar şifrelerini tamamen kaldırabileceklerini duyurdu. Microsoft’un bu açıklamasıyla bugün şifresiz bir hayatın tadını çıkarmaya başlamayı nasıl mümkün olabileceğini aktarayım.
Kendimize sormamız gereken en önemli soru “Şifrelerimize ne zaman ihtiyaç duyuyoruz ?”
- Mail veya diğer office uygulamalarına erişim sağlarken şifrelerimize ihtiyaç duyuyoruz. Gerek bilgisayarlarımızda, gerek mobil cihazlarımızda bir kere giriş yapmamız yeterli. Daha sonra oturumumuz biz kapatana veya bir politika ile düzenlenmediği sürece açık kalacaktır.
- Bilgisayarımızı açarken ihtiyaç duyuyoruz. Evet, Work or School Accountlarımızla bağlı olduğumuz cihazlarımızda oturum açarken şifre girmemizi istiyor. Ancak şifrelerinize ihtiyaç duymadan da girebileceğinizi biliyor muydunuz?
Microsoft hesabınıza parola olmadan güvenli erişimin keyfini çıkarabilirsiniz. Microsoft Authenticator uygulamasını, Windows Hello’yu , bir güvenlik anahtarını veya telefonunuza ya da e-postanıza gönderilen doğrulama kodunu kullanarak , Microsoft uygulamalarınızdan ve hizmetlerinden herhangi birini parolasız kullanabilirsiniz. Bu işlemler sonrasında parolanızı kaldırabilir veya çok güçlü bir seviyeye getirebilirsiniz. Örn: 15 karakterli kompleks bir parola.
Parolanızı kaldırmak ve güvenli şifresiz erişim için yapmanız gerekenler çok basit;
- Microsoft Authenticator’ı indirip yükleyin (kişisel Microsoft hesabınıza bağlı olması güvenlik açısından önemlidir).
- Microsoft hesabınızda oturum açın .
- Güvenlik’i seçin . Gelişmiş güvenlik seçenekleri altında , Ek güvenlik başlıklı bölümde Parolasız hesabı göreceksiniz .
- Aç’ı seçin .
- Authenticator’dan gelen bildirimi onaylayın .
Bildirimi onayladıktan sonra Microsoft hesaplarınıza erişmek için artık parolaya ihtiyacınız olmayacak. Şifre kullanmayı tercih etmeye karar verirseniz istediğiniz zaman geri dönüp şifresiz özelliğini kapatabilirsiniz. Microsoft’ta çalışanlarımızın neredeyse yüzde 100’ü, kurumsal hesaplarına giriş yapmak için parolasız seçenekleri kullanıyor.
Multi Factor Authentication ile Güvenliği Arttırın
Hesaplarımızı korumak için bugün atabileceğimiz basit adımlardan biri , Multi Factor Authentication’ı etkinleştirmektir. Microsoft Authenticator uygulaması ücretsizdir ve zamana dayalı tek seferlik geçiş kodları (TOTP), anında bildirimler ve parolasız oturum açma dahil olmak üzere kimlik doğrulama için birden fazla seçenek sunmaktadır; bunların tümü çok faktörlü kimlik doğrulamayı destekleyen tüm sitelerde çalışır. Authenticator, Android ve iOS mobil cihazları için de mevcuttur. Microsoft Hesabınız için, çok faktörlü kimlik doğrulamaya genellikle yalnızca ilk kez oturum açtığınızda veya parolanızı değiştirdikten sonra ihtiyaç duyulur. Cihazınız tanındıktan sonra yalnızca birincil oturum açma işleminize ihtiyacınız olacaktır. Daha sonra dilerseniz farklı politikalarda bu MFA isteğini destekleyecek frekansı belirleyebilirsiniz.
Parolasız kimlik doğrulama yaygınlaşıyor
Genellikle Passkey olarak adlandırılan bu çok cihazlı FIDO kimlik bilgileri, kullanıcılara herhangi bir cihazında parola olmadan güvenli ve hızlı bir şekilde oturum açmaları için platformda yerel bir yol sunar. Kimlik avı yapılması neredeyse imkansız olan ve tüm cihazlarınızda kullanılabilen bir geçiş anahtarı, yüzünüz, parmak iziniz veya cihaz PIN’inizle kimlik doğrulaması yaparak oturum açmanıza olanak tanır.
Tutarlı bir kullanıcı deneyimi ve gelişmiş güvenliğe ek olarak, bu yeni kimlik bilgileri iki önemli avantaj daha sunuyor:
- Kullanıcılar, her bir hesaba yeniden kaydolmak zorunda kalmadan, çoğu cihazı üzerinden şifre anahtarlarına otomatik olarak erişebilir. Yeni cihazınızda platformunuzla kimlik doğrulaması yapmanız yeterli; Passkey kullanıma hazır olacak ve sizi cihaz kaybına karşı koruyacak ve cihaz yükseltme senaryolarını basitleştirecek.
- Mobil cihazınızdaki password keyler ile , cihazın çalıştırdığı platform veya tarayıcıdan bağımsız olarak hemen hemen her cihazdaki bir uygulama veya hizmette oturum açabilirsiniz. Örneğin, kullanıcılar bir Apple cihazında bir şifre anahtarı kullanarak Microsoft Windows üzerinde çalışan bir Google Chrome tarayıcısında oturum açabilir.
Password Keys nasıl çalışır?
Passkey’ler parolalardan farklı çalışır. Passkey erişimi, savunmasız tek bir password yerine, kriptografik anahtar çifti olarak bilinen iki benzersiz anahtar kullanır. Anahtarlardan biri cihazınızda, biyometrik bilgileriniz veya PIN’iniz tarafından korunarak güvenli bir şekilde saklanır. Diğer anahtar, Passkey’ler oluşturduğunuz uygulama veya web sitesinde kalacaktır. Tıpkı kiralık kasanıza girmek için hem kendi anahtarınıza hem de bankanın anahtarına ihtiyacınız olduğu gibi, oturum açmak için de anahtar çiftinin her iki parçasına da ihtiyacınız vardır.
Bu anahtar çifti kombinasyonu benzersiz olduğundan, Passkey’iniz yalnızca onu oluşturduğunuz web sitesinde veya uygulamada çalışacaktır; dolayısıyla, kötü amaçlı, benzer bir web sitesinde oturum açmanız için kandırılamazsınız. Bu nedenle Passkey’lerin “kimlik avına karşı dayanıklı” olduğunu söylüyoruz.
Daha da iyisi, kriptografik kimlik doğrulamanın tüm iyiliği ve gücü perde arkasında kalıyor. Oturum açmak için tek yapmanız gereken cihazınızın kilit açma hareketini kullanmaktır: cihazınızın kamerasına bakmanız, parmağınızı parmak izi okuyucuya okutmanız veya PIN’inizi girmeniz yeterli. Biyometrik bilgileriniz veya PIN’iniz asla cihazınızdan dışa aktarılmaz ve oturum açtığınız site veya hizmetle asla paylaşılmaz. PassKey ‘ler aynı zamanda cihazlarınız arasında da senkronize edilebilir. Dolayısıyla, cihazınızı kaybederseniz veya farklı bir cihaza geçiş yaparsanız, yeni aygıtınızı kurduğunuzda Passkey’leri kullanabilirsiniz.
Passkey’in en iyi yanı, bir daha asla parola oluşturma, unutma veya sıfırlama konusunda endişelenmenize gerek kalmayacak olmasıdır.
Microsoft hesabınız için bir Passkey oluşturma
Microsoft hesabınız için bir Passkey oluşturmak çok kolaydır. Passkey oluşturmak istediğiniz cihazda bağlantıya tıkladığınızda ve yüz, parmak izi, PIN veya güvenlik anahtarı seçeneklerinden birini seçebilirsiniz. Daha sonra açılacak ekrandaki adımları izleyebilirsiniz.
Passkey ile Microsoft Hesabınızda Oturum Açmak için aşağıdaki adımları izleyebilirsiniz
Günümüzde artık Güvenlik Sektörü olarak görüyoruz ki şifrelerimizi güçlendirmek bir yana, şifrelerimizden vazgeçeceğiz gibi görünüyor 🙂
Bir sonrası blog yazısında görüşmek üzere
Thanks to Vasu Jakkal