TERS FAKTÖR MFA İLE BİRİNCİL PAROLALARIN KORUNMASI

Çok faktörlü doğrulama (MFA) bildiğimiz üzere kimlik doğrulama esnasında parolamız gibi bildiğimiz bir şeyin yanına sahip olduğumuz bir şey (örneğin cep telefonu) gibi ekstra faktörler ekleyerek bu faktörlerin tamamı doğru olduğunda kimlik doğrulama işleminin tamamlanmasıdır. Bu sayede parolamız çalınsa bile cep telefonumuz çalınmadığı sürece başarılı bir kimlik doğrulama gerçekleşmeyecektir. Siber güvenlikte hesap ele geçirme saldırılarının %80’inin zayıf ve çalıntı parolalardan kaynaklandığını (2020 Verizon Data Breach Investigations Report) düşündüğümüzde, çok faktörlü kimlik doğrulama kullanımının ne kadar önemli olduğunu görüyoruz.

Özellikle Pandemi dönemi ile birlikte uzaktan çalışmanın artması, parolalara yönelik saldırıları da önemli oranda arttırmıştır. Günümüzde uzaktan erişim için kullandığımız VPN, RDP, SSH gibi sistemler ile dışarıya açık olan kurumsal uygulamalarımıza sadece parola ile girilmesi büyük riskler oluşturmaktadır. Bu nedenle uygulamalarımızda çok faktörlü kimlik doğrulama mekanizmalarının tesisi kritik öneme sahiptir.

Çok faktörlü kimlik doğrulamanın standart akışında birincil faktör parolamız, ikincil faktör ise genellikle cep telefonu üzerinde çalışan bir MFA uygulamamız olmaktadır. Özellikle orta ve büyük ölçekli kurumlarda Aktif Dizin (AD) sistemleri yaygın olarak kullanıldığından, birincil faktör olarak AD parolası karşımıza çıkmaktadır. Bu sayede birçok sisteme aynı parola ile giriş yapılabilmektedir. AD gibi merkezi bir kimlik sağlayıcı (IdP) kullanmak genellikle bizim de önerdiğimiz ve kimlik ve erişim yönetimini daha doğru ve daha kolay yapmamızı sağlayan bir yöntemdir. Fakat bu durum AD parolamız gibi çok hassas bir verimizi dışarıdaki birtakım saldırılara açık hale getirmektedir. Çok faktörlü doğrulamanın standart işleyişi, her ne kadar AD parolanız ele geçirilse dahi hesabınıza girişi engellese de, AD parolanızın öğrenilmesini engellemez. Bu durumda saldırgan aynı parolanın veya benzerinin kullanıldığı farklı sistemler üzerindeki olası açıklıkları kullanarak kendine saldırı fırsatları oluşturabilir.

Son zamanlarda MFA kullanımında ilginç bir akış senaryosu göze çarpmaktadır; TERS FAKTÖR. Peki nedir bu ters faktör? Ters faktör aslında özetle; birincil faktör ile ikinci faktörün yer değiştirmesidir diyebiliriz. Yani yine AD örneğinden gidecek olursak; kullanıcı ilk başta parola girmek yerine cep telefonu üzerinden kimlik doğrulama gerçekleştirir (Burada zaman bazlı değişen OTP kullanımı veya Cep Onay gibi mekanizmalar olabilir) ve sadece bu doğrulama başarılı ise aktif dizin parolasını girerek sisteme bağlanır.

Bu basit ama çok etkili olan yöntem sayesinde birincil parolalarınıza karşı yapılabilecek Kaba Kuvvet Saldırıları (Brute Force), Sözlük Saldırıları (Dictionary Attacks), Parola Tahmin Saldırıları (Password Guessing), Parola Sprey Saldırıları (Password Spray), Parola Tekrar Oynatma Saldırıları (Password Replay) gibi saldırılar etkisiz hale gelmektedir. Çünkü saldırganın bunları deneyecek bir parola giriş ekranı artık bulunmamaktadır.

Peki SecurifyID ürünümüz ile Ters Faktörü nasıl kullanabiliriz? En yaygın iki senaryoyu ele alacak olursak; öncelikle VPN bağlantısı veya Ağ ve Güvenlik Cihazlarınızın yönetim paneline yapacağınız bağlantılar esnasında SecurifyID Access Gateway (SAG) ürünümüz sayesinde AD parolanız yerine SecurifyID mobil uygulaması üzerinde yer alan ve 30 saniyede bir değişen OTP kodunu girebilir ve başarılı doğrulama olduğu takdirde AD parolanızı ikincil faktör olarak girerek bağlantı sağlayabilirsiniz.

İkinci senaryo olarak OWA, ECP gibi uygulamalarda veya Kurumsal Yazılımlarınızın girişlerinde SecurifyID SSO ve Federasyon Ürünümüzü kullanarak, SAML2, OIDC veya WS-Federation gibi standart protokoller üzerinden yine öncelikle cep uygulamamız üzerinden OTP veya Cep Onay ile doğrulama yapıp sonrasında AD parolanızı girerek doğrulama yapmanız mümkün hale gelmektedir.

Birincil faktör parola güvenliğinizi önemli ölçüde arttıracağını düşündüğüm TERS FAKTÖR MFA yöntemini bizden POC talep etmek suretiyle (iletisim_at_securifyid.com) ücretsiz deneyebilirsiniz.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*