Parolasız Kimlik Doğrulama (Passwordless Authentication) Nedir?

Anıl Nevzat Solmaz (Satış ve Pazarlama Yöneticisi)
Dr. Yusuf Uzunay (CTO)

Parolasız Kimlik Doğrulama, Kimlik ve Erişim Yönetimi (IAM) alanında son zamanlarda oldukça ilgili gören bir yaklaşım olarak karşımıza çıkmaktadır. Gartner, Parolasız Kimlik Doğrulamayı önümüzdeki 3 yıl içerisinde trendi ve etkisi en güçlü olacak siber güvenlik teknolojisi olarak tanımlamıştır.

Parolasız kimlik doğrulama, özetle, kullanıcıların kurumsal ağ ve uygulamalara parola kullanmadan fakat daha güçlü doğrulama mekanizmalarıyla erişmelerine olanak sağlayan bir kimlik doğrulama yöntemidir. Parolasız Kimlik Doğrulama, kullanıcı deneyimini iyileştirmek, güvenliği güçlendirmek ve IT ağ yapısının karmaşıklığını ve dolayısıyla masraflarını azaltmak için genellikle Çok Faktörlü Kimlik Doğrulama (MFA) ve Tekil Oturum Açma çözümleriyle birlikte kullanılır. Bu yönüyle güvenlik ve kullanışlılığı aynı anda sunabilen Parolasız Oturum Açma, bilgi güvenliği ekiplerinin iş yükü azaltmakta oldukça faydalı bir etken olmakla birlikte parolaları ortadan kaldıran fakat yerine çok daha güçlü faktörleri devreye alan bir teknoloji olarak karşımıza çıkmaktadır.

Parolaların, güvenlik seviyesi sağlama konusunda eskiden kabul gören fonksiyonelliklerini giderek kaybettiklerini önceki yayınlarımızda tartışmıştık. Her geçen gün bir organizasyon içerisinde erişim sağlanan servis ve uygulamaların sayısı artmaktadır. Kullanıcıların parolalar ile yaşadıkları sorunlar da bu durumla beraber artmaya devam etmektedir. IT yöneticileri daha güçlü parola politikaları vasıtasıyla güvenlik seviyelerini korumaya çalışırken, kullanıcılar için işler daha da sarpa sarmaktadır. Güvenliğin aksine bu politikalar, kullanıcıların yaşadığı zorlukları artırma konusunda daha başarılı olmuştur. Kullanıcılar, sık sık değişen parolaları ezberlemeye ve takip etmeye zorlanmış olmaktadırlar. Birçok kullanıcı, farklı uygulamalar için aynı parolayı kullanmak, zayıf parolaları tercih etmek, parolaları tekrarlamak veya yapışkan notlara parolaları yazarak fiziken saklamak gibi riskli yollara başvurmak durumunda kalmıştır. Daha fazla servis ve uygulama, daha fazla kullanıcı sayısı, daha fazla ve daha zor parolalar, saldırganların kullanabileceği atak yüzeyini genişletmekten başka bir sonuç doğurmamıştır.

Parola politikalarının ütopik halde iyi yönetildiği ve kullanıcıların parolalar konusunda üst düzey bilinç seviyesinde oldukları senaryoda dahi parolalar birden fazla zafiyet barınmaya devam etmektedir. Yalnızca kullanıcı adı ve parola kombinasyonlarını gerektiren basit kimlik doğrulama yöntemleri, doğası gereği yeteri kadar güvenli değildir. Saldırganlar, kimlik bilgilerini tahmin edebilir veya çeşitli teknikler kullanarak kimlik bilgilerini ele geçirebilir. Bu senaryoda geriye IT yapınızı bir saldırgandan koruyan ne kalır?

Parolasız Kimlik Doğrulama ile ezberlenmesi ve ezberlense dahi saldırganlardan korunması gereken parolalar ortadan kalkar. Parolasız Kimlik Doğrulama, riskli parola politikalarını elimine ederek saldırı vektörlerini azaltır ve güvenliği güçlendirir. Ayrıca parola sayısı ve yoğunluğunu ortadan kaldırarak kullanıcı deneyimini iyileştirir.

SecurifyID, Parolasız Kimlik Doğrulama sağlayabilen Türkiye’nin ilk milli kimlik ve erişim yönetimi çözümüdür. SecurifyID Adaptif MFA ürünü ile parola yerine fiziksel (parmak izi, yüz tanıma) veya davranışsal biyometri, donanımsal token, mobil cihaz üzerindeki doğrulama faktörleri (Push Onay, TOTP, SMS) gibi farklı kanıtlar kullanılmak suretiyle kimlik doğrulama gerçekleştirilebilmektedir. Push Onay ve mobil biyometri yöntemlerini bir arada kullanabilen çözümümüz, kullanıcının sahip olduğu şey (mobil telefon) ve olduğu şey (biyometri) faktörlerini birleştirerek parolalara göre çok daha güçlü bir kimlik doğrulama mekanizmasını ortaya koyar. Saldırganın bu durumda kimlik doğrulama yapabilmesi için kullanıcının hem telefonunu hem de fiziksel biyometrisini çalması gibi bir durum ortaya çıkmaktadır ki; bu şekilde bir saldırı yapmak neredeyse imkansıza yakındır. SecurifyID, ayrıca, adaptif doğrulama özellikleri sayesinde bağlamsal bilgileri (konum, tarih ve saat bilgileri, IP adresi, cihaz türü, tarayıcı ve platform bilgileri vb.) kullanarak risk tabanlı doğrulamaya da imkan sağlamaktadır. Bu sayede kullanışlılık ve güvenlik, terazinin iki ayrı ucu olmaktan çıkıp, aynı anda sağlanmış olur.

SecurifyID Parolasız Kimlik Doğrulama Çözümlerimizi denemek için bizimle irtibata geçebilirsiniz.