Tamamen şifresiz sisteme nasıl geçilir

1. Giriş: Geçiş anahtarı uygulaması neden bitiş çizgisi değildir?#

Geçiş anahtarlarını (passkeys) uygulamak, kimlik doğrulama güvenliğinde muazzam bir ileriye doğru sıçramayı temsil eder, ancak bu tam bir yolculuk değildir. Eğer halihazırda geçiş anahtarlarını dağıttıysanız, muhtemelen iyileşen güvenlik metriklerini kutluyorsunuzdur, peki geçiş anahtarlarına sahip olmaktan tamamen şifresiz kimlik doğrulamaya ulaşmaya gerçekten nasıl geçiş yaparsınız?

Geçiş anahtarları, belirli alan adlarına bağlı açık anahtar şifrelemesi (public-key cryptography) kullanan oltalama dirençli (phishing-resistant) tasarımları aracılığıyla kritik güvenlik avantajları sunar ve saldırganların kullanıcıları hileli sitelerde kimlik doğrulaması yapmaları için kandırmalarını imkansız hale getirir. Her geçiş anahtarı belirli bir hizmete özel olduğu için kimlik bilgisi yeniden kullanımını (credential reuse) ortadan kaldırırlar, yani bir hizmetin tehlikeye girmesi diğerlerini etkilemez. Ayrıca, ezberlenmiş sırları (memorized secrets) tahmin edilemeyen veya kırılamayan şifreleme anahtarlarıyla değiştirerek kaba kuvvet (brute-force) saldırılarına karşı bağışıklık sağlarlar.

Ancak bir kullanıcı geçiş anahtarı ile kimlik doğrulamayı atlayıp bunun yerine bir şifreyle giriş yapabildiği anda, bu güçlü avantajlar buharlaşır. Bu da çok önemli bir soruyu gündeme getirir: Geçiş anahtarları tam güvenlik için neden tek başına yeterli değildir? Cevap, şifre kapısı açık kaldığı sürece saldırganların o kapıdan geçmeye çalışacağını anlamakta yatmaktadır. Daha da önemli olan soru şudur: Hesap kurtarmayı (account recovery), tüm geçiş anahtarı uygulamanızı zayıflatabilecek gizli bir güvenlik açığı yapan şey nedir? Son zamanlardaki yüksek profilli siber saldırılar, saldırganların birincil kimlik doğrulamadan ziyade giderek daha fazla kurtarma akışlarını hedef aldığını göstermiştir.

Bu makale, bu kritik soruların her birini pratik çözümler ve gerçek dünya örnekleriyle ele alarak, geçiş anahtarlarını uygulamaktan gerçek şifresiz (passwordless) güvenliğe ulaşmaya uzanan eksiksiz yolculuğunuzda size rehberlik edecektir.

"Şifresiz" ("Passwordless") gerçekten ne anlama geliyor?#

Gerçek şifresiz kimlik doğrulama, şifrelerin güvenlik mimarinizden tamamen çıkarılması anlamına gelir. Şifresiz bir sistemde, kullanıcılar kimlik doğrulama yolculuklarının hiçbir noktasında şifre belirleyemez, sıfırlayamaz veya kullanamazlar. Bunun yerine kimlik doğrulama, tamamen geçiş anahtarları gibi kriptografik yöntemlere dayanır.

Birçok kurum, arka planda bir geri dönüş (fallback) seçeneği olarak şifreleri korumaya devam ederken "şifresiz" olduğunu iddia etmektedir. Bu gerçek şifresiz sistem değil, sadece şifrelerin isteğe bağlı olduğu (password-optional) bir sistemdir. Bu ayrım önemlidir, çünkü kurtarma akışları da dahil olmak üzere sisteminizin herhangi bir yerinde şifreler var olduğu sürece, bunlar saldırganların hedef alacağı istismar edilebilir bir güvenlik açığı olmaya devam eder.

2. Geçiş anahtarı güvenliğini zayıflatan iki arka kapı#

Gerçek şifresiz güvenlik, hem birincil kimlik doğrulamadan şifreleri tamamen kaldırmayı HEM DE kurtarma süreçlerinin aynı derecede oltalamaya dirençli olmasını sağlamayı gerektirir.

2.1 Geri dönüş seçeneği olarak şifreler neden önemli bir güvenlik riski oluşturur?#

Şifreleri bir geri dönüş seçeneği olarak sürdürmek, geçiş anahtarlarının ortadan kaldırmak için tasarlandığı tüm saldırı vektörlerini korur. Saldırganlar oltalama kampanyalarını şifre girişini hedef alacak şekilde yönlendirirken, kimlik bilgisi doldurma (credential stuffing) ve şifre püskürtme (password spraying) saldırıları diğer sızıntılardan elde edilen çalınmış kimlik bilgilerini kullanmaya devam eder. Kullanıcılar hala sahte destek temsilcilerine şifrelerini ifşa etmeleri için kandırılabildiklerinden sosyal mühendislik etkili olmaya devam etmektedir.

Şifreler var olduğu sürece, geçiş anahtarının oltalamaya dirençli güvenliğini tamamen atlatan, tek bir giriş noktası olan en zayıf halka olmaya devam ederler.

2.2 Hesap kurtarma arka kapısı#

Yalnızca giriş deneyimine bakmak da yeterli değildir. Kritik ama genellikle göz ardı edilen bir saldırı vektörü hesap kurtarma akışıdır. Geçiş anahtarlarını uygulayan kurumlar bile, kurtarma süreçleri SMS OTP'leri veya e-posta sihirli bağlantıları gibi oltalanabilir (phishable) yöntemlere dayanıyorsa savunmasız kalabilirler.

Saldırganların birincil kimlik doğrulama sistemini hedef almadığı, bunun yerine tüm birincil güvenlik önlemlerini atlayarak sosyal mühendislik yoluyla hesap kurtarma sürecini istismar ettiği 2023'teki yüksek profilli MGM Resorts siber saldırısını ele alalım. Benzer şekilde, Okta destek sistemi siber saldırısı, kurtarma akışlarının nasıl en zayıf halka haline gelebileceğini, saldırganların kimlik bilgilerini sıfırlamasına ve müşteri ortamlarına yetkisiz erişim sağlamasına olanak tanıdığını göstermiştir.

Bu olaylar çok önemli bir gerçeğin altını çizmektedir: kurtarma akışını güvence altına almadan geçiş anahtarlarını uygulamak, pencereleri açık bırakıp çelik bir kapı takmaya benzer.

3. Şifresiz sistem yolculuğu#

Gerçek şifresiz kimlik doğrulamaya ulaşmak tek bir adım değildir - dikkatli planlama, düşünceli ürün tasarımı ve stratejisi, kademeli uygulama ve sürekli optimizasyon gerektiren stratejik bir yolculuktur:

3.1 Aşama 1: Geçiş Anahtarları Ekleyin#

İlk aşama, mevcut seçenekleri geri dönüş (fallback) olarak korurken geçiş anahtarlarını ek bir kimlik doğrulama yöntemi olarak sunmaya odaklanır. Bu temel oluşturma aşaması, sürtünmeyi azaltmak için tanıdık yöntemleri kullanılabilir tutarken kullanıcılara yeni teknolojiyi anlamaları ve güvenmeleri için zaman tanır.

Temel Uygulama Adımları:

• Geçiş anahtarı ile kimlik doğrulamayı mevcut kimlik doğrulama akışınıza entegre edin
• Yeni ve mevcut kullanıcılar için geçiş anahtarı oluşturmayı etkinleştirin
• Şifreleri ve diğer kimlik doğrulama yöntemlerini alternatif olarak koruyun
• Geçiş anahtarı oluşturma oranlarını ve kullanım modellerini takip edin

Başarı Metrikleri:

• En az bir geçiş anahtarı oluşturan kullanıcıların yüzdesinin %50'nin üzerinde olması
• Geçiş anahtarı oluşturma başarı oranının %95'in üzerinde olması
• Kimlik doğrulama için ilk geçiş anahtarı kullanımının %20-30'a ulaşması

3.2 Aşama 2: Geçiş anahtarı benimsenmesini artırın#

Geçiş anahtarları kullanılabilir olduktan sonra, odak noktası benimsemeyi artırmaya ve geçiş anahtarlarını tercih edilen kimlik doğrulama yöntemi haline getirmeye kayar. Bu aşama, stratejik kullanıcı etkileşimi ve optimizasyon yoluyla geçiş anahtarlarını alternatif bir seçenek olmaktan çıkarıp birincil kimlik doğrulama seçeneğine dönüştürür.

Temel Uygulama Adımları:

• Giriş akışlarında geçiş anahtarı kimlik doğrulamasını varsayılan seçenek haline getirin
• Başarılı şifre girişlerinden sonra geçiş anahtarı oluşturmayı teşvik eden akıllı yönlendirmeler uygulayın
• Uygulama içi mesajlaşma aracılığıyla kullanıcıları güvenlik ve kolaylık avantajları hakkında eğitin
• Geçiş anahtarı benimsenmesi için teşvikler sağlayın (daha hızlı ödeme, özel özellikler)
• Dönüşümü en üst düzeye çıkarmak için farklı mesajlaşma ve kullanıcı arayüzü (UI) yaklaşımlarında A/B testleri yapın
• Hassas işlemler için geçiş anahtarlarını gerektiren koşullu erişim ilkeleri uygulayın

Başarı Metrikleri:

• Aktif kullanıcıların %60'ından fazlasının en az bir geçiş anahtarına sahip olması
• Geçiş anahtarı etkinleştirilmiş hesaplar için girişlerin %80'inden fazlasında geçiş anahtarlarının kullanılması
• %2'den az geçiş anahtarı oluşturma başarısızlık oranı

3.3 Aşama 3: Şifresiz sisteme geçiş yapın#

Gerçek güvenlik dönüşümünün gerçekleştiği yer burasıdır: Geçiş anahtarlarını sürekli olarak kullanan kullanıcılar için şifrelerin tamamen kaldırılması. Bu aşama, geçiş anahtarı benimsenmesini başarılı bir şekilde gösteren kullanıcılar için şifreleri devre dışı bırakarak birincil saldırı vektörünü ortadan kaldırır.

Temel Uygulama Adımları:

• Akıllı izleme sistemlerini kullanarak kullanıcı kimlik doğrulama modellerini analiz edin
• Yalnızca birden fazla geçiş anahtarı destekleyen cihaza sahip olup geçiş anahtarlarını kullanan kullanıcıları belirleyin
• Açık güvenlik avantajı mesajlarıyla şifre devre dışı bırakma seçeneği sunun
• Yedek geçiş anahtarının (backup passkey) kullanılabilirliğini doğrulayın (bulut senkronizasyonlu veya birden fazla cihaz)

Başarı Metrikleri:

• Uygun kullanıcıların %30'undan fazlasının şifreleri gönüllü olarak kaldırması
• Hesap kilitlenme oranlarında sıfır artış
• Korunan veya iyileştirilen kullanıcı memnuniyeti puanları

3.4 Aşama 4: Oltalamaya dirençli kurtarma#

Son aşama en son güvenlik açığını ele alır: hesap kurtarmayı oltalamaya dirençli bir sürece dönüştürmek. Bu aşama, arka kapı saldırılarını önleyerek kurtarma akışlarının birincil kimlik doğrulamanın güvenlik seviyesiyle eşleşmesini sağlar.

Temel Uygulama Adımları:

• En az bir oltalamaya dirençli (phishing-resistant) faktörle çok faktörlü kimlik doğrulama uygulayın
• Kullanılabilir Oltalamaya dirençli faktörler:
  • Yedek Geçiş Anahtarları (Backup Passkeys): İkincil cihazlarda veya kimliğin kriptografik kanıtını sağlayan bulut hizmetlerinde depolanan kurtarma geçiş anahtarları (en yaygın olarak kullanılabilen seçenek)
  • Dijital Kimlik Bilgileri API'si (Digital Credentials API): Güvenilir sağlayıcılardan alınan kriptografik olarak doğrulanmış kimlik iddiaları için W3C standardı (gelişmekte olan teknoloji, henüz yaygın değil)
  • Donanım Güvenlik Anahtarları (Hardware Security Keys): Oltalanması veya kopyalanması mümkün olmayan ve kurtarma faktörü olarak kaydedilen fiziksel FIDO2 token'ları (kullanıcıların fiziksel cihazlar satın almasını ve bakımını yapmasını gerektirir)
  • Canlılık Tespiti ile Kimlik Belgesi Doğrulama: Fiziksel varlığı kanıtlamak için gerçek zamanlı biyometrik eylemlerle birleştirilmiş Kamu (Government) kimlik taraması

Kurtarma seçenekleri hakkında not: Dijital Kimlik Bilgileri API'si ve Donanım Güvenlik Anahtarları güçlü güvenlik sunsa da henüz geniş çapta benimsenmiş değillerdir; ilki hala gelişmekte olan bir teknolojidir ve ikincisi kullanıcıların fiziksel cihazlar satın almasını gerektirir.

Yedek geçiş anahtarları (backup passkeys) kullanılamadığında, canlılık tespiti (liveness detection) ile kimlik belgesi doğrulama uygulanabilir bir alternatif haline gelir. Bir kimliğin fiziksel sahipliği olmadan canlılık kontrollerini atlatmaya yönelik olası geçici yollara rağmen, bu yöntemler oltalama, SIM ele geçirme veya ortadaki adam (man-in-the-middle) saldırıları yoluyla kolayca ele geçirilebilen geleneksel OTP'lerden önemli ölçüde daha güçlü güvenlik sağlar.

Başarı Metrikleri:

• Kurtarma akışlarının %100'ünün oltalamaya dirençli faktörleri içermesi
• Kurtarma süreçleri aracılığıyla sıfır başarılı hesap ele geçirme
• Kurtarma tamamlama oranlarının %90'ın üzerinde tutulması

4. Şifreleri kaldırmaya başlayan şirketlere örnekler#

Şifresiz sistem hareketi teknoloji endüstrisinde ivme kazanmakta ve lider şirketler şifrelerden uzaklaşmaktadır.

4.1 Tamamen şifresiz kurumlar#

Bazı şirketler halihazırda kendi iç operasyonlarında şifreleri tamamen ortadan kaldırmayı başarmışlardır. Okta, Yubico ve Cloudflare şirket içinde etkin bir şekilde sıfır şifre kullanımına ulaştılar ve giriş akışları şifreleri hiçbir şekilde kabul etmemektedir.

4.2 Aktif geçiş sürecindeki şirketler#

Teknoloji devleri Google, Apple, Microsoft ve X şifreleri aktif olarak kullanımdan kaldırıyor ancak henüz tamamen ortadan kaldırmadılar. Yaklaşımları, geçiş dönemi boyunca güvenlik iyileştirmelerini kullanıcı seçimiyle dengeliyor.

Google, tüm hesaplar için varsayılan olarak "Mümkün olduğunda şifreyi atla" (Skip password when possible) seçeneğini AÇIK konuma getirerek agresif bir duruş sergiledi. Böylece kullanıcıların gerekirse devre dışı bırakmasına olanak tanırken, geçiş anahtarlarını tercih edilen kimlik doğrulama yöntemi haline getirdi. Bu devre dışı bırakma (opt-out) yaklaşımı, henüz geçiş yapmaya hazır olmayan kullanıcılar için esnekliği korurken şifresiz sisteme doğru güçlü bir ivme yaratır.

Microsoft bir adım daha ileri giderek kullanıcıların günümüzde şifrelerini hesaplarından tamamen kaldırmalarına olanak tanır ve gelecekte "şifre desteğini tamamen kaldırmayı" planlamaktadır. Bu net yol haritası, kullanıcılara şifrelerin süresinin dolmak üzere olduğunun sinyalini vererek şifresiz yöntemlerin erken benimsenmesini teşvik eder.

Apple, geçiş anahtarlarını ekosistemi boyunca entegre etmiştir ve kullanımlarını aktif olarak teşvik etmektedir, ancak Apple Kimliği şifreleri bir geri dönüş seçeneği olarak kalmaya devam etmektedir. Yaklaşımları, geçiş anahtarı benimsenmesini mümkün olduğunca sorunsuz hale getirmek için Apple cihazları arasındaki kusursuz senkronizasyondan yararlanır.

Bu şirketler derhal bir değişimi zorunlu kılmıyor ancak net bir mesaj veriyorlar: Benimsenme oranı kritik bir kitleye ulaştığında şifreler ortadan kalkacaktır. Stratejileri, geçiş anahtarlarını varsayılan hale getirmeyi, kullanıcıları faydalar hakkında eğitmeyi ve şifre işlevselliğini kademeli olarak azaltmayı içerir.

5. Şifreleri kaldırmaya ne zaman başlamalısınız?#

Şifreleri kaldırma kararı aceleye getirilmemeli veya evrensel olarak uygulanmamalıdır. Bunun yerine, kullanıcı davranışını, cihaz özelliklerini ve risk profillerini dikkate alan veri odaklı, kademeli bir yaklaşım benimseyin.

5.1 Şifresiz sistem yolculuğuna hemen kimler başlamalı#

Bugünlerde şiddetli oltalama saldırıları yaşayan yüksek riskli sektörler şifresiz sistem geçişlerine hemen başlamalıdır, ancak yine de kademeli ve stratejik bir dağıtım izlemelidirler:

• Bankalar ve Finansal Kuruluşlar: Kimlik bilgisi hırsızlığının (credential theft) birincil hedefleridir. Avrupalı bankalar için geçiş anahtarları aynı zamanda PSD2 Güçlü Müşteri Kimlik Doğrulaması (SCA) gereksinimleriyle uyumlu olup, mevzuata uygunluğu karşılarken kullanıcı deneyimini geliştiren oltalama dirençli MFA sağlar.
• Ödeme Sağlayıcıları ve Fintech: Müşteri fonlarına doğrudan erişim, onları organize siber suçlar için cazip hale getirir.
• Kripto Para Borsaları: Geri döndürülemez işlemler, çalınan kimlik bilgilerinin kalıcı kayıplara yol açtığı anlamına gelir.
• Sağlık Hizmetleri ve Sigorta: Hem uyumluluk gereksinimleri hem de tıbbi kimlik hırsızlığından kaynaklanan hasta güvenliği riskleriyle karşı karşıyadır.
• Hükümet ve Kritik Altyapı: Gelişmiş hedefli oltalama kampanyalarıyla ulus-devlet aktörleri tarafından hedeflenmektedir.

Bu kurumlar için acil eylem kritiktir, ancak başarı yine de metodik, kademeli bir dağıtım yaklaşımını gerektirir. Bugün başlayın, ancak yüksek benimsenme sağlamak ve kullanıcıların kilitli kalmasını önlemek için stratejik bir şekilde dağıtım yapın.

5.2 Kademeli dağıtım stratejisi#

Daha küçük bir Alt Grupla Başlayın: Şifresiz geçişinize, tutarlı geçiş anahtarı kullanımı sergileyen kullanıcılarla başlayın. Bu erken benimseyenler, daha geniş çaplı bir dağıtımdan önce olası sorunları belirlemenize yardımcı olacaktır.

Kullanıcı davranış modellerini analiz edin:

• Giriş sıklığı ve kullanılan yöntemler
• Cihaz türleri ve geçiş anahtarı uyumluluğu
• Başarısız kimlik doğrulama denemeleri
• Kurtarma akışı kullanımı
• Cihazlar arası kimlik doğrulama modelleri

Bu modellere dayanarak şifre devre dışı bırakma için uygun olan kullanıcılar:

• Geçiş anahtarları aracılığıyla tutarlı bir şekilde kimlik doğrulaması yapanlar - teknoloji konusunda rahat olduklarını gösterir
• Birden fazla cihazda geçiş anahtarları kullananlar - yedek erişim yöntemlerine sahip olduklarını gösterir
• Son 30-60 gün içinde şifreleri veya kurtarma akışlarını kullanmamış olanlar - şifre tabanlı kimlik doğrulamaya güvenmediklerini gösterir

6. Corbado nasıl yardımcı olabilir?#

Corbado, kurumlara yukarıda açıklanan şifresiz sistem yolculuğunun dört aşaması boyunca rehberlik etmek için kapsamlı bir platform sağlar. İlk geçiş anahtarı uygulamasından şifrelerin tamamen ortadan kaldırılmasına kadar, Corbado'nun çözümü başarılı bir kullanıcı benimsemesi için gereken araçları sağlarken teknik karmaşıklığı yönetir.

Aşama 1 ve 2 Desteği: Corbado, mevcut kimlik doğrulama yapılarıyla sorunsuz geçiş anahtarı entegrasyonu, benimsenme oranlarını en üst düzeye çıkaran akıllı yönlendirmeler ve geçiş anahtarı oluşturma ve kullanım modellerini izlemek için ayrıntılı analizler sunar. Platformun Geçiş Anahtarı Zekası (Passkey Intelligence) özelliği, kullanıcı deneyimini cihaz özelliklerine ve kullanıcı davranışına göre otomatik olarak optimize ederek sorunsuz bir işe alım sağlar.

Aşama 3 ve 4 Uygulaması: Şifreleri tamamen kaldırmaya hazır kurumlar için Corbado, güvenli, oltalamaya dirençli kurtarma akışlarını sürdürürken kullanıcı hazırlığına dayalı kademeli şifre devre dışı bırakma olanağı sağlar.

Platformlar arası uyumluluğu, geri dönüş (fallback) mekanizmalarını ve kullanıcı deneyimi optimizasyonunu yöneterek Corbado, şifresiz dönüşümü yıllardan aylara indirir ve kurumların oltalamaya dirençli kimlik doğrulamaya ulaşırken temel işlerine odaklanmalarını sağlar.

Sonuç#

Gerçek şifresiz kimlik doğrulamaya uzanan yolculuk, başlangıçta sorduğumuz iki kritik soruyu yanıtlıyor:

Geçiş anahtarları tam güvenlik için neden tek başına yeterli değildir? Çünkü güvenlik yalnızca en zayıf halkası kadar güçlüdür. Şifreler kullanılabilir olduğu sürece, sadece bir geri dönüş olarak bile, saldırganlar oltalama, kimlik bilgisi doldurma (credential stuffing) veya sürüm düşürme (downgrade) saldırıları yoluyla onları hedef alacak şekilde yönlendirecektir. Sisteminizdeki her şifre, geçiş anahtarlarının oltalamaya dirençli avantajlarını zayıflatır.

Hesap kurtarmayı gizli güvenlik açığı yapan şey nedir? Kurtarma akışları genellikle unutulmuş arka kapılardır. MGM Resorts ve Okta siber saldırılarının gösterdiği gibi, saldırganlar giderek SMS OTP'leri veya e-posta sihirli bağlantıları gibi daha zayıf kurtarma yöntemlerinden yararlanarak sağlam geçiş anahtarı uygulamalarını aşmaktadır. Bu, pencereleri açık bırakıp çelik bir kapı takmaya benzer.

Gerçek şifresiz güvenlik, yolculuğun tamamını bitirmeyi gerektirir: geçiş anahtarlarını uygulamak, benimsemeyi artırmak, şifreleri tamamen kaldırmak ve kurtarma akışlarını oltalamaya dirençli yöntemlerle güvence altına almak. Kurumlar, ancak kurtarma süreçlerinde gizli olanlar da dahil olmak üzere tüm şifre kapılarını kapatarak gerçekten güvenli bir kimlik doğrulamasına ulaşabilirler.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Şifresiz geçiş sürecinde bir kullanıcının şifre devre dışı bırakma işlemine hazır olduğunu gösteren sinyaller nelerdir?#

Kullanıcılar geçiş anahtarları (passkeys) aracılığıyla birden fazla cihazda tutarlı bir şekilde kimlik doğrulaması yaptıklarında ve son 30 ila 60 gün içinde şifreleri veya kurtarma akışlarını kullanmadıklarında şifrelerinin devre dışı bırakılmasına uygun hale gelirler. Devre dışı bırakma işlemine bu grupla başlamak riski azaltır ve daha geniş çaplı bir dağıtımdan önce sorunların ortaya çıkmasına yardımcı olur. Aşama 3, uygun kullanıcıların %30'unun veya daha fazlasının şifrelerini gönüllü olarak kaldırmasını hedefler.

Yedek geçiş anahtarları kullanılamadığında hesap kurtarma için hangi oltalama dirençli seçenekler mevcuttur?#

Dört adet oltalamaya dirençli kurtarma faktörü mevcuttur: ikincil cihazlarda yedek geçiş anahtarları (backup passkeys), donanım güvenlik anahtarları (fiziksel FIDO2 token'ları), Dijital Kimlik Bilgileri API'si (Digital Credentials API - hala gelişmekte olan bir W3C standardı) ve canlılık tespiti (liveness detection) ile kimlik belgesi doğrulama. Geleneksel SMS OTP'leri ve e-posta sihirli bağlantıları oltalama, SIM ele geçirme ve ortadaki adam saldırılarına karşı savunmasız kalmaya devam eder, bu da onları güvenli kurtarma akışları için yetersiz kılar.

MGM Resorts siber saldırısı, güçlü bir birincil kimlik doğrulama sistemi olmasına rağmen neden başarılı oldu?#

2023 MGM Resorts siber saldırısı, birincil giriş sistemi yerine sosyal mühendislik yoluyla hesap kurtarma sürecini hedef alarak ve tüm birincil güvenlik önlemlerini tamamen atlayarak başarılı oldu. Bu durum, kurtarma akışlarını güvence altına almadan geçiş anahtarlarını uygulamanın, pencereleri açık bırakıp çelik bir kapı takmaya benzer şekilde kritik bir arka kapıyı açık bıraktığını göstermektedir.

Ekipler geçiş anahtarı opsiyonel aşamasından şifreleri tamamen kaldırma aşamasına geçmeden önce hangi benimsenme metriklerine ulaşmalıdır?#

Ekipler Aşama 3'e geçmeden önce, aktif kullanıcıların %60'ının veya daha fazlasının en az bir geçiş anahtarına sahip olması, geçiş anahtarı etkinleştirilmiş hesaplar için girişlerin %80'inin veya daha fazlasının geçiş anahtarlarıyla yapılması ve geçiş anahtarı oluşturma başarısızlık oranının %2'nin altında olması hedeflerine ulaşmalıdır. Aşama 3'ün başarısı, uygun kullanıcıların %30'unun veya daha fazlasının şifrelerini gönüllü olarak kaldırması ve hesap kilitlenme oranlarında sıfır artış olmasıyla ölçülür.