Kullanıcıların bir uygulamaya erişmek için kimliklerini en az iki faktörle doğrulamasını gerektiren çok faktörlü kimlik doğrulama (MFA), değerli bilgilere erişim konusunda önemli değer arz ediyor. Durum o denli ki, ihlal edilen hesapların tamamında MFA kullanılmadığı görülüyor. Gerçekleştirdiği müdafaa stratejisi nedeniyle geçen yıla oranla şirketlerde kullanımı %12 artan MFA’nın fonksiyonelliği ise çeşitli sorunlardan ötürü vakit zaman tesirli olamıyor. Ağ güvenliği ve zekası, inançlı Wi-Fi, gelişmiş uç nokta güvenliği ve çok faktörlü kimlik doğrulamanın önde gelen global sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerde tesirli bir çok faktörlü kimlik doğrulama stratejisinin uygulanabilmesi için 5 kıymetli ipucunu sıralıyor.
1. MFA’nın seçim olmasına müsaade vermeyin. Şirketlerde MFA uygulanacaksa, bu çalışanlar için bir tercih durumunu kapsamamalı. Şirketler ortasında MFA’nın aktifliğini yitirmesinin esas sebebi bunun çalışanlara tercih olarak sunulmasından başlıyor. Şirketlerde MFA kullanımı tercih değil, mecburilik olmalıdır.
2. MFA ile sürtüşecek zayıf uygulamalara yer vermeyin. MFA kullanmak güvenlik denetimlerinde fazladan bir adım olarak görülüyor. Lakin vazifesi değerli olan kimlik doğrulamasını kolaylaştıracak süreci kapsıyor. MFA, siber yorgunluğu artırmak için değil, azaltmak için kullanılmalı. Bu yüzden MFA kullanımı sırasında kullanıcıları yoracak mevcut zayıf uygulamaları kaldırarak, kimlik doğrulamayı kolaylaştırmak gerekiyor.
3. Çok faktörlü kimlik doğrulamayı sırf belli çalışanlar ve uygulamalar için kullanmayın. Şirketler ortasında en sık görülen kusurlardan biri de MFA’yı yalnızca değerli olduğu düşünülen departman ve çalışanlara yönelik kullanmaktan geçiyor. Lakin hackerlerin hiç ummadık bir açıktan ve çalışan üzerinden saldıracağının unutulmaması gerekiyor. Tüm çalışanların ve uygulamaların kritik değere sahip olduğunu varsayarak, herkes ve hassas datalar içeren tüm uygulamalar için MFA’yı mecburî kılmak gerekiyor.
4. Tek başına SMS doğrulamasına güvenmeyin. Kimlik doğrulaması için kısa ileti kullanmak, hiçbir tedbir almamaktan iyi görünüyor. Lakin bunu da uygulamak bir dizi güvenlik sıkıntısını beraberinde getiriyor. SMS kodu kimlik doğrulaması, tıpkı vakitte taşınabilir kimlik avı ve SIM Swapping ataklarının yaşanmasına neden oluyor. Yalnızca SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması daha inançlı sonuçlar oluşturuyor.
5. Kullanımı sıkıntı ve karmakarışık tahlilleri uygulamayın. Şirketler muhakkak bir alandaki kimlik doğrulamayla ilgili meseleleri ele almak için bir ihlalden yahut kontrolden sonra MFA uygulamaya çabalıyor. Fakat seçilen araçların çok dar kullanım sunmaları şirketleri birebir yerde olmasa da öbür alanlarda ziyana uğratıyor. Ayrıyeten sahip olunan araçların kullanımının güç ve karmaşık olmasının da MFA’dan beklenilen etkiyi görmemelerine neden olduğunu aktaran Evmez, şirketlerin değerli donanımlara gereksinim duymadan, büyük bütçeler harcamadan bulut tabanlı çok faktörlü kimlik doğrulama hizmetine sahip olabileceğine dikkat çekiyor.
Hürriyet
