Oltalamaya Dirençli MFA Nasıl Çalışır
Geleneksel MFA faktörleri, yani uygulama veya SMS ile gelen tek kullanımlık kodlar ve anlık bildirim onayları ortak bir zayıflık taşır: kullanıcı, kanıtı yanlış tarafa vermeye kandırılabilir. İnandırıcı bir sahte giriş sayfası, parolayı ve kodu saniyeler içinde gerçek siteye aktarır; bildirim yağmuru ise eninde sonunda yanlışlıkla verilmiş bir onay elde eder. Faktör gerçektir; doğrulanmayan şey hedeftir.
Oltalamaya dirençli MFA, bu doğrulamadan insanı çıkarır. FIDO2 ve WebAuthn ile kimlik doğrulayıcı özel bir anahtar tutar ve web sitesi kaynağına kriptografik olarak bağlı bir sorgulamayı imzalar. Kullanıcı benzer görünümlü bir alan adındaysa imza eşleşmez ve kullanıcı ne kadar ikna olmuş olursa olsun kimlik doğrulama başarısız olur. Okunacak kod, körlemesine onaylanacak bildirim veya sunucuda çalınabilecek paylaşılan bir sır yoktur. Sertifika tabanlı akıllı kartlar da aynı özelliği karşılıklı TLS ile sağlar.
Neden Önemli
Oltalama sanayileşti. Hizmet olarak satılan kitler, kurbanla gerçek site arasına şeffaf bir vekil yerleştirerek parolaları, tek kullanımlık kodları ve ortaya çıkan oturum çerezini gerçek zamanlı yakalar; bu da operatör hiçbir ustalık göstermeden geleneksel MFA’nın çoğunu boşa çıkarır. MFA yorgunluğu saldırıları, doğru anda tek bir çalışanı bunaltarak iyi korunan kuruluşları bile ele geçirmiştir.
Bu değişim rehberlere ve düzenlemelere de yansıyor: güvenlik kurumları ve çerçeveler oltalamaya dirençli MFA’yı giderek açıkça adlandırıyor; yöneticiler, uzaktan erişim ve etkisi yüksek sistemler için zorunlu tutuyor. Kuruluşlar için pratik fark çarpıcıdır: kaynağa bağlı faktörlerle vekil oltalama, kod aktarma ve bildirim bombardımanı saldırılarının tamamı yalnızca zorlaşmakla kalmaz, işlemez hale gelir.
Oltalamaya Dirençli MFA’ya Geçiş
Çoğu kuruluş geçişi aşamalı yapar. En yoğun hedeflenen hesaplar oldukları için önce yöneticiler, finans rolleri ve uzaktan erişim gelir. Geçiş anahtarları, eski donanım belirteci programlarına göre yaygınlaştırmayı kolaylaştırır: telefon ve dizüstü bilgisayarlara gömülü platform doğrulayıcıları sayesinde birçok kullanıcı ek cihaza ihtiyaç duymaz; eşitlenen geçiş anahtarları ise donanım değiştiğinde kilitlenme riskini azaltır.
Gerçek dünyadaki direnci iki ayrıntı belirler. Birincisi yedek yöntemlerdir: kullanıcı hâlâ SMS koduna dönebiliyorsa saldırgan doğrudan o yolu tetikler; bu yüzden zayıf faktörler kademeli olarak kaldırılmalı veya sıkıca kısıtlanmalıdır. İkincisi, saldırganlar artık girişten çok kayıt sürecine saldırdığı için kayıt ve kurtarma akışları da en az oturum açma kadar korunmalıdır. Monosign, klasik MFA’nın yanında FIDO2 geçiş anahtarlarını uyarlanabilir ek doğrulamayla birlikte sunarak ekiplerin sert bir geçiş olmadan grup grup taşınmasına olanak verir.