Google, insanları çevrimiçi hesaplar için güçlü kimlik doğrulama mekanizmalarına yönlendirmek amacıyla yaptığı son hamle kapsamında Gelişmiş Koruma Programı’na (APP) geçiş anahtarı desteği ekliyor.
APP, üst düzey yöneticiler, hükümet çalışanları ve sivil toplum üyeleri gibi yüksek riskli hedeflerin hesaplarını korumayı amaçlayan bir siber savunma çabasıdır. Bu hamle, siber saldırılara karşı yüksek risk altında olan kişilerin, FIDO2 donanım güvenlik anahtarı şemasının sanal bir biçimi olan bir geçiş anahtarı lehine kolayca çalınabilen/kolayca tahmin edilebilen parolalardan vazgeçebileceği anlamına gelir.
Parolaların kullanımı basittir: Kullanıcılar, güvenli bir donanım bölgesi veya parola yöneticisi kullanarak bir donanım uç noktasında özel bir anahtar depolar ve bu daha sonra kriptografik bir zorluğu çözerek bulut hizmetlerine ve web sitelerine kimlik doğrulaması yapmak için kullanılır. Bu çözüm arka planda gerçekleşir ve kullanıcı için oturum açmak için sadece bir parmak izi, yüz taraması veya PIN kullanmak yeterlidir.
Parolalar ayrıca, kullanıcının erişmeye çalıştığı web sitelerinin meşru olduğunu doğruladığı için kimlik avı ve aracı saldırılarını da önleyebilir.
Bu durumuda Google UYGULAMASIkullanıcıların zaten sahip olduğu cihazlarda depolananlar da dahil olmak üzere FIDO standartlarını destekleyen tüm geçiş anahtarları veya geçiş anahtarları içeren harici güvenlik anahtarları (günümüzün FIDO2 güvenlik anahtarlarının çoğu gibi) için destek içerir. Kullanıcılar, Google Cloud Platform, Gmail ve Google Workspace dahil olmak üzere herhangi bir Google hesabını güvence altına almak için geçiş anahtarlarını kullanabilir.
“Bireyler her zaman sofistike düşmanlar tarafından hedef alındı ve bu durum artmaya devam ediyor,” diyor Google’ın APP’sinin ürün lideri Shuvo Chatterjee Dark Reading’e. “Google, APP’yi yüksek riskli bireyler için koruyucu bir ürün olarak, bu yüksek tehditlerle karşı karşıya olanları korumak için devam eden çalışmalarımız sayesinde, herkesten çok daha önce tanıttı.”
Program en başından beri donanım FIDO2 anahtarlarını desteklemiş olsa da, “kayıt için bir seçenek olarak geçiş anahtarlarını destekleme duyurusu, duyduğumuz ve donanım güvenlik anahtarlarına erişemeyen birçok yüksek riskli birey için önemlidir,” diye açıklıyor Chatterjee. Savaş bölgesini kapsayan ve hantal bir anahtarı takmak için fiziksel olarak zaman ayıramayan bir gazeteci veya ülke çapında dolaşan ve tabandan bir bütçeyle çalışan ve donanım yolunu seçemeyen daha düşük seviyeli bir kampanya çalışanı örneklerini veriyor.
“İnsanların ek bir koruma katmanı isteyip çeşitli nedenlerle kaydolamadıkları küresel mücadeleleri gördük,” diyor. “Gazeteciler, aktivistler, politikacılar, iş liderleri ve hedef alınma riski daha yüksek olan diğerleri için bu, potansiyel olarak yollarındaki bir engeli daha ortadan kaldırıyor.”
Geçiş anahtarı duyurusuyla birlikte Google, Internews’in küresel güvenlik eğitmenleri ağı aracılığıyla gazetecilere ve insan hakları çalışanlarına dünya çapında güvenlik desteği sağlamak için Internews ile bir ortaklık başlattı. Program, Brezilya, Meksika ve Polonya dahil olmak üzere 10 ülkeyi kapsayacak.
Anahtarlar Halkın Bilincine Yavaş Yavaş Sızıyor
Büyük hizmet sağlayıcıların hamlelerine rağmen, Amazon, Elma, Google’ın tüketici işiVe Microsoft teknolojiyi yaygınlaştırmak için geçiş anahtarı farkındalığı ve kullanımı düşük kalmaya devam edecek. Google’ın Chatterjee’sinin değişmesini beklediği şey bu.
“Bir avantaj, geçiş anahtarlarının endüstrinin bir bütün olarak birlikte zorladığı bir şey olmasıdır,” diyor. “Google, Apple veya Microsoft veya geçiş anahtarlarını destekleyen bireysel web siteleri olsun, bu insanlar için daha yaygın hale gelecektir. Bu geçişi yapmak zaman alır.”
Parolaların Google kullanıcılarına sunulmasından bu yana geçen bir yıldan kısa sürede, 400 milyondan fazla Google hesabında 1 milyardan fazla kişinin kimliğini doğrulamak için kullanıldığını söyledi.
Teknolojinin yanılmaz olmadığı ve değiştirilebileceği unutulmamalıdır. şifre düzenleme saldırılarına karşı savunmasızeSentire’ın geçen hafta ayrıntılı olarak açıkladığı gibi. Bu durumda, bu tür bir kumar, normal bir kimlik doğrulama ayarında Google geçiş anahtarlarını kullanan herkes için anlamsız hale geliyor, Chatterjee vurguluyor.
“Bu saldırı vektörünün ana darboğazı, web sitelerinden geçiş anahtarı seçeneğini kaldırmak ve kullanıcıları daha düşük bir kimlik doğrulama yöntemi kullanmaya zorlamaktı,” diye açıklıyor. “APP’deyseniz, daha düşük bir kimlik doğrulama yöntemiyle oturum açamazsınız, bu nedenle yeni bir cihazda oturum açmak için bir güvenlik anahtarı veya geçiş anahtarı gerekecektir.”
Genel olarak, hesap kurtarma yöntemlerini güçlendirmek de iyi bir fikirdir. Örneğin, APP’nin parolaların belirli uygulaması, parolanın saklandığı cihaz kaybolduğunda Google hesap kullanıcılarının kayıt sırasında kurtarma seçenekleri eklemesine olanak tanır. Seçenekler arasında hesabı kurtarmak için bir telefon numarası, e-posta veya başka bir parola veya güvenlik anahtarı kullanmak yer alır; son ikisi kesinlikle daha güvenli seçeneklerdir.
siber-1