Çok faktörlü kimlik doğrulama, hesaplarınızın ele geçirilmesini zorlaştırır, ancak kimlik avı bunun üstesinden gelir. Kimlik avını etkisiz hale getirmek için ne yapabilirsiniz?
Çok faktörlü kimlik doğrulamayı (MFA) uygulamak, çevrimiçi hesaplarınızın güvenliğini güçlendirmek için mükemmel bir stratejidir, ancak gelişmiş kimlik avı saldırıları MFA’yı atlayabilir. Bu nedenle, modern kimlik avı kampanyalarıyla mücadele etmek için kimlik avına karşı güçlü bir MFA yöntemi kullanmayı düşünün.
Geleneksel MFA, kimlik avı saldırılarına karşı nasıl hassastır? Kimlik avına dayanıklı MFA çözümü nedir ve kimlik avı saldırılarını nasıl önleyebilir?
Çok Faktörlü Kimlik Doğrulama Nedir?
Terimden de anlaşılacağı gibi, çok faktörlü kimlik doğrulama, hesaplarınıza erişmek için iki veya daha fazla doğrulama faktörü sunmanızı gerektirir.
Kimlik doğrulama sürecindeki bir faktör, oturum açmaya çalıştığınızda kimliğinizi doğrulamanın bir yoludur.
En yaygın faktörler şunlardır:
– Bildiğiniz bir şey: hatırladığınız bir şifre veya PIN
– Sahip olduğunuz bir şey: güvenli bir USB anahtarı veya sahip olduğunuz bir akıllı telefon
– Olduğunuz bir şey: yüz tanıma veya parmak iziniz
Çok faktörlü kimlik doğrulama, hesaplarınıza ekstra güvenlik katmanları ekler. Dolabınıza ikinci veya üçüncü bir kilit eklemek gibi.
Tipik bir çok faktörlü kimlik doğrulama sürecinde, önce şifrenizi veya PIN’inizi gireceksiniz. Ardından, akıllı telefonunuzda ikinci faktörü alabilirsiniz. Bu ikinci faktör, bir kimlik doğrulayıcı uygulamasında bir SMS veya bildirim olabilir. MFA ayarlarınıza bağlı olarak kimliğinizi biyometri aracılığıyla doğrulamanız gerekebilir.
Çok faktörlü kimlik doğrulamayı kullanmak için birçok neden var , ancak kimlik avına tamamen direnebilir mi?
Maalesef, cevap hayır.”
Çok Faktörlü Kimlik Doğrulamaya Yönelik Siber Tehditler
MFA yöntemleri, tek faktörlü kimlik doğrulama yöntemlerinden daha güvenli olsa da, tehdit aktörleri çeşitli teknikler kullanarak bunlardan yararlanabilir.
Bilgisayar korsanlarının MFA’yı nasıl atlayabilecekleri aşağıda açıklanmıştır.
Kaba Kuvvet Saldırıları
Bilgisayar korsanları oturum açma kimlik bilgilerinize sahipse ve ikinci faktör olarak kullanılacak 4 haneli bir PIN ayarladıysanız, çok faktörlü kimlik doğrulamayı atlamak için güvenlik şifresini tahmin etmek için kaba kuvvet saldırıları gerçekleştirebilirler.
SIM Hackleme
Bu günlerde, tehdit aktörleri SIM kartınızı hacklemek için SIM değiştirme, SIM klonlama ve SIM hırsızlığı gibi teknikler kullanıyor . Ve SIM’iniz üzerinde kontrol sahibi olduklarında, MFA mekanizmanızı riske atarak sms tabanlı ikinci faktörü kolayca yakalayabilirler.
MFA Yorgunluk Saldırıları
Bir MFA yorgunluk saldırısında , bir bilgisayar korsanı, siz teslim olana kadar sizi anında bildirim yağmuruna tutar. Oturum açma isteğini onayladığınızda, bilgisayar korsanı hesabınıza erişebilir.
Orta Saldırılarda Düşman
Bilgisayar korsanları, hem oturum açma kimlik bilgilerini hem de ikinci faktör belirtecini engellemek için Evilginx gibi AiTM çerçevelerini kullanabilir. Ardından, hesabınıza giriş yapabilir ve canlarının çektiği herhangi bir kötü şeyi yapabilirler.
Kurabiye Geçiş Saldırıları
Çok faktörlü kimlik doğrulama işlemini tamamladığınızda, oturumunuz için bir tarayıcı tanımlama bilgisi oluşturulur ve saklanır. Bilgisayar korsanları bu çerezi çıkarabilir ve farklı bir sistemdeki başka bir tarayıcıda oturum başlatmak için kullanabilir.
E-dolandırıcılık
En yaygın sosyal mühendislik taktiklerinden biri olan kimlik avı , genellikle tehdit aktörü kullanıcı adınızı ve parolanızı zaten bildiğinde ikinci faktöre erişmek için kullanılır.
Örneğin, bir hizmet olarak yazılım (SaaS) satıcısı kullanıyorsunuz ve oturum açma kimlik bilgileriniz ele geçiriliyor. Bir bilgisayar korsanı, doğrulama için ikinci faktörü talep etmek üzere sizi SaaS tedarikçiniz olarak tanıtarak arayacak (veya e-posta gönderecektir). Doğrulama kodunu paylaştığınızda, bilgisayar korsanı hesabınıza erişebilir. Ve sizi ve satıcınızı etkileyen verileri çalabilir veya şifreleyebilirler.
Bu günlerde, bilgisayar korsanları gelişmiş kimlik avı teknikleri kullanıyor . Bu yüzden kimlik avı saldırılarına dikkat edin.
Kimlik Avına Dayanıklı MFA Nedir?
Kimlik avına dayanıklı MFA, kimlik avı saldırıları, kimlik bilgileri doldurma saldırıları, Ortadaki Adam saldırıları ve daha fazlası dahil olmak üzere her türlü sosyal mühendislikten etkilenmez.
Sosyal mühendislik saldırılarının merkezinde insanlar olduğu için, kimlik avına dayanıklı MFA, insan unsurunu kimlik doğrulama sürecinden çıkarır.
Kimlik avına dayanıklı bir MFA mekanizması olarak değerlendirilmesi için, kimlik doğrulayıcının alana kriptografik olarak bağlı olması gerekir. Ve bir bilgisayar korsanı tarafından oluşturulan sahte bir etki alanını tanıması gerekir.
Aşağıda, kimlik avına dayanıklı MFA teknolojisinin nasıl çalıştığı açıklanmaktadır.
Güçlü Bağ Oluşturma
Kimlik doğrulayıcınızı kaydetmeye ek olarak, kimlik doğrulayıcınız ile kimlik sağlayıcınız (IDP) arasında güçlü bir bağ oluşturmak için kimlik kanıtlama da dahil olmak üzere bir kriptografik kayıt tamamlayacaksınız. Bu, kimlik doğrulayıcınızın sahte web sitelerini tanımlamasını sağlayacaktır.
Asimetrik Kriptografiden Yararlanın
Asimetrik kriptografiye (açık anahtarlı kriptografi) dayalı iki tarafın sağlam bir şekilde bağlanması, parolalar gibi paylaşılan sırlara olan ihtiyacı ortadan kaldırır.
Oturumları başlatmak için her iki anahtar da (ortak anahtarlar ve özel anahtarlar) gerekli olacaktır. Özel anahtarlar donanım güvenlik anahtarlarında güvenli bir şekilde saklanacağından, bilgisayar korsanları oturum açmak için kimlik doğrulaması yapamaz.
Yalnızca Geçerli Kimlik Doğrulama İsteklerine Yanıt Verin
Kimlik avına dayanıklı MFA, yalnızca geçerli isteklere yanıt verir. Meşru talepleri taklit eden tüm girişimler engellenecektir.
Amacı Doğrula
Kimlik avına dayanıklı MFA kimlik doğrulaması, kullanıcıdan, oturum açma isteğinin kimliğini doğrulamak için kullanıcının aktif katılımını gösteren bir eylem gerçekleştirmesini isteyerek kullanıcının amacını doğrulamalıdır.
Neden Kimlik Avına Karşı Dirençli MFA Uygulamalısınız?
Kimlik avına dayanıklı MFA’yı benimsemek birçok avantaj sunar. İnsan unsurunu denklemden çıkarır. Sistem, sahte bir web sitesini veya yetkisiz bir kimlik doğrulama talebini otomatik olarak tespit edebildiğinden, kullanıcıları oturum açma kimlik bilgilerini vermeleri için kandırmayı amaçlayan her türlü kimlik avı saldırısını önleyebilir. Sonuç olarak, kimlik avına dayanıklı MFA şirketinizdeki veri ihlallerini önleyebilir.
Dahası, en son FIDO2 kimlik doğrulama yöntemi gibi kimlik avına karşı iyi bir MFA, kullanıcı deneyimini geliştirir. Bunun nedeni, hesaplarınıza erişmek için biyometri veya uygulaması kolay güvenlik anahtarları kullanabilmenizdir.
Son olarak, oltalamaya dayanıklı MFA, hesaplarınızın ve cihazlarınızın güvenliğini artırarak şirketinizdeki siber güvenlik merasını geliştirir.
ABD Yönetim ve Bütçe Ofisi (OMB) , federal kurumların 2024’ün sonuna kadar yalnızca kimlik avına dayanıklı MFA kullanmasını zorunlu kılan Federal Sıfır Güven Stratejisi belgesini yayınladı.
Böylece, kimlik avına dayanıklı MFA’nın siber güvenlik için kritik olduğunu anlayabilirsiniz.
Kimlik Avına Karşı Dirençli MFA Nasıl Uygulanır?
Okta’nın Auth0 ekibi tarafından hazırlanan State of Secure Identity Raporuna göre MFA baypas saldırıları artıyor.
Kimlik avı, kimliğe dayalı saldırılarda önde gelen saldırı vektörü olduğundan, kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı uygulamak, hesaplarınızın güvenliğini sağlamanıza yardımcı olabilir.
FIDO2/WebAuthn Kimlik Doğrulaması, yaygın olarak kullanılan kimlik avına dayanıklı bir kimlik doğrulama yöntemidir. Mobil ve masaüstü ortamlarında kimlik doğrulaması yapmak için ortak cihazları kullanmanıza olanak tanır.
FIDO2 kimlik doğrulaması, her web sitesine özgü kriptografik oturum açma kimlik bilgileri aracılığıyla güçlü güvenlik sunar. Ve oturum açma kimlik bilgileri asla cihazınızdan ayrılmaz.
Dahası, kriptografik oturum açma kimlik bilgilerinin engellemesini kaldırmak için parmak izi okuyucu gibi cihazınızın yerleşik özelliklerini kullanabilirsiniz.
Kimlik avına dayanıklı MFA uygulamak üzere doğru ürünü seçmek için FIDO2 ürünlerini kontrol edebilirsiniz .
Kimlik avına dayanıklı MFA’yı uygulamanın başka bir yolu da ortak anahtar altyapısı (PKI) tabanlı çözümler kullanmaktır. PIV akıllı kartları, kredi kartları ve e-Pasaportlar bu PKI tabanlı teknolojiyi kullanır.
Kimlik Avına Karşı Dirençli MFA Gelecek
Kimlik avı saldırıları artıyor ve yalnızca geleneksel çok faktörlü kimlik doğrulama yöntemlerinin uygulanması, karmaşık kimlik avı kampanyalarına karşı koruma sağlamıyor. Bilgisayar korsanlarının hesaplarınızı ele geçirmesini önlemek için kimlik avına dayanıklı MFA uygulayın.
Elbette, YouTube ve çevrimiçi kurslar akıllı telefon fotoğrafçılığı öğrenmek için popülerdir, ancak en iyi öğretmeniniz…
Akıllı bir TV bir akış cihazının yerini alabilir mi, yoksa birlikte daha iyi çalışıyor mu?…
Telegram, işletmelerle bağlantı kurmanın harika bir yoludur, ancak bazı dolandırıcılar sahte hesaplar oluşturarak ve insanları…
Karşıla karşıya olalım: telefonlarımız bizim hakkımızda bazen fark ettiğimizden daha fazla şey biliyor - kişisel…
E-posta gelen kutunuzu yönetmek genellikle ezici bir şey olabilir. Sürekli bir iş e-postası, promosyon teklifleri…
Stanford Üniversitesi'nde yapılan yeni deneylere göre, mevsimsel gripten sorumlu ana virüslerden biri, sıcak bir vücut…
