ABD hükümetinden teknoloji devlerine ‘tekelciliği kötüye kullanma’ soruşturması5 sene ÖNCE
ABD hükümetinden teknoloji devlerine ‘tekelciliği kötüye kullanma’ soruşturması
Geliştirilen yeni teknoloji ile yakın gelecekte internette ‘kullanıcı adı’ ve şifrelere gerek kalmayacağı açıklandı
Güvenlik uzmanları, internette işlem yapılırken istenilen kullanıcı adı ve şifrelerin artık 2015’te bir öneminin kalmayabileceği tahmininde bulunuyor. Hatta bir şirket kalp atışlarına göre kullanıcıyı internet hesaplarına sokan bir sistem dahi geliştirdi.
Şifreler 2015’te ölebilir.
Bu, 1690’lı yılların başından bu yana “Gerçekten sen misin?” testi yarışında yer alan güvenlik uzmanlarının tahminleri ve umutları. O zamandan bu yana şifreler hem kullanıcılar hem de güvenlik uzmanları için bir sıkıntı kaynağı oldu. Sürekli unutulan veya çalınan şifreler sorunlara neden oldu. Bu hafta bir Rus çetesinin bir milyondan fazla kullanıcı giriş bilgisini ele geçirmesi de bunun son örneği.
Verizon’un 2014 Veri İhlali İncelemeleri Raporu’na göre her üç veri ihlalinin ikisinin nedeni zayıf ya da ya da çalınan şifreler. Ayrıca daha güçlü şifreler oluşturmanın da artık çok faydası bulunmuyor.
Araştırmacılar bir internet sitesinde şifre oluşturma esnasında ne kadar şart getirilirse – belli uzunlukta, büyük-küçük harf kullanımı gibi— insanların daha fazla zayıf şifre oluşturduklarını söylüyor. 2012 yılında yapılan bir araştırmaya göre ise insanların yalnızca üçte biri 10’dan fazla farklı şifreleri kullanırken yüzde 38’i ise yeni şifre oluşturmak yerine eski bir şifrelerini kullanmayı tercih ediyor.
445 milyar dolarlık sanal suç maliyeti
Teknoloji sektöründeki şirketler, sahtekarları engellemek için yeni ürünleri ile müşterileri çekmeye çalışıyor. Şirketler sanal suçlardan para kazanmaya çalışıyor. İnternet güvenlik şirketi McAffee’ye göre, sanal suç sorununun global maliyetinin 445 milyar dolara yükselmesi bekleniyor. Getirilen çözümler içerisinde kullanıcılara görünmez olan yazılımlar zaman ve mekan gibi faktörleri izliyor ve kullanıcıların klavyeye basışını, farelerin hareket ettirişini izliyor; yüzleri, gözleri, sesler ve hatta kalp atışlarını tarayan biyometrik tarayıcıları üretiliyor.
Şimdi ise şifrelere alternatifler geliştirmek için çalışan FIDO Birliği, Şubat ayında yeni online doğrulama standartları için bir taslak yayınladı. Birlik bu taslağın nihai versiyonunu da bu yılın sonunda yayınlamayı planlıyor. Grubun üyeleri içerisinde Google, Bank of America, MasterCard, Samsung ve PayPal gibi devler de yer alıyor.
Biyometrik ve tek kullanımlık güvenlik anahtarı
FIDO Birliği Başkanı ve ortak kurucusu Michael Barrett, 2015’e kadar internet kullanıcılarının büyük bir kesiminin eski gelenek kullanıcı adı ve şifre yöntemini terk ederek biyometrik ve tek seferlik güvenlik anahtarları gibi yeni yöntemlere geçeceğini söyledi. Barrett, özellikle sektördeki büyük oyuncuların yeni standartlara geçmesiyle bu süreceğin hızlanacağının altını çiziyor.
Daha önce PayPal’da bilgi güvenlik uzmanı olarak görev yapan Barrett açıklamasının devamında, “Şifreler… 60 yıllarda efsane idi.” dedi.
Mahremiyet savunucuları şifrelerin sıkıntı nedenlerinden birisinin aslında bir avantaj olduğunu söylüyor. Şifreler belirli periyodlar ile değiştirilebilir. Eğer bir saldırgan sizin şifrenizi öğrenirse bu şifreyi yenisi ile değiştirebilirsiniz. Ancak kap atışınız ya da parmak iziniz her zaman aynı kalır.
Ancak şifreleri sanal suçluların hedefine sokan şey şifrelerin hesaplanabilir olması. Bir sanal soyguncu hedefe bağlı olarak binlerce hatta milyonlarca kullanıcı giriş bilgisini öğrenebilir. Bir sahtekar için ise biyometrikler daha zor bir engel. Bir hırsızın, kişinin parmak izinin sahtesini yapması gerekiyor ya da fark edilmeksizin bir kişinin kalp atışını kaydetmesi. Her ikisi de bireysel bazdaki tehlikeler.
Barrett, biyometrik güvenliğe ve diğer şifre alternatiflerine karşı saldırılar için bize ya da cihazlarımıza fiziksel erişimin gerekli olduğunu söylüyor. Barrett, “Bir insan günde kaç kez saldırıya uğrayabilir? İki ya da üç? Kötü birinin açısından bakarsak bu çok da ilginç değil” diyor.
Bazı şirketler içinse şifreler çoktan tarih olmuş durumda.
Usher isimli yazılımı da yapan Virginia merkezli yazılım şirketi MicroStrategy başkanı Jonathan Klein yaptığı açıklamada, “Kullanıcı adı ve şifrelerini ortadan kaldırdık.” diyor. Usher uygulaması ses ve yüzünüzü tarıyor, cihazın kendisini doğruluyor ve cihazın konumlarını takip ediyor. Böylece insanlar hassas sistemlere belli mekanlarda, belli sınırlarda ya da kısıtlı bir zaman diliminde girebiliyor. Daha sonra uygulama bir QR kodu üretiyor. Kullanıcı bu kodu internet üzerinden okutarak yaptığı işlemlere onay veriyor.
Kaynak: Wall Street Journal / Priya Anand, Marketwatch