Parolasız Koruma Nedir ve Microsoft Parolasız Koruma Çözümleri

Parolasız Koruma Nedir ve Microsoft Parolasız Koruma Çözümleri güvenlik güvenlik tehtitlerini karşılamak, güvenlik duruşumuzu belirlemek ve onları sertleştirmek için kullanılan ürün, çözüm ve hizmetlerdir.

Bu makalemiz de daha önce paylaşmış olduğumuz güvenlik çözüm, ürün ve hizmetlerini Parolasız koruma yani Password-less Protection çatısı altında birleştirdik ve bu makale içinde aşağıda ki başlıklar hakkında bilgilere sahip olacaksınız.

1. Parolasız Koruma Nedir

Parolasız koruma. Bilinen en eski ve günümüzde de en yaygın kullanılan koruma yöntemini terk edebilir miyiz? Diyelim ki bu yöntemi tercih ettik, bizi neler beklemekte. Neleri kazanacağız yada kaybedeceğiz? Günümüz de teknolojilerin ilerlemesi ve Bilgi İşlem varlıklarımıza yapacak olduğumuz alternatif yatırımlar sonrası karşılaşacak olduğumuz riskleri azaltacakmıyız yoksa yeni riskleri mi satın alacağız?

Değişen yeni dünya düzeniyle birlikte Parolasız yaşam artık hayatımıza girmiş durumda ve bir çok öncü kuruluş da bu yeni yöntem için teknolojiler geliştirmektedir. #password-less-protection etiketiyle yayınlayacak olduğumuz makale ve video çalışmaların da parolasız yaşamı niçin kullanmalıyız ve nasıl kullanabiliriz sorularına cevaplar verecek ve #password-less-protection için geliştirilen teknolojileri sizlere aktaracağız.

1.1. Parola artık neden yeterli değil?

2019 ‘un sonu ve 2020 başlangıcı ile artık yeni dünya düzeni başladı. Pandemi ile tanışan insanlar ve kuruluşlar bir çok alışkanlıklarını terk etti. Covid19 Pandemisi ile birlikte Dünyanın her yerinden yeni bir çağın başlangıcına adım atıldı ve bilgi işlem dünyası da bundan fazlasıyla etkilendi. Evden ve uzaktan çalışan personeller bilgi işlem varlıkları için yeni tehtitler oluşturdu.

“Dünya üzerinde ki ortalama brute-force RDP attacks sayısı günlük 100.000 ile 150.000 arasında değişmektedir. Covid19  nedeniyle uzaktan çalışma şekli artış göstermiş ve Covid19 Pandemi dönemlerinde bu sayı günlük ortalama bir milyon‘a yükselmiştir.”

Bu yeni dünya düzeninde şifreler, geçmişin kalıntısı olarak kabul edilmeye başlandı. Pandemi sonrası oluşan bu yeni dünya düzeni her kuruluşa yeni güvenlik yatırımları ve daha sıkı güvenlik sıkılaştırma politikalarını getirdi. Artık maliyetler, giderek daha fazla oldu…

Fakat bu yeni maliyetler kullanıcıları hırsızlığa karşı savunmasız bırakan geleneksel parola kullanmanın faydalarından daha ağır basmaktadır. Bir çok kuruluş bu yeni maliyetleri kabul etti çünkü, oluşturulan En güçlü şifreler bile artık kolayca ele geçirilebilir durumda…

1.2. Parola Korumasını neden terk etmeliyiz?

Güvenlik tehtitleri bu kadar artmış durumdayken parolasız koruma ile güvenliğimizi nasıl sağlayabiliriz? Geleneksel Parola koruma yöntemi her organizasyon için fazlasıyla tanıdık ve en temel koruma yöntemiyken bundan niçin ve nasıl vazgeçebiliriz.

Kurumsal Bilgi işlem departmanları için hiçbir şey parola desteği ve bakımından daha pahalı değildir. BT ‘nin daha güçlü parola karmaşıklığı kullanarak parola riskini azaltmaya çalışması bilinen yaygın bir uygulamadır ve daha sık parola değişikliğini zorlanmaktadır.

Bu değişiklik sürekli olarak sıkılaşan parola yöntemleri (artan karakterler, rakamlar, simgeler) ile birlikte devam etmektedir. Ancak bu politikalarr, parola sıfırlama gereksinimleriyle ilgili kötü kullanıcı deneyimlerine yol açarken BT yardım masası maliyetlerini de artırır. En önemlisi, bu yaklaşım mevcut siber güvenlik tehditleri için yeterli değil ve kurumsal bilgi güvenliği ihtiyaçlarını de karşılamıyor.

Verizon 2017 Data Breach Investigations raporun da paylaşılan bilgi saldırıların %81 ‘i zayıf ve çalıntı parola kaynaklıdır.

Karmaşık bilgi işlem ortamları için kimlik doğrulaması her zaman için güç olmuştur. Bir kullanıcının yada bir servisin bir uygulamaya yada bir hizmete erişmesi için kullanılan parola, hizmet ve sunucuları saldırganlardan korumak için bir bariyer olmuştur. Fakat bu koruma yöntemin de hesap sahibi ile saldırganı birbirinden ayırmak için, kuruluşların geleneksel parola kullanmanın ötesine geçmesi gerekiyordu. Çünkü, saldırganların başarıyla yapmış olduğu saldırıların %81 ‘i zayıf ve çalıntı parola kaynaklıydı.

Saldırganların daha az başarılı olması için Çok faktörlü kimlik doğrulama (MFA) – örneğin bir pin ve parola veya biyometri ile kimlik doğrulama yöntemi, kuruluşlar için daha güvenli bir yöntem sunmuştur. Windows Device Lock  çalışmamız da bu örneklerini sizlere paylaşmıştık.

Giderek artan karmaşık erişim ortamları ve her zamankinden daha fazla erişim noktası bulunmakta. BT ekipleri, kullanıcıların kaynaklara güvenli erişmeleri için akıllı kartlar, donanım ve yazılım simgeleri, SMS ve daha fazlası gibi çok faktörlü kimlik doğrulama seçeneklerini eklemeye artık e sahip. Bu yöntemler ile ek kimlik doğrulama adımları ekleyebilmekte ve parolaların ötesinde,  kaynaklarınıza kullanıcı erişimini daha güvenli hale getirebilmektesiniz.

Çok faktörlü doğrulama (MFA) gibi ek güvenlik önlemlerini sağlarken kullanıcı deneyimi ve artan karmaşıklık BT ekiplerinin güvenlik riskini azaltırken, sorunsuz bir kullanıcı deneyimi sunması da zorunlu olmaktadır.

Bret Arsenault (CVP & CISO, Microsoft) ‘in Enterprise Security magazine vermiş olduğu bir roportajında şunları söylemiştir.

Yıllar önce, çalışanlarımızın kimliğini güvence altına almak için akıllı kartlarla çok faktörlü kimlik doğrulamaya başladık. Başlangıçta, güvenliği sağlamak için fiziksel akıllı kartlar kullandık, ancak bu insanlara sorunsuz bir kullanıcı deneyimi vermedi. Ek olarak, bu ayrıca her donanım cihazında bir kart okuyucu gerektirmekte ve uygulanması da bir o kadar zordu. Ayrıca akıllı kartlar kaybolmakta veya unutulmaktaydı.

Ardından, insanların kimliklerini doğrulamak için parmak izi, iris taraması, yüz tanıma ve hatta kalp atışlarını kullanmasına izin veren biyometriyi kullanmalarına odaklandık. Bu teknolojilerin kullanımı artık daha kolay ve kişinin ihtiyaç ve tercihlerine daha erişilebilirdir ve suçluların istismar etmesi önemli ölçüde daha zordur.

Password-less protection

Günümüzde BT güvenliği, biyometri, PIN ve genel / özel anahtar kriptografisi gibi gelişmiş teknolojileri kullanan şifresiz kimlik doğrulamaya doğru ilerliyor. Ayrıca, Web Authentication API (WebAuthN) ve Fast Identity Online (FIDO2) gibi yeni standartlar, platformlar arasında şifresiz kimlik doğrulamayı mümkün kılıyor.

Bu standartlar, parolaları biyometri ve kuruluşunuzdaki kişilerin zaten kullandığı güvenlik anahtarları, akıllı telefonlar, parmak izi tarayıcıları veya web kameraları gibi cihazlarla değiştirmek için tasarlanmıştır.

2. Parolasız Koruma Çözümlerini Benimsemek

Şifresiz kimlik doğrulama. Alışa gelmediğimiz bir koruma yöntemi hele ki günümüz teknolojilerine yapılan saldırılar bu kadar değişkenlik kazanmış ve sürekli olarak artış gözlemlenirken Parolasız Korumayı neden tercih etmeliyim. Bu Parolasız Korumayı (Password-less Protection) etkin duruma getirdiğimiz zaman mevcut Bilgi işlem varlıklarım daha mı güvende olacak aksine daha fazla bir risk mi satın alacağımız.

Parolasız Korumayı (Password-less Protection) değindiğimiz gibi, şifresiz kimlik doğrulama, parolayı güvenli bir alternatifle değiştiren çok faktörlü kimlik doğrulama biçimidir. Bu tür bir kimlik doğrulama, oturum açmak için bir şifreleme anahtar çifti ile güvence altına alınmış iki veya daha fazla doğrulama faktörü gerektirir ve genellikle kaydedilen cihaz üzerinde genel ve özel bir anahtar oluşturur.

Özel anahtarın kilidi yalnızca biyometrik veya PIN gibi yerel bir hareket kullanılarak açılabilir. Kullanıcılar, parmak izi taraması, yüz tanıma veya iris taraması gibi doğrudan biyometrik tanıma yoluyla veya cihazda kilitli ve güvenli bir PIN ile oturum açma seçeneğine sahiptir.

2.1. Parolasız Koruma ve uyum politikaları

Temelde, şifresiz kimlik doğrulamanın altında yatan ilke, geleneksel şifre kullanımını ortadan kaldırmak, sınırlı sürelerde sürekli olarak değiştirilen geçici PIN ile ikinci bir cihaz ile ikincil doğrulamalı bir koruma yöntemini sağlamaktır. Böylece saldırganların amaçlarına ulaşmasını neredeyse imkansız duruma getirebilmekteyiz.

Parolasız Koruma (Password-less Protection) teknolojileri ileri seviye yeni teknolojileri, güncel işletim sistemi, uygulama yada servislerin güncel olmasını gerektirir. İkincil bir cihaz ile doğrulama da yapılacağı için kuruluşlara ek bir maliyet de getirmektedir. Ayrıca, erişimler, eskiden olduğu gibi tamamen parolasız değil ikinci bir doğrulamayı da gerektirdiği için kullanıcılar tarafında bir karşı duruş olması da çok mümkündür ve yaşamış olduğumuz problemlerdir.

Fakat, her geçen gün değişen ve sürekli olarak artan saldırıları gördükten sonra, bilgi işlem varlıklarımızı, hizmetlerimizi ve verilerimizi korumamız için bu teknolojileri benimseme zamanı. Bu tür projeler aynı zamanda yeni bir zihniyet de içerir. Kuruluşlar, yaklaşımın kendi operasyon akışlarıyla nasıl çalıştığını anlamalı ve gerekli teknik ve kültürel değişimi yapmalıdır, böylece kullanıcılar bu yeni şifresiz dünyada çalışabilecektir.

Parolasız Koruma (Password-less Protection) ve MFA politikalarınıza şifresiz kimlik doğrulama uygulamak için göz önünde bulundurulması gereken önemli noktalar aşağıda verilmiştir.

2.2. Kullanıcı Eğitimi

Parolasız Koruma (Password-less Protection) ve MFA Parola eksikliklerini giderirken yeni bir dizi alternatif parola değiştirme politikalarını uygulayın. Bu politikaları uygularken sıralı ve kararlı olun ve kullanıcı güvenlik sıkılaştırma işlemlerini tamamlamış olun. Kullanıcılara, bu güvenlik sıkılaştırma işlemlerinin gereksinimlerini anlatan bilgiler ve eğitimler verin ve olumlu özelliklerini benimsettirin. Bu erken aşama, bir alternatifi uygulamak ve kullanıcıları bununla tanıştırmakla ilgilidir.

Pera Bilgi Sistemleri Proaktif hizmetler kapsamında windows client security ve Active Directory Security Hardening çalışmaları ile Parolasız Koruma (Password-less Protection) ve MFA projeleriniz için danışmanlık hizmetlerini vermektedir.

2.3. Nasıl Çalıştığını Anlamak

Parolasız Koruma (Password-less Protection) ve MFA teknolojileri yapmış olduğumuz güvenlik sıkılaştırma çalışmaları sonrasında saldırıların nasıl nasıl geldiğini ve kullanıcı tarafından deneyimlendiğini iyi öğrenin.

Parolasız Koruma (Password-less Protection) ve MFA teknolojisini benimsemek, bir hesap üzerinde güvenliğin sağlanması, yepyeni bir cihaz kurma, hesap / cihazı uygulamalara ve web sitelerine uyumlu duruma getirme, ihtiyaç durumunda kurtarmayı devreye almak gibi parola yaşam döngüsünde ciddi dönüşümleri ileri seviye deneyimleri getirmektedir.

2.3 Kullanıcıların daha fazla benimsemesi

Parolasız Koruma (Password-less Protection) ve MFA teknolojilerini simüle edin; diğer bir deyişle, son kullanıcıların ve BT yöneticileri, bir test ortamında bu simulasyonu adım-adım, planlı ve kararlı bir şekilde yaygınlaştırmalı. Bu simülasyonlar da görülecek ki şifresiz bir dünyaya güvensiz bir dünya değildir ve güvenle geçiş yapılabilir.

Aslında kullanıcılarımız Parolasız Koruma (Password-less Protection) ve MFA teknolojilerine çok yabancı değil ve bu teknoloji yeni de değil. İkincil bir cihaz tarafından talep edilen PIN ve geçici şifre ile yapılan kimlik doğrulama işlemleri de sanıldığı kadar zor değildir. Bu teknolojileri bir çok kullanıcı da zaten kullanmakta.

Bankacılık işlemlerini yaparken doğru girilen parola sonrasın istenilen sınırlı süreli ve sürekli değişen şifreler, her bir işlem de bizlere bildirilen SMS şifreleri, Authenticator uygulamaları, Apple ‘nin geliştirdiği FaceID, Parmak izi, Microsoft ‘un geliştirdiği Windows Hello ile göz bebeği taramasını eski zamandan beri kullanmaktayız.

Parolasız Koruma (Password-less Protection) yöntemlerini henüz konuşmaya başlamadığımız zamanlar da kullanmış olduğumuz Bankacılık uygulamaları ve şifrematikler, bir web sayfasına giriş yaptığımız zaman bizlerin gerçek bir kullanıcı olup olmadığımızı öğrenmeye çalışan resimler Google Recaptcha uygulaması.

Bu örnekler ve kullanım senaryoları her kuruluşa göre özel olarak tasarlanmalı, kuruluş bilgi işlem varlıkları, hizmetleri, verilerine göre doğru ürünler belirlenmeli ve sonrasında kuruluş içinde Parolasız Koruma (Password-less Protection) ve MFA kültürüne teşvik edilmelidir.

Gerçekleştirilecek olan bu simulasyonlar ile kullanıcıların ileride bir şifreyi asla yazmama, değiştirmeme ve hatta bilmeme deneyiminde ki sorular cevaplanmalı ve sonrasında Parolasız Koruma (Password-less Protection) fikri benimsenmelidir.

3. Parolasız Koruma Çözümleri Nelerdir?

Parolasız Koruma (Password-less Protection) çözümleri çok yeni bir teknoloji olmasa bile artan ve çeşitlilik kazanan saldırı yöntemleri yaygınlaştıkça kulağa çok da hoş gelmeyen bir kimlik doğrulama yöntemi.

Aslında Parolasız Koruma (Password-less Protection) çözümlerini ilk paylaşmaya başladığımız blog yazımızda belirttiğimiz gibi bu çözümler eskiden beri vardı günümüz de ise artan teknolojiler sayesinde daha fazla benimsenmeye başlayan ve ufak adımlarla yaygınlaştırmaya başladığımız güvenlik sıkılaştırma (security hardening) projeleri.

Bu türde bir proje yaptığımız zaman bu projelerde problem yaşayacak olduğumuz en önemli alan kullanıcılarımızın Parolasız Koruma yöntemlerini benimsemesidir. Parolasız Korumayı (Password-less Protection) Benimsemek konu başlığı ile paylaşmış olduğumuz blog yazımızda bahsettiğimiz gibi kullanıcılarımız üzerinde gerçekleştirilecek simulasyonlar ile kullanıcıların ileride bir şifreyi asla yazmama, değiştirmeme ve hatta bilmeme deneyiminde ki soruların cevaplanması gerektiğini ve sonrasında Parolasız Koruma (Password-less Protection) fikrini kabul etmeleri gerektiğini belirtmiştik.

Parolasız Koruma (Password-less Protection) teknolojisi çok eski bir teknoloji olmamakla birlikte bir çok ürün ve çözümde bir çok öncü üretici tarafından geliştirilmeye ve iş kritik seviyede bulunan müşteriler tarafından kullanılmaya başlandı.

Evet, bu çözümler ne çok eski ne de çok yeni. Kullanıcılarımız Parolasız Koruma (Password-less Protection) projelerine bire/bir etki eden faktör olsa bile Kurumsal BT alt yapımızda bulunan sunucular, hizmetler ve veriler de bu projelere bire-bir etki etmektedir.

Çok fazla değişken olduğu için de Parolasız Koruma (Password-less Protection) Projelerinde doğru ürünü, ürünleri yada karma olarak çalıştıracak olduğumuz birden fazla ürünün adaptosyonunu yapabilmek için de Parolasız Koruma (Password-less Protection) Çözümlerini iyi bilmemiz ve karşılaştırmalarını yapmamız gerekmektedir.

“Cep Telefonu ve Bilgisayar kullanım ortanı arttıkça unutulan parola sayısı ve sonrasında erişilemeyen hizmetler ve iş kesintileri olduğu için Parolasız Koruma (Password-less Protection) çözümleri biyometri verileri ile kimlik doğrulama çözümleri de yaygınlaşmaya başlamıştır. FaceID, Parmak izi ile oturum açma çözümleri Parolasız Koruma (Password-less Protection) çözümlerine verecek olduğumuz örneklerdir.”

3.1 Microsoft Parolasız Koruma Çözümleri

Microsoft, bugün deneyebileceğiniz ve parolasız kimlik doğrulama gereksinimlerinizle eşleştirebileceğiniz platform, donanım veya yazılıma dayalı bir çok çözüm sunar. Microsoft tarafından Windows 10’da sunulan Windows Hello, biyometrik sensörler veya bir kullanıcının kimliğini doğrulamak için bir PIN.

Microsoft Authenticator uygulaması, kullanıcıların bir cep telefonundan işlerinde veya kişisel hesaplarında oturum açarken yerleşik bir biyometrik veya PIN ile kimliklerini doğrulamalarına olanak tanıyan çözümler sunmaktadır.

Microsoft; FIDO Alliance ‘ın bir üyesi olarak yeni nesil kimlik bilgileri için açık standartlar geliştirmek üzere diğer FIDO Alliance üyeleriyle birlikte çalışmaktadır.  Sonuç olarak, desteklenen cihazlarda ve tarayıcılarda veya bulut hizmetlerinde oturum açmak için artık taşınabilir FIDO2 donanım cihazlarını da kullanabilirsiniz.

FIDO2 Parolasız Koruma (Password-less Protection) çözümleri ile birlikte kullanabileceğiniz Microsoft çözümleri Windows Hello for Business, Microsoft Authenticator App ve FIDO2 security keys çözümleridir.

3.1.1. Windows Hello for Business

Windows Hello for Business, PC’ler ve mobil cihazlar dahil Windows 10 platformlarında parolaları güçlü çok faktörlü kimlik doğrulamayla değiştirir.
Bu kimlik doğrulama, bir cihaza bağlanan ve bir biyometrik veya PIN kullanan yeni bir kullanıcı kimlik bilgilerinden oluşur.
Yüzünüz, iris taraması, parmak iziniz veya bir PIN ile oturum açmanıza olanak tanır ve cihazınızda veya ağda bir parola saklanmadan kurumsal uygulamalar, içerik ve kaynaklar için kimlik doğrulamanızı sağlar.

Windows Hello ile birlikte gerçekleştirmiş olduğunuz Parolasız Koruma (Password-less Protection) çözümlerinde Biyometrik veriler yalnızca yerel olarak kullanılır ve cihazı asla terk etmez. Bu özelliği sayesinde Windows Hello çözümleri KVKK gibi regülasyonlar ile uyumludur.

Windows Hello sağlama işlemi, bir cihazdaki Güvenilir Platform Modülüne (TPM) bağlı bir şifreleme anahtarı çifti oluşturur. Bu anahtarlara erişim ve kullanıcının özel anahtara sahip olduğunu doğrulamak için bir imza alma, yalnızca PIN veya biyometrik hareketle etkinleşmektedir.

Windows Hello kaydı sırasında gerçekleşen iki aşamalı doğrulama, kimlik sağlayıcı ile kullanıcı arasında güvenilir bir ilişki oluşturur. Bir kullanıcı cihaz üzerinden hareketi yaptığında, sağlayıcı kimliği Windows Hello tuşları ve hareketin kombinasyonundan doğrulayabilir. Bu, Windows 10’un kaynaklara ve hizmetlere erişmesine izin veren bir kimlik doğrulama belirtecini etkinleştirmektedir.

“Windows Hello for Business kişiseldir, basittir ve yüksek güvenlik ile mükemmel bir kullanıcı deneyimi sağlar. Çalışanlarımız parmak izleriyle veya yüzleriyle oturum açmayı seviyor. Peter Scott, Director of Dynamic IT, British Telecom Technology”

Ekim 2018 itibarıyla dünya çapında 89 milyon aktif Windows Hello kullanıcısı bulunmakta ve 6.500’den fazla kuruluş Windows Hello kurdu. Microsoft çözüm ortakları arasında bulunan bir çok donanım üreticisi, Windows Hello for Business uyumlu kamera ve parmak izi okuyucuları üretti.

3.1.2. Microsoft Authenticator App

Milyonlarca kişi oturum açma işlemlerini daha güvenli hale getirmek için Microsoft Authenticator App uygulamasını kullanmakta.

Microsoft Authenticator uygulaması, kullanıcıların kimliklerini doğrulamasına ve iş veya kişisel hesaplarında kimlik doğrulamasına olanak tanır. Microsoft Authenticator App, tek seferlik bir parola veya push bildirimi ile parola güvenliğini sıkılaştırmak için kullanılmaktadır.

Uygulamayı kullanabilmek için aynı zamanda birden fazla faktörüü doğrulamak (MFA) ve bir şifreye de ihtiyacınız bulunmakta. Kullanıcılar bir şifre kullanmak yerine parmak izi taraması, yüz veya iris tanıma veya PIN ile cep telefonunuzu kullanarak kimliklerini onaylar.

Windows Hello’nun kullandığına benzer bir Parolasız Koruma (Password-less Protection) teknoloji üzerine inşa edilmiş olan Microsoft Authenticator App bir mobil cihazda basit bir uygulama olarak çalışmaktadır.

Microsoft Authenticator App uygulaması Android ve iOS için mevcuttur. Bir kullanıcı adı girdikten sonra bir parola istemiyle karşılaşmak yerine, kullanıcılar kimliklerini  doğrulamak için bir push bildirimi alır. Microsoft Authenticator App uygulaması , kullanıcılar oturum açma ekranındaki bir numarayı eşleştirerek ve ardından özel anahtarın kilidini açmak ve kimlik doğrulamayı tamamlamak için bir yüz taraması, parmak izi veya PIN sağlayarak varlıklarını onaylar. Bu çok faktörlü doğrulama yöntemi bir paroladan daha güvenlidir ve bir parola ve bir kod girmekten daha kullanışlıdır.

3.2 FIDO2 security keys

FIDO2, donanım aygıtlarını kullanan açık anahtar şifrelemesine dayanan U2F açık kimlik doğrulama standardına sahip bir çözümdür. Bu standart, güçlü birinci faktör (şifresiz) ve çok faktörlü olmak üzere birden fazla kullanıcı kimlik doğrulama senaryosunu çözmeyi amaçlamaktadır.

Bu yeni yeteneklerle, bir güvenlik anahtarı tamamen zayıf olan statik kullanıcı adı / parola kimlik bilgileri yerini alabilir ve güçlü donanım destekli genel / özel anahtar kimlik bilgileri ile kimlikler doğrulanabilir.  Bu kimlik bilgileri yeniden kullanılamaz, yeniden oynatılamaz veya hizmetler arasında paylaşılamaz.

FIDO2, WebAuthN ve CTAP protokollerine uyan cihazlar ve belirteçler, parola kullanmadan güçlü bir kimlik doğrulamasının çapraz platform çözümü sağlar. Microsoft iş ortakları, USB güvenlik anahtarları ve NFC özelliğine sahip akıllı kartlar gibi çeşitli güvenlik anahtarı ile çok faktörlü koruma (MFA) çözümlerini sunmaktadır.

Microsoft; FIDO Alliance üyesi olan firmaların üretmiş olduğu güvenlik cihazlarını Windows, Microsoft Edge tarayıcısı ve çevrimiçi Microsoft hesapları ile birlikte çalışması için yazılımlarını ve hizmetlerini geliştirmekte ve güçlü Parolasız Koruma (Password-less Protection) kimlik doğrulama yöntemlerini sunmaktadır.

Paylaşılan cihaz senaryoları için güvenlik anahtarları, kimlik bilgilerinizi yanınızda taşımanıza ve kuruluşunuzun bir parçası olan Azure AD’ye katılmış bir Windows 10 cihazında güvenli bir şekilde kimlik doğrulamanıza olanak tanır.

Kuruluşunuza ait herhangi bir paylaşılan Windows cihazını kullanabilir ve önceden bir kullanıcı adı ve parola girmenize veya Windows Hello kurmanıza gerek kalmadan güvenli bir şekilde kimlik doğrulaması yapabilirsiniz.

Geleneksel şifrelerin aksine, bu anahtarlar güçlü kimlik doğrulama sağlamak için yüksek güvenlikli, açık anahtarlı kriptografiye dayanır. Ayrıca bu anahtarlar, kimlik bilgilerini depolamak için güvenli bir mahallin tüm avantajlarına sahiptir ve aynı zamanda taşınabilirdir ve masa başında olmayan çalışanlar ve kiosk çalışanları için daha fazla kullanım alanı sağlar.

“FIDO2 Güvenlik Cihazlarının Dağıtımı basit ve kullanımı kolaydır. Gelecekte 110.000’den fazla Emirates Group çalışanına FIDO2 destekli HID rozetlerinin verilmesini planlamaktayız. Emirates IT”

Microsoft, başından beri FIDO Alliance üyesidir ve FIDO Alliance üyesi 250 ‘den fazla iş ortağı ile birlikte parola kullanımı kolay, güçlü bir kimlik  doğrulama ve Parolasız Koruma (Password-less Protection) çözümleri için ortak misyonda çalışmaktadır.

4. Microsoft Teknolojileri ve Parolasız Koruma Çözümleri Birlikte Kullanımı

#password less protection etiketi ile paylaşmış olduğumuz yazılarda Parolasız bir dünya ‘nın mümkün olup-olamadığını konuşmaya başladık. Geleneksel parola kullanımı artık bir çok şirket için tehtit oluşturmakta ve güvenlik açıklarını da içinde barındırmakta.

Parolasız bir dünyda yaşamak kolay gibi görünsede kullanıcıların kimlik doğrulama alışkanlıklarının değiştirilmesi ve unutulan parolalar ayrı bir problem ve destek hizmetleri için de ek bir maliyet. Parola unutma senaryosu geleneksel parola kullanımı içinde geçerli ve BT Destek masaları için ek bir iş yüküdür.

Parola kullanımı için dönüşüm ve değişim dönemindeyiz. Parolasız koruma çözümlerine son kullanıcı tarafından güvensiz olarak yaklaşılmakta, şirketler içinse sahip oldukları bilgi işlem varlıkları, onların zenginliği ve çeşitliliği “hangi Parolasız koruma çözümleri bizim için uygun” sorusunu sormaya ve araştırma yapmaya yöneltmektedir. Bir diğer önemli konu ise Parolasız koruma çözümlerinde biyometri verilerin de kullanılması hukuk departmanlarının dikkatini çekmekte, regülasyon ve uyum yasaları da bu yeni teknolojiye yakından tahip etmekte.

Parolasız Koruma (Password-less Protection) Çözümleri ‘ni konuşmuş olduğumuz makalemizde günümüzde kullanılan Password-less Protection çözümlerini sizlere paylaşmıştık. Bu çözümler arasında tercih yaparken en çok dikkat etmemiz gerekli olan başlığın ise bu çözümleri kullanacak olan kullanıcıların bu çözümleri benimsemesi, mevcut BT varlıklarına uyum süreci ve hukuka uygunluk sorularının cevaplanması gerektiğini sizlere aktarmıştık.

Bu çalışmadaysa Password-less Protection ürünlerini ve Microsoft teknolokileri ile birlikte çalışma özelliklerini karşılaştıracağız.

4.1. Microsoft Teknolojileri ve Parolasız Koruma

Parolasız Koruma (Password-less Protection) Çözümlerini seçerken göz önünde bulundurmanız gereken bir çok faktör bulunmaktadır. Seçimini yapacak olduğumuz Parolasız Koruma çözümleri

• Mevcut BT varlıkları ile uyumlu mu ve tek bir çözüm ile bu projeyi gerçekleştirebilecekmiyim?
• Sistem ve aygıtlarım için ön gereksinimler nelerdir ve uyum sürecinde ek bir maliyet / gizli bir maliyet beni bekliyormu?
• Kullanıcı deneyimi nasıl, kullanıcılarım bu çözümleri benimseyecek ve kullanacak mı?
• Yaygınlaştırma senaryolarında harcayacak olduğum efor ve hukuk departmanının bu senaryolara bakış açısı nasıl olacak?

Microsoft Teknolojileri ve Parolasız koruma (Password-less Protection) çözümlerini incelerken yukarıda ki temel soruları cevaplamak üzere bu makaleyi hazırladık. Karşılaştıracak olduğumuz Parolasız Koruma (Password-less Protection) çözümleri Windows Hello for Business, Microsoft Authenticator app ve Fast Identity Online (FIDO) 2 security devices ‘lar

4.2. Windows Hello for Business

Windows Hello for Business ürünleri Platform tabanlı Parolasız koruma (Password-less Protection) ürünüdür. Windows Hello for Business ile Parolasız koruma projesi yapılacaksa eğer son kullanıcılarımızın Windows 10 işletim sistemlerinin en az Windows 10, version 1511 sürümüne sahip olması gerekmektedir.

Bu çözümü tercih ettiğimiz zaman Windows cihazlarda bir PIN veya biyometrik tanıma (yüz, iris veya parmak izi) kullanarak oturum açma deneyimi yaşanacaktır.  Windows Hello kimlik doğrulaması cihaza bağlıdır; kullanıcının kurumsal kaynaklara erişmek için hem cihaza hem de PIN veya biyometrik faktör gibi bir oturum açma bileşenine ihtiyacı bulunmaktadır. Bu teknolojiyi kullanacak olan kullanıcı bilgisayarların da Trusted Platform Module (TPM) ve tercih edecek olduğumuz biyometrik doğrulama için kamera yada parmak izi okuyucusuna sahip olması gerekmektedir.

Windows Hello for Business ürünleri biyometrik doğrulama işlemlerinde kullanıcı biyometrik verilerini kullanıcı bilgisayarın da saklamaktadır. Merkezi doğrulama sunucularına verileri yollamamakta ve hukuk departmanları tarafından da sevilen bir uygulamadır. Fakat Windows Hello for Business ürünleri Azure Active Directory çözümleri ile de bütünleştiği için ek soruları da doğuran ve uyum taslakları yazılırken dikkat edilmesi gereken bir üründür.

Kullanıcı deneyimin de ise PIN veya biyometrik faktör ile kolay bir şekilde kimlikler doğrulansa bile kurumsal uygulamalar bazı zamanlarda parola istemektedir. ve Kullanıcılar sürekli olarak PIN veya biyometrik faktör ile oturumlarını açtıkları için bir çoğu parolasını unutmuş olmakta ve BT Destek masaların da ek bir iş yükü sürekli olarak oluşmaktadır.

4.2. Microsoft Authenticator app

Microsoft Authenticator app yazılım tabanlı Parolasız koruma (Password-less Protection) ürünüdür. Microsoft Authenticator app ile Parolasız koruma projesi yapacaksak eğer son kullanıcılarımız için iOS ve Android işletim sistemine sahip ikinci bir cihazlarının olması gerekmektedir. Microsoft Authenticator app yazılımı Android 6.0 ve üzeri cihazı istemektedir.

Kullanıcılarımızın sahip olacakları bu ikinci cihaz ile Parolasız koruma (Password-less Protection) çözümleri PIN veya biyometrik faktör ile ikinci bir doğrulama ile sağlanmaktadır. Parmak izi taraması, yüz veya iris tanıma ya da PIN özellikli bir cep telefonu kullanarak oturum açma işlemleri tamamlanacaktır. Günümüzde bir çok kullanıcı cep telefonuna sahip olsa bile Microsoft Authenticator app yazılımı için ihtiyaç duyulan güncel cihaz gereksinimi şirketlere maliyet olarak geri dönüş yapacaktır.

Microsoft Authenticator app yazılımını tek-tek bütün aygılara yükleyebilir ve yaygınlaştırma işlemini tamamlayabiliriz. Fakat bu işlem BT masaları için ek bir yük olacaktır. Bu iş yükünü hafifletmek için Microsoft Intune gibi Mobile Device Manager yazılımı ile bu Parolasız koruma (Password-less Protection) projesini yapabiliriz fakat bu durumda ise ek yazılım maliyetleri ile mevcut proje haricinde gizli bir proje ve maliyet bizleri beklemekte.

Microsoft Authenticator app yazılımı kullnıcı biyometrik verilerini cihaz üzerinde saklamakta ve merkezi bir sunucu ile paylaşmamaktadır. Bu özelliği ile hukuk departmanları tarafından seviyelen bir uygulama olsa bile uygulama yada aygıtda oluşacak bir güvenlik zafiyeti hukuk depermanları ve regülasyonlar tarafından soru işareti olmaya devam edecektir.

4.3 Fast Identity Online (FIDO) 2 security devices

Fast Identity Online (FIDO) 2 güvenlik cihazları donanım tabanlı Parolasız koruma (Password-less Protection) ürünüdür. Fast Identity Online (FIDO) 2 güvenlik cihazları ile Parolasız koruma projesi yapılacaksa eğer son kullanıcılarımızın Windows 10 işletim sistemlerinin en az Windows 10, version 1809 sürümüne sahip olması gerekmekte ve bu işletim sistemi ile uyumlu Fast Identity Online (FIDO) 2 Güvenlik cihazına sahip olması gerekmektedir.

Microsoft; FIDO Alliance ‘ın bir üyesi olarak yeni nesil kimlik bilgileri için açık standartlar geliştirmek üzere diğer FIDO Alliance üyeleriyle birlikte çalışmaktadır.  Sonuç olarak, desteklenen cihazlarda ve tarayıcılarda veya bulut hizmetlerinde oturum açmak için artık taşınabilir FIDO2 donanım cihazlarını da kullanabilirsiniz.

Kullanıcı, kuruluş kontrollerine dayalı olarak cihaza erişebilir ve USB gibi cihazları kullanarak PIN, biyometriye dayalı olarak kimlik doğrulayabilir. Güvenlik anahtarları ve NFC özellikli akıllı kartlar, anahtarlar veya giyilebilir cihazlar olabilmektedir. Azure Active Directory çözümleri ile de bütünleştiği için hukuk departmanları için ek soruları da doğuran ve uyum taslakları yazılırken dikkat edilmesi gereken bir üründür.

Windows Device Lock Teknolojisi de FIDO2 ile yapılacak olan çözümler başlığına yaklaşmaktadır ve KVKK gibi yasal uyumluluğa sahip Parolasız koruma (Password-less Protection) ürünüdür. Biyometri, PIN ve NFC kullanan çalışanlar için şifresiz deneyim sağlanmakta, paylaşılan bilgisayarlar için ve bir cep telefonunun uygun bir seçenek olmadığı durumlarda geçerlidir. Örneğin, yardım masası personeli, halka açık kiosk veya hastane ortamları için önerilmektedir.

5. Parolasız Koruma Çözümleri Nekadar Güçlü?

Parolasız Koruma (Password-less Protection) teknolojisi geleneksel parola korumasından uzakmış gibi görünse bile en temel de geleneksel parola korumasına ek olarak olarak sunulan çözümlerdir. Kullanmış olduğumuz Parolasız Koruma (Password-less Protection) çözünlerine bağlı olarak pin, asimetrik şifre ve biometrik verilerden yararlanmakta ve geleneksel parola korumasını güçlendirmekte ve güvenlik sıkılaştırma projelerinde kullanılmaktadır.

Parolasız Koruma (Password-less Protection) teknolojisi en temel de üç farklı çözümden oluşmaktadır ve bu çözümleri de Parolasız Koruma (Password-less Protection) Çözümleri konu başlığı ile sizlerle paylaşmıştık.

Microsoft Parolasız Koruma (Password-less Protection) çözümleri Windows Hello for Business, Microsoft Authenticator App ve Windows FIDO2 Security Keys ile geleneksel güvenlik çözümlerine ek güvenlik çözümleri sağlamaktadır. Bu üç teknoloji de sertifika ve asimetrik anahtar çiftine dayalı çalışmakta ve kimlik bilgileriyle kanıtlanmış kimlik doğrulama modelini güçlendirmektedir.

Windows Hello for Business, Microsoft Authenticator App ve Windows FIDO2 Security Keys çözümleri Microsoft firması tarafından sağlanan Parolasız Koruma çözümleridir ve bu çözümler kendi aralarında teknolojij farklılıklar göstermektedir. Bu çözümlerin her birisi BT alt yapımız içinde bulunan bütün sunucu, uygulama ve servisler ile uyumlu olmayabilir. Password-less Protection çözümlerine yatırım yaparken, BT alt yapımız içinde bulunan sunucu, uygulama ve hizmetlerin, Parolasız Koruma teknolojileri ile uyumluluğuna dikkat etmeliyiz. Aynı zaman da kullanıcı deneyimi ve eğitimi de Parolasız Koruma projelerinde dikkate alınması gereken en önemli unsurdur ve Parolasız Korumayı (Password-less Protection) Benimsemek konu başlığında ayrıca paylaşmıştık.

Microsoft Parolasız Koruma (Password-less Protection) çözümleri ‘nde Kimlik sağlayıcı, kayıt veya sağlama aşamasında kullanıcı kimliğini doğrular ve genel anahtarı bir kullanıcı hesabına eşler. Kimlik doğrulama, bir cihaza bağlı bir anahtar veya sertifika ile kişinin bildiği bir şeyi (PIN) veya kişinin sahip olduğu bir biyometrik veriyi birleştiren birden fazla koruma çözümüdür. Genellikle özel anahtarlar, kullanmış olduğumuz cihazda güvenli bir şekilde saklanır. Özel anahtarlar tek bir cihaza bağlıdır ve asla paylaşılmaz. Bu anahtarlar dolaşmaz ve asla harici cihazlara veya sunuculara gönderilmez. En azından üreticilerin bizlere söyledikleri bunlardır…

Bu tür bir kimlik doğrulama PIN girişi ve biyometrik hareket gibi yerel bir hareket gerektirir. Parolasız Koruma (Password-less Protection) çözümlerinde ikinci doğrulamayı yapan cihazlar yada uygulamalar kimlik sağlayıcısına gönderilen verileri imzalamak için özel anahtarı kullanırlar.

5.1 Güvenli Kimlik Doğrulama

Aşağıda paylaşmış olduğumuz ekran görüntüsünde Güvenli kimlik doğrulama akış mimarisi bulunmaktadır ve Parolasız Koruma (Password-less Protection) çözümlerinde, Güvenli kimlik doğrulama işlemi üç aşamadan oluşmaktadır.

Secure authentication flow architecture

• Kullanıcı, cihaz hesabında oturum açmaya çalışır ve cihaz bir kimlik doğrulama isteği gönderir. Kimlik doğrulama isteği tek başına çalışan Azure AD sunucuları olabileceği gibi yerel veri merkezi içinde çalışan Microsoft Active Directory Domain Controller Sunucuları da olabilir.
• Microsoft Parolasız Koruma (Password-less Protection) çözümlerinde on-premise Active Directory kullanılıyorsa eğer Azure AD ile hybird kurulması gerekmektedir. Microsoft 365 Identity Modelleri konu başlığında bu senaryoları sizlere paylaşmıştık. Azure AD sunucuları, cihazdan gönderilen kimlik için doğrulama ister.
• Kullanıcı, cihazından yerel bir hareketle (örneğin, biyometrik veri yada PIN) etkileşime girer. Cihaz, kimliği imzalamak için özel anahtarı kullanır ve anahtar kimliği ile Azure AD’ye döner. Azure AD’ye gönderilen cihaz anahtarıyla imzalanan hem kimlik hem de anahtar kimliğini içeren bir istek / imza cihaza gönderilir.
• Azure AD, imzayı kullanıcı nesnesindeki ortak anahtarla doğrular. Birincil Yenileme Belirteci (SSO belirteci) ve kimlik belirteci oluşturur ve bunları şifrelenmiş bir oturum anahtarıyla birlikte geri gönderir. Kullanıcı, yeniden kimlik doğrulamaya (SSO) gerek kalmadan uygulamalara ve servislere erişir.

Parolasız Koruma (Password-less Protection) çözümlerinde ki çok faktörlü doğrulama işlemi çok karmaşık görünsede oturum açma işlemleri saniyeler içinde tamamlanmaktadır…

6. Parolasız Koruma Çözümleri ve Yanlış Anlamalar

Parolasız Koruma (Password-less Protection) çözümleri için çokça yanlış anlamalar bulunmakta ve bu yaygın yanlış anlamalar da kullanıcıların bu yeni nesil güvenlik koruma çözümüne mesafeli durmasına neden olmaktadır.

Aslında Parolasız Koruma çözümlerini eski zamanlardan beri kullanmaktayız ve Parolasız Koruma çözümleri, günümüz saldırılarını bertaraf etmek için kullanılabilecek olduğumuz en sıkı güvenlik çözümüdür.

Fakat, Parolasız Koruma (Password-less Protection) çözümlerinin terminolojide ki ismi, kullanıcıların bu yeni nesil güvenlik koruma çözümüne mesafeli kalmasına neden olmaktadır. Parolasız Koruma (Password-less Protection) ve Yanlış Anlamalar konu başlığı ile bu yanlış anlamalara cevaplar vermeye çalışacağız.

6.1 Pin ile Şifre/Parola aynı şey değil mi…

Evet PIN numarası bir parolaya çok benzer ve bu da kullanıcıların onları karıştırmasına yol açabilir. Bir PIN bir dizi sayı olabilir, ancak Şifre yada parola kurumsal ilke tarafından belirlenmektedir. Pin numarasını, kullanıcılar kendileri kendi politikalarına bağlı kalarak belirlemektedir. Parola ise büyük harf, küçük harf, özel karakter(ler) ve numaralardan oluşmaktadır.

“Pin numaraları genellikle rakamlarlardan oluşşa bile yeni nesil güvenlik cihazları artık artık harf içeren karmaşık PIN’ lere de izin verilebilmektedir.”

Pin, parolaya göre daha kolaydır ve karmaşık değildir fakat Parola kadar kuvvetlidir. Evet “Parola kadar kuvvetli” benzetmesi burada bir başka yanlış anlamaya neden olacak. Parola bir çok karmaşık karakter birleşmesinden oluşurken bir Pin, onun kadar nasıl kuvvetli ve güvenli olacak sorusunu sorabilirsiniz.

Burada bilinmesi gereken PIN’in mimarisi değil (uzunluk, karmaşıklık), daha ziyade nasıl çalıştığıdır. Pin yapılandırıldığı zaman yapılandırıldığı donanım cihazına bağlanır. Cihaz olmadan
PIN işe yaramaz. Birisi PIN kodunuzu çaldıysa ve hesabınızda oturum açmak isterse, fiziksel cihazınıza da ihtiyacı olacaktır.

Pin koruması için aklınızda sorular varsa Parolasız Koruma (Password-less Protection) Ne Kadar Güçlü makalesinde bu sorulara detaylı olarak cevaplarımız bulunmakta.

“Parola ile bağımsız cihazdan oturum açabilirsiniz fakat Pin ile sadece Pin ‘i tanımladığınız cihazdan oturum açabilirsiniz.”

6.2 Ugulama ve Servisler etkilenir mi?

Parolasız Koruma (Password-less Protection) güvenlik çözümlerini kullanmak istediğiniz zaman eski protokolleri kullanan uygulama ve servisleriniz bu yeni çözümden etkilenebilir…

Bu etkilenmelerin önüne geçmek için Microsoft, bir tür tek seferlik ve zaman sınırlı bir şifre geliştirmektedir. Microsoft Teknolojileri ve Password-less Protection çözümleri ve Parolasız Korumayı (Password-less Protection) Benimsemek konu başlığı ile paylaşmış olduğumuz makalelerde bu sorulara detaylı olarak cevaplarımız bulunmakta.

Windows Hello for Business, Microsoft Authenticator App ve uygulama ve servislerinizle birlikte uyumlu çalışacak Fast Identity Online (FIDO) 2 security devices ile bu etkiyi en aza indirebilirsiniz. Kullanıcının eski yetkilendirmeyi kullanırken oluşturabileceği geçerli bir zaman veya zaman sınırına sahip şifreleri Windows Hello for Business, Microsoft Authenticator App ve FIDO 2 security devices ile bertaraf edebilmek mümkün.

“Microsoft; FIDO Alliance ‘ın bir üyesi olarak yeni nesil kimlik bilgileri için açık standartlar geliştirmek üzere diğer FIDO Alliance üyeleriyle birlikte çalışmaktadır.  Sonuç olarak, desteklenen cihazlarda ve tarayıcılarda veya bulut hizmetlerinde oturum açmak için artık taşınabilir FIDO2 donanım cihazlarını da kullanabilirsiniz.”

6.3 Biyometrik güvenlik çözümleri saldırıya uğramaz mı?

Parolasız Koruma (Password-less Protection) güvenlik çözümlerin de biyometrik verilerin önemi ve hırsızlığa karşı korumanın ne kadar kritik olduğunu da bilmekte…

Bu nedenle, “biyometrik imzanız” cihazda yerel olarak güvence altına saklanmakta ve sizden başka hiç kimse ile paylaşılmamakta. Ayrıca, imzanız yalnızca cihazınızın kilidini açmak için kullanılır ve hiçbir zaman ağ üzerinden kimlik doğrulaması yapılmaz ve merkezi bir yerde saklanmaz. Cihazda yalnızca biyometrik veya PIN verileri depolanmakta ve bir saldırganın biyometrik verileri çalmak için hedef alacağı merkezi nokta bulunmamaktadır.

Cihaz kullanıcı sorumluluğunda olduğu için biyometrik imzalar da kullanıcı sorumluluğundadır. Bu unsurları dikkate aldığımız zaman biyometrik verilerin çalınabilmesi için saldırganın önce cihazı ele geçirmesi gerekmektedir.

“Biyometrik imzalar merkezi bir yerde saklanmadığı sürece KVKK ve GDPR gibi yasalara uyumludur… FIDO2 ve Windows Hello kullanımında, kullanıcı oturum açmak için parmağını kaydırmakta, bir cümle söylemekte veya bir cihazdaki bir kameraya bakmakta. Bu eylemlerin her birisi cihaz üzerinde kriptografik anahtardır.”

Yaygın biyometrik saldırı yöntemi, oturum açma işleminde sunulan biyometrik verinin gerçek olduğunu zannettirmek ve sistemi kandırmaya çalışmaktır. Herhangi bir sahtekarlık veya bilgisayar korsanlığı saldırısı gibi.  Çeşitli koruma katmanlarının ötesinde, günümüzde birçok biyometrik sistem “canlılık tespiti” yapmaktadır ve sunulan biyometrik verilerin gerçek ve canlı olduğunu doğrulamaktadır.