Kullanıcıların bir uygulamaya erişmek için kimliklerini en az iki faktörle doğrulamasını gerektiren çok faktörlü kimlik doğrulama (MFA), değerli datalara erişim konusunda önemli değer arz ediyor. Durum o denli ki, ihlal edilen hesapların tamamında MFA kullanılmadığı görülüyor. Gerçekleştirdiği muhafaza stratejisi nedeniyle geçen yıla oranla şirketlerde kullanımı %12 artan MFA’nın fonksiyonelliği ise çeşitli sorunlardan ötürü vakit zaman tesirli olamıyor. Ağ güvenliği ve zekası, inançlı Wi-Fi, gelişmiş uç nokta güvenliği ve çok faktörlü kimlik doğrulamanın önde gelen global sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerde tesirli bir çok faktörlü kimlik doğrulama stratejisinin uygulanabilmesi için 5 değerli ipucunu sıralıyor.

1. MFA’nın seçim olmasına müsaade vermeyin. Şirketlerde MFA uygulanacaksa, bu çalışanlar için bir tercih durumunu kapsamamalı. Şirketler ortasında MFA’nın aktifliğini yitirmesinin en önemli sebebi bunun çalışanlara tercih olarak sunulmasından başlıyor. Şirketlerde MFA kullanımı tercih değil, mecburilik olmalıdır.

2. MFA ile sürtüşecek zayıf uygulamalara yer vermeyin. MFA kullanmak güvenlik denetimlerinde fazladan bir adım olarak görülüyor. Lakin misyonu değerli olan kimlik doğrulamasını kolaylaştıracak süreci kapsıyor. MFA, siber yorgunluğu artırmak için değil, azaltmak için kullanılmalı. Bu yüzden MFA kullanımı sırasında kullanıcıları yoracak mevcut zayıf uygulamaları kaldırarak, kimlik doğrulamayı kolaylaştırmak gerekiyor.

3. Çok faktörlü kimlik doğrulamayı sırf belli çalışanlar ve uygulamalar için kullanmayın. Şirketler ortasında en sık görülen yanılgılardan biri de MFA’yı yalnızca kıymetli olduğu düşünülen departman ve çalışanlara yönelik kullanmaktan geçiyor. Fakat hackerlerin hiç ummadık bir açıktan ve çalışan üzerinden saldıracağının unutulmaması gerekiyor. Tüm çalışanların ve uygulamaların kritik değere sahip olduğunu varsayarak, herkes ve hassas datalar içeren tüm uygulamalar için MFA’yı mecburî kılmak gerekiyor.

4. Tek başına SMS doğrulamasına güvenmeyin. Kimlik doğrulaması için kısa bildiri kullanmak, hiçbir tedbir almamaktan iyi görünüyor. Lakin bunu da uygulamak bir dizi güvenlik problemini beraberinde getiriyor. SMS kodu kimlik doğrulaması, tıpkı vakitte taşınabilir kimlik avı ve SIM Swapping hücumlarının yaşanmasına neden oluyor. Yalnızca SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması daha inançlı sonuçlar oluşturuyor.

5. Kullanımı güç ve karmakarışık tahlilleri uygulamayın. Şirketler makul bir alandaki kimlik doğrulamayla ilgili problemleri ele almak için bir ihlalden yahut kontrolden sonra MFA uygulamaya çabalıyor. Lakin seçilen araçların çok dar kullanım sunmaları şirketleri tıpkı yerde olmasa da öteki alanlarda ziyana uğratıyor. Ayrıyeten sahip olunan araçların kullanımının sıkıntı ve karmaşık olmasının da MFA’dan beklenilen etkiyi görmemelerine neden olduğunu aktaran Evmez, şirketlerin değerli donanımlara muhtaçlık duymadan, büyük bütçeler harcamadan bulut tabanlı çok faktörlü kimlik doğrulama hizmetine sahip olabileceğine dikkat çekiyor. 

Hürriyet