Kullanıcıların bir uygulamaya erişmek için kimliklerini en az iki faktörle doğrulamasını gerektiren çok faktörlü kimlik doğrulama (MFA), kıymetli bilgilere erişim konusunda önemli ehemmiyet arz ediyor. Durum o denli ki, ihlal edilen hesapların tamamında MFA kullanılmadığı görülüyor. Gerçekleştirdiği muhafaza stratejisi nedeniyle geçen yıla oranla şirketlerde kullanımı %12 artan MFA’nın fonksiyonelliği ise çeşitli sorunlardan ötürü vakit zaman tesirli olamıyor. Ağ güvenliği ve zekası, inançlı Wi-Fi, gelişmiş uç nokta güvenliği ve çok faktörlü kimlik doğrulamanın önde gelen global sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerde tesirli bir çok faktörlü kimlik doğrulama stratejisinin uygulanabilmesi için 5 değerli ipucunu sıralıyor.
1. MFA’nın seçim olmasına müsaade vermeyin. Şirketlerde MFA uygulanacaksa, bu çalışanlar için bir tercih durumunu kapsamamalı. Şirketler ortasında MFA’nın aktifliğini yitirmesinin en önemli sebebi bunun çalışanlara tercih olarak sunulmasından başlıyor. Şirketlerde MFA kullanımı tercih değil, mecburilik olmalıdır.
2. MFA ile sürtüşecek zayıf uygulamalara yer vermeyin. MFA kullanmak güvenlik denetimlerinde fazladan bir adım olarak görülüyor. Fakat vazifesi değerli olan kimlik doğrulamasını kolaylaştıracak süreci kapsıyor. MFA, siber yorgunluğu artırmak için değil, azaltmak için kullanılmalı. Bu yüzden MFA kullanımı sırasında kullanıcıları yoracak mevcut zayıf uygulamaları kaldırarak, kimlik doğrulamayı kolaylaştırmak gerekiyor.
3. Çok faktörlü kimlik doğrulamayı sırf makul çalışanlar ve uygulamalar için kullanmayın. Şirketler ortasında en sık görülen yanlışlardan biri de MFA’yı yalnızca kıymetli olduğu düşünülen departman ve çalışanlara yönelik kullanmaktan geçiyor. Lakin hackerlerin hiç ummadık bir açıktan ve çalışan üzerinden saldıracağının unutulmaması gerekiyor. Tüm çalışanların ve uygulamaların kritik kıymete sahip olduğunu varsayarak, herkes ve hassas bilgiler içeren tüm uygulamalar için MFA’yı mecburî kılmak gerekiyor.
4. Tek başına SMS doğrulamasına güvenmeyin. Kimlik doğrulaması için kısa ileti kullanmak, hiçbir tedbir almamaktan yeterli görünüyor. Lakin bunu da uygulamak bir dizi güvenlik problemini beraberinde getiriyor. SMS kodu kimlik doğrulaması, tıpkı vakitte taşınabilir kimlik avı ve SIM Swapping taarruzlarının yaşanmasına neden oluyor. Yalnızca SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması daha inançlı sonuçlar oluşturuyor.
5. Kullanımı güç ve karmakarışık tahlilleri uygulamayın. Şirketler makul bir alandaki kimlik doğrulamayla ilgili sıkıntıları ele almak için bir ihlalden yahut kontrolden sonra MFA uygulamaya çabalıyor. Fakat seçilen araçların çok dar kullanım sunmaları şirketleri birebir yerde olmasa da öteki alanlarda ziyana uğratıyor. Ayrıyeten sahip olunan araçların kullanımının sıkıntı ve karmaşık olmasının da MFA’dan beklenilen etkiyi görmemelerine neden olduğunu aktaran Evmez, şirketlerin değerli donanımlara muhtaçlık duymadan, büyük bütçeler harcamadan bulut tabanlı çok faktörlü kimlik doğrulama hizmetine sahip olabileceğine dikkat çekiyor.
