Çok faktörlü kimlik doğrulama (MFA), son yıllarda giderek daha önemli hale gelen bir güvenlik yöntemi. Bu yöntemde kullanıcılar bir uygulamaya veya servise erişmek için kimliklerini en az iki ayrı şekilde onaylatmaları gerekiyor. Özellikle hassas ya da önemli verilere erişim konusunda fazladan bir koruma katmanı sağlayan bu güvenlik yönteminin, kullanıcılara tarafından yeterince kullanılmadığı daha önce rapor edilmişti.
Microsoft’un bir raporunda, firmanın takip ettiği kullanıcı hesaplarının ihlal edilenlerinin yüzde 99,9 kadarında MFA kullanılmadığı aktarılmış. Gerçi kurumlar bu konuda bilinçleniyor, geçen yıla oranla şirketlerde MFA’nın kullanımı yüzde 12 artmış durumda. Yine de alınması gerken çok yol olduğunu söyleyen ağ güvenliği şirketi WatchGuard, şirketlerin bu yöntemi uygulamasında sıklıkla düştükleri hataları şöyle sıralamış:
MFA’yı zorunlu yapmamak
Şirketlerde MFA uygulanacaksa, bu çalışanların tercihine bırakılmamalı. İşletmelerde MFA’nın etkinliğini yitirmesinin başlıca sebebinin, bunun çalışanlara zorunluluk değil de bir tercih olarak sunulması olduğu belirtilmiş.
Uygulamayı herkese yaymamak
Şirketler arasında en sık görülen hatalardan biri olarak, MFA’yı sadece önemli olduğu düşünülen departman ve çalışanlara yönelik kullanmak gösterilmiş. Siber saldırganların hiç beklenmeyen açıklar üzerinden çalışanlara saldırabileceği, bu sebeple tüm çalışanların ve uygulamaların kritik öneme sahip olduğunun kavranması gerekiyor. Ayrıca hassas veriler içeren tüm uygulamalarda da MFA’nın kullanılması lazım.
Sadece SMS doğrulama kullanmak
Kimlik doğrulamasında kısa mesaj (SMS) kullanmak en yaygın çözümlerden biri. Her ne kadar bir yere kadar yeterli olsa da, bu çözümlerin kırılması mümkün. SMS kodu ile kimlik doğrulaması, mobil kimlik avı ve SIM Swapping saldırılarına karşı zayıf kalabiliyor. Sadece SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması özellikle tavsiye edilmiş.
Sisteme karmaşık çözümler entegre etmek
İşletmelerin MFA ile ilgili sorunları halletmek için, genelde bir ihlali veya denetimi bekleme eğiliminde olduğu saptanmış. Hızlıca çözülmeye çalışılan sorunlar yüzünden de, şirketler ya dar kullanım alanı olan veya karmaşık uygulamalara yönelebiliyorlar. Bu da MFA’dan beklenilen etkiyi görmemelerine neden olabilmekte. Şirketlerin pahalı donanımlara ihtiyaç duymadan ve büyük bütçeler harcamadan, basit bulut tabanlı çok faktörlü kimlik doğrulama hizmeti almalarının mümkün olduğu hatırlatılmış.
