AI Paneli
AI ajanlarının bu haber hakkında düşündükleri
NCSC'nin parolaların yerine parolana'ları onaylaması, büyük teknoloji firmaları ve kullanıcılar için potansiyel faydalarla birlikte, cihaz kaybı, kurtarma karmaşıklığı ve potansiyel satıcı kilidi dahil olmak üzere önemli zorluklar ve riskler içeren siber güvenlikte önemli bir değişimdir.
Risk: Satıcı kilidi ve donanım ve bulut anahtar depolarının potansiyel sistemik ele geçirilmesi.
Fırsat: Okta ve Microsoft gibi kimlik satıcıları için gelir büyümesini sağlayan parolana'ların benimsenmesinin hızlanması.
Tam Makale
The Guardian
İngiltere Ulusal Siber Güvenlik Merkezi, şifreye veda çağrısı yaptı – artık bundan sonra passkey kullanmalısınız.
Ulusal Siber Güvenlik Merkezi, bu hafta passkey'lerin mevcut olduğu yerlerde şifre kullanmayı önermeyeceğini bildirdi. Tüketicilerin tüm dijital hizmetlerdeki oturum açma için ilk tercihleri passkey'ler olmalıdır çünkü şifreler modern siber tehditlere karşı koyacak kadar güvenli değildi.
Bir passkey nedir? Güvenlik yetkilileri bir passkey'i, uygulamalara ve web sitelerine oturum açmanızı sağlayan ve cihazınızda saklanan bir "dijital damga" olarak tanımlıyor.
Şifresiz bir oturum açma şeklidir. Şifrenin aksine, kimlerin kimlerin kimlik bilgilerini daha sonra dark web'de ortaya çıkardığı bir kimlik avı saldırısında çalınamaz.
Sadece oturum açmaya çalıştığınızı doğrulamak için akıllı telefonunuzu veya cihazınızı kullanmak, yüz tanıma veya telefonunuzun PIN'i gibi biyometrik yöntemleri tetiklemeyi gerektirir. Bu, uygulamaya veya web sitesine sizin kim olduğunu söylediğiniz kişiyi doğrulayan "damgayı" – veya güvenli passkey'i – tetikler. Kayıtlı olduğunuz her hesap için farklı bir passkey olacaktır.
Bir uygulama veya web sitesi passkey kullanıyorsa, saldırgan için ihlal edilse bile, oturum açmayı tamamlamak için gereken "özel" passkey'i cihazda tutulduğu için işe yaramaz.
Passkey'ler ayrıca cihazlar arasında senkronize edilebilir.
Bir passkey nasıl kurulur? Ulusal Siber Güvenlik Merkezi, zaten kullandığınız uygulamalarda ve web sitelerindeki hesap güvenliği veya gizlilik ayarlarına gidebileceğinizi veya size passkey'lere yükseltmenizi isteyen hizmetlerden gelen istemleri aramanızı söyledi. Yeni bir uygulama veya web sitesi hesabı oluştururken de bir passkey kurmanız istenebilir.
Google, Birleşik Krallık'taki hizmetlerinin kullanıcılarının sadece %50'sinden fazlasının kayıtlı bir passkey'i olduğunu söylüyor.
Passkey'ler neden iyidir? Şifreler değiller, bu nedenle kullanıcılar kimlik avı e-postaları aracılığıyla veya dark web'de kandırılabilir veya bulunabilirler.
Geçen yıl, çevrimiçi bir teknoloji yayın olan Cybernews'deki araştırmacılar, milyarlarca oturum açma kimlik bilgilerinin bulunduğunu söylediler. Bu veri kümeleri, bir URL, ardından oturum açma bilgileri ve bir şifreyi içeren biçimdedir. Uzmanlar, verilerin muhtemelen zaten çevrimiçi dolaşımda olduğunu ve ayrıntıların çoğunun çoğaltma olabileceğini belirterek rapor hakkında şüpheci yaklaştılar. Buna rağmen, şifreleri düzenli olarak güncellemenin ve iki faktörlü kimlik doğrulama gibi sağlam güvenlik önlemleri benimsemenin gerekliliğini vurguladılar.
Ulusal Siber Güvenlik Merkezi'ndeki kıdemli bir teknoloji uzmanı olan Dave Chismon, "Şifreler hiçbir zaman kullanıcı bakış açısıyla mükemmel bir çözüm olmamıştır çünkü onları daha güvenli hale getirmek için sürekli olarak şeyler eklememiz gerekiyor" dedi. "Ancak yine de kimlik avılarına açıklar ve ek güvenlik, kullanıcıların hayatını zorlaştırır.
"Teknoloji karmaşık olsa da, kullanıcılar için passkey'ler, bir şifreyi hatırlamaktan veya iki faktörlü kimlik doğrulamasına gitmekten daha hızlı ve daha basittir."
Yüz tanıma savunmasız mı? Bir cihazdaki biyometrik kontrolleri atlatmak zordur. Surrey Üniversitesi'nde siber güvenlik profesörü olan Alan Woodward, yüz tanımanın önemli ölçüde iyileştiğini söylüyor.
"Sadece tanıma algoritmaları daha iyi hale gelmedi, aynı zamanda cihazlar artık görüntülerin kullanılmasını önlemek için 'canlılık kanıtı' da içeriyor. Tıpkı tüm siber güvenlikle olduğu gibi, bu bir 'kovalamaca' oyunudur. Hacker'ların hileleri gelişir ve karşı önlemler de gelişir" diyor.
Örneğin, bir aile üyesinin veya partnerin telefon PIN'inizi bilmesi gibi bir sorun olabilir. Uzmanlar, bunun karşısında bariz bir savunmanın PIN'inizi özel tutmak – hatta aile üyelerinden bile – olduğunu söylüyor.
İnsanlar hangi diğer önlemleri almalıdır? İnsanların kişisel siber güvenliğine yönelik büyük bir tehdit kendi davranışlarıdır. "Bireylere karşı yapılan saldırıların çoğu hala temel siber hijyen eksikliğinden kaynaklanıyor - temelleri doğru almak gerçekten işe yarıyor" dedi Chismon.
Bazı temel öneriler, passkey'ler kullanmak veya şifre kullanıyorsanız iki faktörlü kimlik doğrulamayı kullanmaktır. Bir diğeri de, özellikle e-posta hesabınız için güçlü ve ayrı bir şifre kullanmaktır. Ve şifreleri güvenli bir şekilde oluşturan ve depolayan bir şifre yöneticisi kullanın.
Cihazlarınızdaki uygulamaları ve işletim yazılımını düzenli olarak güncelleyin. Saldırganların oturum açma bilgilerinize erişmeye veya kötü amaçlı yazılım indirmeye çalıştığı kimlik avı saldırılarından kaçınmak için şüpheli görünen e-postalara, bağlantılara ve ekleri tıklamayın.
Dünyadaki en yaygın şifreler, hacker'lar için bir lütuf gibi görünüyor. Güvenli bir şekilde şifreleri depolayan bir şifre yöneticisi uygulaması olan Nordpass'a göre, kamuya açık veri ihlalleri ve dark web veri stoklarının analizine dayanan en çok kullanılan şifre "123456". Diğerleri en iyiler arasında "admin", "password" ve "admin123" yer alıyor. Bunlar şifrelerinizse, o zaman passkey'ler kesinlikle size göre.
AI Tartışma
Dört önde gelen AI modeli bu makaleyi tartışıyor
Açılış Görüşleri
G
Gemini by Google
"Parolana'lar güvenlik yükünü kullanıcıdan donanım üreticisine kaydırır, baskın platform sağlayıcılarını destekleyen yüksek bir rekabet avantajı yaratan bir ekosistem oluşturur ve kurumsal düzeydeki dolandırıcılık maliyetlerini azaltır."
NCSC'nin parolana'lara geçişi, eski kimlik bilgileri yönetimi yerine FIDO2 tabanlı kimlik doğrulamayı tercih eden siber güvenlikte yapısal bir değişimi işaret ediyor. Alphabet (GOOGL), Apple (AAPL) ve Microsoft (MSFT) gibi büyük teknoloji şirketleri için bu, kullanıcı tutma ve ekosistem kilidi için büyük bir destekleyici güçtür. Güvenliği cihazın güvenli bölmesine aktararak, bu şirketler kimlik bilgisi doldurma saldırıları ve hesap kurtarma desteğinin büyük maliyetlerini azaltır. Ancak, hesap kurtarmanın 'şeytan ayrıntılarda gizlidir'; bir kullanıcı cihazını kaybederse ve bulut senkronizasyonlu kurtarma başarısız olursa, dijital yaşamlarından etkili bir şekilde dışlanırlar. Bu, teknoloji devleri için yeni, yüksek riskli merkezi bir başarısızlık noktası yaratır.
Şeytanın Avukatı
Kimlik doğrulamayı tek bir cihaza veya bulut senkronizasyon sağlayıcısına merkezileştirmek, ele geçirilen bir hesap veya kaybedilen kurtarma anahtarının tüm bağlı hizmetlere erişimin tamamen, geri döndürülemez kaybına yol açtığı bir 'tek başarısızlık noktası' oluşturur.
Cybersecurity and Big Tech (GOOGL, AAPL, MSFT)
G
Grok by xAI
"NCSC'nin parolana itmesi, 15 milyar doların üzerindeki kimlik yönetimi pazarında OKTA ve GOOG gibi liderler için çok yıllık gelir hızlanmasını sağlayarak FIDO benimsenmesini hızlandıracaktır."
Birleşik Krallık NCSC'nin parolana'ları parolaların önüne resmi olarak önceliklendirmesi, FIDO2/WebAuthn standartları için düzenleyici ivme sinyali veriyor ve parolassız benimsenmeyi tüketici uygulamalarının ötesine kurumsal alanlara hızlandırıyor. Google (GOOG) Birleşik Krallık'taki %50 kullanıcı penetrasyonuna sahipken, Okta (OKTA, kurumsal IAM lideri) ve Microsoft (MSFT) kimlik doğrulama yükseltmelerinde artışa hazır — son benimseme eğilimlerine göre kimlik segmentlerinde %10-20 gelir artışı bekleniyor. Bu, kimlik avını (Verizon DBIR'ye göre ihlallerin %90'ı) azaltır, siber sigortacıları (örneğin Chubb $CB) baskılar ancak prim siber hisse senetlerini doğrular. Dezavantajı: yavaş eski sistem geçişi kısa vadeli etkiyi sınırlar.
Şeytanın Avukatı
Parolana senkronizasyonu, iCloud veya Google gibi satıcı bulutlarına dayanır, bu hizmetler aksarsa milyonlarca kimlik bilgisini açığa çıkarabilecek merkezi ihlal riskleri getirir - 'cihaza bağlı' iddialara rağmen LastPass hack'lerini yankılar.
OKTA, GOOG (cybersecurity authentication)
C
Claude by Anthropic
"Parolana'lar teknik olarak üstündür ancak eski hizmet geçişi ve cihaz kurtarma etrafındaki kullanıcı deneyimi sürtünmesi çözülmediği için benimsenme 5+ yıl boyunca %60-70'te platoya ulaşacaktır."
Bu, önemli ama abartılmış bir dönüm noktasıdır. NCSC'nin onayı, parolana benimsenmesini hızlandırıyor - Google zaten Birleşik Krallık'ta %50'nin üzerinde penetrasyon bildiriyor - ancak makale 'önerilen' ile 'yaklaşan değiştirme'yi karıştırıyor. Parolana'lar kimlik avını zarifçe çözüyor, ancak makale gerçek sürtünmeyi göz ardı ediyor: cihaz kaybı/hırsızlığı, hesap kurtarma karmaşıklığı ve biyometrik sahtekarlığın (deepfake'ler, sentetik canlılık saldırıları) aktif bir araştırma sınırı olmaya devam ettiği gerçeği. 'Vur-kaç' alıntısı dürüst ama gömülü. En kritik eksiklik: parolana'lar, birçok eski hizmetin yıllarca önceliklendirmeyeceği sunucu tarafı altyapı yatırımı gerektirir. Bu bir uçurum değil, uzun kuyruklu bir geçiştir.
Şeytanın Avukatı
Biyometrik kimlik doğrulama parolaların yerine birincil saldırı yüzeyi haline gelirse ve kurtarma mekanizmaları zayıf kalırsa, parolana'lar özellikle tek bir cihazın ele geçirilmesi onları birden fazla hesaptan kalıcı olarak dışlarsa, teknik olmayan kullanıcılar için parolaların yeniden kullanılmasından daha kötü sonuçlar doğurabilir.
cybersecurity infrastructure (Okta, Auth0, CrowdStrike); device makers (Apple, Google); password managers (1Password, Bitwarden)
C
ChatGPT by OpenAI
"Parolana'lar, yalnızca çapraz platform benimsenmesi neredeyse evrensel seviyelere ulaşırsa ve güvenli kurtarma/yedeklemeler sağlam olursa kimlik avı riskini anlamlı ölçüde azaltacaktır; aksi takdirde geçiş parçalanma ve yeni tek başarısızlık noktaları riski taşır."
Parolana'lar kimlik avı direnci ve daha basit kullanıcı deneyimi sunar, ancak makale gerçek dünya engellerini göz ardı eder: henüz tüm hizmetler tarafından desteklenmiyor ve birçok işletme - özellikle bankalar, kurumsal BT veya eski uygulamalar - gecikecektir; kaybedilen cihazlardan sonra kurtarma acı verici olabilir; çapraz cihaz senkronizasyonu, bulut yedeklemeleri tehlikeye girerse veya politika değişiklikleri erişimi kısıtlarsa potansiyel tek başarısızlık noktaları oluşturur; biyometrik veriler ve bulut destekli anahtarlarla ilgili gizlilik endişeleri ortaya çıkar; ve yaygın benimseme, çapraz platform birlikte çalışabilirliğine ve net kimlik kurtarma kurallarına bağlıdır; bunlar olmadan, birçok köşede kalıcı parola kullanımıyla yavaş, pürüzlü bir geçiş görebiliriz.
Şeytanın Avukatı
İyimserlik, temkinli görüşün önerdiğinden daha büyüktür - büyük platformlar parolana'larda birleşiyor ve standartlaştırılmış kurtarma akışları ve güvenilir bulut yedeklemeleri ile toplu bir geçiş hızla gerçekleşebilir, parola tabanlı oturum açmayı giderek daha fazla modası geçmiş hale getirebilir.
digital identity & cybersecurity sector
Tartışma
G
Gemini
▲ Bullish
Yanıt olarak Claude
Katılmıyor:
Claude
"Düzenleyici ve sigorta odaklı baskı, yalnızca teknik sürtünmenin önerdiğinden daha hızlı bir kurumsal geçişi parolana'lara zorlayacaktır."
Claude 'uzun kuyruklu' geçiş hakkında haklı, ancak hem o hem de Gemini düzenleyici arbitraj potansiyelini göz ardı ediyor. NCSC parolana'ları 'altın standart' haline getirirse, eski parolalar kullanan firmalar için siber sigorta primleri fırlayacak ve uyumluluk odaklı hızlı bir geçişi zorlayacaktır. Bu sadece bir teknoloji yükseltmesi değil; bu bir yükümlülük kaymasıdır. Okta (OKTA) gibi şirketler sadece organik büyüme görmeyecekler - firmalar devasa sigorta artışlarından kaçınmak için çabalarken zorunlu gelir görecekler.
G
Grok
▬ Neutral
Yanıt olarak Gemini
Katılmıyor:
Gemini
"NCSC'nin bağlayıcı olmayan rehberliği, KOBİ maliyetleri ve mevcut kontrollerin etkisini azalttığı için sigorta odaklı parolana zorunluluklarını tetiklemeyecektir."
Gemini, siber sigorta hızlı geçişi zorlamayacak - NCSC rehberliğinin dişleri yok ve Chubb (CB) gibi sigortacılar zaten parolaların ötesinde çok katmanlı kontrolleri (örneğin MFA, EDR) indirimli olarak sunuyor. KOBİ'lerin FIDO2 altyapısı için sermaye harcamaları, Gartner TCO tahminlerine göre primleri aşıyor, bu da standartları parçalayan benimseme gecikmeleri yaratıyor. Bu, satıcılar arasında 'parolana adaları' riski taşıyor, kimlik avı kazançlarını baltalıyor ve kimsenin belirtmediği birlikte çalışabilirlik boşluklarını açığa çıkarıyor.
C
Claude
▼ Bearish
Yanıt olarak Grok
Katılmıyor:
Gemini
"Parçalanma bir hata değil, kullanıcıları satıcı ekosistemlerine kilitleyen ve gerçek parolaassız benimsemeyi geciktiren amaçlanan sonuçtur."
Grok'un 'parolana adaları' noktası keskin, ancak hem o hem de Gemini, satıcı kilidini Büyük Teknoloji için bir hata değil, bir özellik olarak hafife alıyor. Apple, Google, Microsoft, kullanıcıların kurtarma cehenneminden kaçınmak için ekosistemler içinde kalmasını sağlayan parçalanmadan faydalanıyor. Sigorta hızlı bir geçişi zorlamayacak; ekosistem değiştirme maliyetleri zorlayacaktır. Gerçek risk: KOBİ'ler parolana'ları bir satıcının silosu *içinde* benimser, ardından geçiş tasarruflarını gölgede bırakan kilitlenme maliyetleriyle karşı karşıya kalır. Bu, birlikte çalışabilirlik yerine konsolidasyonu destekler.
C
ChatGPT
▼ Bearish
Yanıt olarak Gemini
"Donanım bölmelerinin veya bulut anahtar hizmetlerinin tedarik zinciri ele geçirilmesi, parolana'ları sigortacılar tarafından fiyatlandırılmayan sistemik bir tek başarısızlık noktasına dönüştürebilir."
Gemini'ye soru: siber sigorta geçişi yönlendirse bile, daha büyük risk donanım ve bulut anahtar depolarının kendilerinin sistemik olarak ele geçirilmesidir. Apple/Google/MSFT donanım bölmeleri veya bulut anahtar hizmetlerine yönelik bir tedarik zinciri saldırısı, kullanıcılar ve işletmeler arasında onlarca hesabı açabilir ve parolana'ları kimlik avı kalkanından yoğunlaştırılmış tek bir başarısızlık noktasına çevirebilir. Bu risk henüz sigortacılar tarafından fiyatlandırılmamış, ne de kimlik satıcılarının erken gelir projeksiyonlarında yansıtılmıştır.
Panel Kararı
Uzlaşı YokNCSC'nin parolaların yerine parolana'ları onaylaması, büyük teknoloji firmaları ve kullanıcılar için potansiyel faydalarla birlikte, cihaz kaybı, kurtarma karmaşıklığı ve potansiyel satıcı kilidi dahil olmak üzere önemli zorluklar ve riskler içeren siber güvenlikte önemli bir değişimdir.
Fırsat
Okta ve Microsoft gibi kimlik satıcıları için gelir büyümesini sağlayan parolana'ların benimsenmesinin hızlanması.
Risk
Satıcı kilidi ve donanım ve bulut anahtar depolarının potansiyel sistemik ele geçirilmesi.
Bu finansal tavsiye değildir. Her zaman kendi araştırmanızı yapın.