SAN FRANCISCO - Google, Microsoft ve diğer şirketlerin çabaları sonuç verirse, başarılı kimlik avı girişimleri yakında geçmişte kalabilir.

Google ve ortakları, şifrelerden uzaklaşıp, fiziksel USB güvenlik anahtarlarıGoogle araştırmacıları Neal Mueller ve Collin Frierson, 16 Nisan Pazartesi günü BSides SF güvenlik konferansında yaptıkları açıklamada, Google, USB güvenlik anahtarlarını birkaç yıl önce kendi çalışanlarına dağıttı ve iyi sonuçlar elde etti.

Kredi bilgileri: Shutterstock
(Resim kredisi: Shutterstock)

Mueller, "Google'ın güvenlik anahtarlarını dağıtmasından bu yana geçen dört yıl içinde, Google'da sıfır başarılı kimlik avı girişimimiz oldu" dedi.

Bu, kimlik avcılarının denemediği anlamına gelmez. Güvenlik bilincine sahip insanlar bile iyi hazırlanmış bir Kimlik avı saldırısıve kimlik avcıları her zaman daha iyi görünen kimlik avı sayfaları oluşturuyor. Muhabiriniz yakın zamanda biri tarafından ele geçirildi ve sadece onun antivirüs yazılımı kimlik bilgilerinin çalınmasını engelledi.

DAHA: İşte Şimdi Etkinleştirmeniz Gereken Tek Gmail Ayarı

Kimlik avı herhangi bir bilgisayar korsanlığı gerektirmez, çünkü aslında bir aldatmaca - endüstri terimini kullanmak için "sosyal mühendislik". Tek yapmanız gereken, birisini kullanıcı adını ve şifresini bırakması için kandırmak.

Düzeltilmesi zor olan insan doğasına dayandığından, kimlik avı hala veri ihlallerinin, çevrimiçi hırsızlığın ve hesap devralmalarının önde gelen nedenidir. Mueller ve Frierson, Gmail verileriyle yapılan bir anketin 12 milyon insanın başarılı olmanın kurbanı olduğunu ortaya çıkardı tek bir yılda yapılan kimlik avı saldırıları - keylogging'in kurbanı olan 788.000 kişiden çok daha fazlası kötü amaçlı yazılım.

Yubico güvenlik anahtarlarının yeni bir dizisi. Kredi bilgileri: Yubico
(Resim kredisi: Yubico güvenlik anahtarlarından oluşan yeni bir seri. Kredi bilgileri: Yubico)

İki faktörlü kimlik doğrulama (2FA) özellikle ikinci faktör SMS metin mesajıyla gönderilen tek seferlik bir parola ise kimlik avının önlenmesine her zaman yardımcı olmaz. Pazartesi günü erken saatlerde, Yubico'dan Jerrod Chong, Gmail'i hedef alan son derece ikna edici bir kimlik avı saldırısı gerçekleştirdi ve kurbandan girmesini istedi. Doğrulama amacıyla cep telefonu numarası - bu, saldırganın tek seferlik mesajla araya girip onu almasına izin verirdi şifre.

Mueller ve Frierson, kurbanın telefon numarasını bilmenin bile tek seferlik bir hırsızlık için gerekli olmadığını belirtti. Bir kimlik avcısı bir kurbanı kandırarak Google kimlik bilgilerini sahte bir Google giriş sayfasına girmeye başladığında, saldırgan çalınan kimlik bilgilerini anında gerçek Google oturum açma sayfasına girebilir. Google, kurbanın telefonuna tek seferlik bir şifre gönderecek - kurban sahte giriş sayfasına girecek.

Yubico, tanınmış Yubikey güvenlik anahtarını yapar ve Google ile birlikte, şifresiz kimlik doğrulama yöntemlerini standartlaştırmak için FIDO (Fast IDentity Online) Alliance'ı yönetir. Yubikey gibi USB güvenlik anahtarları veya Google'ın kendi güvenlik anahtarları kimlik avı saldırılarına karşı etkili savunmalar olduğunu kanıtladı ve Facebook, Dropbox, Salesforce ve diğer birçok şirket tarafından destekleniyor.

DAHA: İki Faktörlü Kimlik Doğrulama (2FA) Nedir - Ve Nasıl Etkinleştirilir?

Yalnızca yasal kullanıcı, bir USB bağlantı noktasına takmak veya bir cep telefonuna dokunmak için fiziksel anahtara sahip olacaktır. (Birçok güvenlik anahtarı, çok kısa mesafeden mobil cihazlara kablosuz olarak bağlanmak için NFC işlevlerine de sahiptir.)

Chong, FIDO Alliance'ın mevcut U2F (Evrensel İki Faktörlü) standardını FIDO 2 olarak adlandırdığı şeyle değiştirme sürecinde olduğunu söyledi. FIDO 2'nin parçası yaklaşan WebAuthn standardı, bu ayın başlarında duyurulan ve kullanıcıların web sitelerine şifresiz giriş yapmasını sağlayacak. FIDO 2 ile Microsoft ve Mozilla, FIDO Alliance'a katılıyor.

Chong, FIDO 2'nin sonucunun insanların hiç şifre kullanmaması olduğunu söyledi. Ancak ona bir kullanıcının şifresiz bir web hesabına nasıl kaydolacağını sorduğumuzda, Chong'un sağlam bir cevabı yoktu. Yalnızca FIDO İttifakının "farklı seçeneklere" baktığını söyleyebilirdi.

Ancak, mevcut FIDO U2F standardının bol miktarda koruma sağladığını söyleyen Mueller ve Frierson, Google'ın kendi standardı uygulamasının 38 farklı faktörü inceleyerek kullanıcıyı doğruladığını söyledi.

Örneğin, kullanıcının tercih ettiği işletim sistemi, tercih edilen tarayıcı, tarayıcı şifreleme düzeyi ve genel konum Google tarafından zaten bilinmektedir. Genellikle New York'tan Windows 7'de Chrome kullanıyorsam, ancak benim olarak oturum açan biri Edge'i Kiev'den Windows 10, Google, o kişi USB güvenliğimi takana kadar girişimi reddedecek anahtar.

Mueller, "Güvenlik anahtarları tek seferlik bir paroladan çok daha kullanıcı dostudur" dedi.

  • Facebook Hesabınız Ele Geçirilirse Ne Yapmalısınız?
  • Kimliğinizi, Kişisel Verilerinizi ve Mülkiyetinizi Nasıl Korursunuz?
  • Veri İhlalinden Sonra Ne Yapmalı

Flaş haberlere, en yeni yorumlara, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.