Hem kurumsal hem de bireysel bulut hizmetlerinin gelişimi, bizlere en kıymetli varlığımız olan verileri saklamak ve erişmek için harika ortamlar sağlamaya başladı. Fakat bu harika ortamlara erişirken bize sunulan kimlik koruma yöntemlerine, inanılmaz bir alerji gelişmiş bulunmakta. Teknik okur yazarlığı ne olursa olsun kullanıcıların çok büyük bir kısmı, parola sıkılaştırma politikaları veya çok faktörlü kimlik doğrulama methotlarına teferruat olarak bakmakta. Oturum açma gereksinimlerini yerine getirirken (parola, mfa vs.) bir çok kullanıcının “Kardeşim tatava yapma aç şunu işte” dediğine yemin edebilirim.
Özellikle yönetici konumundaki kullanıcılar hiç bir kimlik koruma methodunu kendilerine konduramıyorlar. Her bir politikadan hariç bırakılma, internete any-to-any ilkeler ile çıkış yapma, cihazlarına elinden gelse parolasız oturum açma talepleri gerçekten akıl alır gibi değil. Hal böyle olunca gerek bulut sağlayıcılarının gerekse kurumların kendi ortamlarında konumlandırdığı kimlik yönetim altyapıları ve bunun entegrasyonuna harcanan tüm kaynaklar (zaman, maliyet, uzmanlık) çöpe gidiyor. Tahmin edersiniz ki bir saldırganın arayıp da bulamadığı şey yetkili bir hesabı ele geçirmek ve yetkililer de bunun olması için elinden gelen her şeyi yapıyor .
Son zamanlarda, kullanıcı tarafında bu işlerin doğru gitmediğini farkeden altyapı sağlayıcıları ise ipleri eline almayı deniyor. Örneğin Microsoft, uzun bir süredir yeni tenantlarda Security Defaults (Güvenlik Varsayılanları) adlı bir politikayı zorunlu olarak yayınlıyordu. 2023 baharından bu yana ise bu politikayı tüm tenantlarda zorunlu olarak aktif hale getirdi. Tabi neredeyse tüm tenant yöneticileri, kendi güvensiz ortamının verdiği konfora bir an önce dönüş yapmak için bu ilkeyi pasif hale getirdi. 😊
Hatta bu konudaki karşıtlık o kadar popüler oldu ki, bununla ilgili bir içerik bile hazırladım.
Falat Microsoft durmadı ve bir müdahalede daha bulundu. Daha az güvenli olan SMS ve Telefon ile doğrulama kodunun yerine Microsoft Authenticator kullanımını önceliklendirdi ve zorunlu kıldı. Tenant adminleri durur mu? Hemen yaka paça bu özelliği kapatıp SMS ve Telefon ile doğrulama yöntemine geri dönüş yaptılar. Hatta bir çok IT yöneticisinin Microsoft’un bu sıkılaştırma adımlarına karşı sinirli olduğunu bir çok mecrada okuyup dinliyoruz. Daha garip olanı ise bu açıklardan faydalanılarak herhangi bir kimlik hırsızlığı gerçekleştiğinde, aynı güruhun Microsoft’a veya diğer altyapı sağlayıcılarına sinirlenip “o kadar para veriyoruz kardeşim nasıl oluyor bu” gibi çıkışmaları.
Microsoft, bu konudaki son adımını ise şöyle attı. 30 Ekim 2025 itibariyle kurumların authentication methodlarını yönetmelerine izin verilmeyecek. Ilgili yayın linki
Yani uzun lafın kısası, güzellikle olmadığı için dükkan sahibi kuralları yeniden yazıyor.
Geçtiğimiz günlerde bir twitter kullanıcısının SIM kart hırsızlığı ile dolandırılmasına ilişkin Mert Sarıca’nın aşağıdaki tweet’ine denk geldim. Kendisinin bu konuda bilgi edinmek isteyenler için güzel de bir yazısı var. yazı linki
Aslında bu konu, Microsoft veya diğer sağlayıcıların SMS veya Telefon araması ile oturum açma üzerinde neden bu kadar durduğuna dair güzel bir örnek. SMS veya telefon ile doğrulama yöntemlerinde sim kart hırsızlığı veya yönlendirmesi gibi manipülasyona açık noktalar bulunmakta. Gerek sosyal, gerekse teknik mühendislik ile doğrulama kodları daha kolay ele geçirilebiliyor.
Fakat Authenticator uygulamaları nispeten daha güvenli yöntemlerdir. Cihazınız ile ilişkilendirilmiş uygulama üzerine alınan kodları farklı bir cihaz ile almak mümkün değil. Hatta aynı cihaz ile dahi yeniden yükleme yapıp bu kodlara erişmenin bir yolu yok. Ancak parolasını girip elden teslim etmediğiniz sürece taklit veya manipüle edilmesi pek mümkün değil. Hatta bu nedenle authenticator uygulamalarının en çok baş ağrıtan yanı cihazınızı kaybetmeniz veya sıfırlamanız durumunda hesabınıza erişimi kaybetmeniz. Tabi bu durumda sağlayıcınızın gerekli kıldığı prosedürleri takip ederek hesabınıza tekrar erişim sağlayabilirsiniz.
Umarım sektörde bu konuya karşı gelişen alerji kısa sürede tedavi edilir. Aksi taktirde sadece şansın yanınızda olduğu kadar güvendesiniz.
