Almanya’nın federal siber güvenlik kurumu, büyük web posta sağlayıcılarını varsayılan olarak iki faktörlü kimlik doğrulamayı açmaya çağırıyor. Rehberlik, tüketici hesap korumasındaki yaygın boşlukları açıklayan yeni bir beyaz kitap yayımlayan Bundesamt für Sicherheit in der Informationstechnik’den geliyor. Ajansa göre, birçok kimlik doğrulama özelliği ancak birden fazla menüde gezindikten sonra görünür ve çoğu kullanıcılar aktif olarak etkinleştirmedikçe devre dışı kalıyor.
BSI tarafından aktarılan son anket verileri, kullanıcıların yalnızca yaklaşık %34’ünün e-posta hesaplarında iki faktörlü kimlik doğrulamanın aktif olduğunu gösteriyor. Ajans, oltalama, kimlik bilgileri yeniden kullanımı ve zayıf şifrelerle bağlantılı hesap ele geçirme olaylarının sıklığı göz önüne alındığında, bu rakamı çok düşük buluyor. Webmail hesapları, genellikle çok çeşitli çevrimiçi hizmetler için kurtarma kanalı olarak hizmet ettikleri için saldırganlar için birincil hedef olmaya devam ediyor.
BSI varsayılan koruma önerileri
Beyaz kitapta, BSI sağlayıcıların kullanıcı eylemine güvenmek yerine varsayılan olarak güçlü kimlik doğrulama yöntemlerini etkinleştirmesini öneriyor. Önerilen yöntemler arasında iki faktörlü kimlik doğrulama, şifreli anahtarlar ve biyometrik giriş seçenekleri yer almaktadır. Sağlayıcılardan ayrıca şifre kurallarının mevcut güvenlik standartlarına uyduğundan ve kurtarma mekanizmalarının saldırganların depolanmış bilgileri manipüle etme girişimlerine dayanabileceğinden emin olmaları isteniyor. Ajans, net talimatların, öngörülebilir adımların ve çoklu kurtarma kanallarının gerekliliğini vurgulamaktadır.
BSI, saldırganlar iletişim bilgilerini veya bağlantılı bilgileri değiştirdiğinde kurtarma süreçlerinin sıkça başarısız olduğunu belirtti. Bu riski ele almak için kurum, sağlayıcılara kimlik doğrulama akışlarını güvenilir sinyallerle doğrulamalarını ve sadece eski iletişim bilgilerine dayanmamasını tavsiye eder. Amaç, hem hesap kilitlenmesini hem de yetkisiz erişimi önlemek.
BSI’nın dijital tüketici koruma başkanı Caroline Krohn, güvenli e-posta sistemlerinin dijital katılım için temel olduğunu söyledi. Koruyucu önlemlerin ancak anlaşılabilir, birlikte çalışabilir ve günlük kullanıma uygun olduklarında etkili olduğunu belirtti.
Varsayılan koruma çağrısı, Almanya içinde dijital hizmetlerde siber güvenlik gereksinimlerini güçlendirme çabalarıyla örtüşüyor. BSI, görünür güvenlik özelliklerinin güven oluşturmaya ve yetkililerin dijital egemenlik olarak tanımladığı şeyi desteklemeye yardımcı olduğunu belirtti. Güvenlik araştırmacıları, ele geçirilen e-posta hesaplarının saldırganların şifreleri sıfırlayarak, spam yayarak veya ele geçirilen kimlik bilgilerini platformlar arasında yeniden kullanarak daha fazla müdahale başlatmasına olanak tanıdığını söyledi.
Ajans, güçlü kimlik doğrulamanın varsayılan aktivasyonunun, güvenlik ile kullanım kolaylığı arasında denge sağlamak zorunda olan sağlayıcılar için zorluklar yaratabileceğini kabul etti. Bazı kullanıcılar ek giriş adımlarını bir rahatsızlık olarak görebilir. Güvenlik analistleri, bu endişelerin, tüm kullanıcılar için temel korumanın artırılmasının faydaları karşısında daha ağır bastığını savunuyor. Saldırganlar, kişisel ve finansal verilere değerli kapılar olarak kaldıkları için e-posta hesaplarını hedef almaya devam ediyor.
Tüketiciler, sağlayıcılar varsayılan ayarlarını değiştirmeden önce bile tüm önemli hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmeleri teşvik edilir. Kullanıcılara ayrıca kurtarma iletişim bilgilerinin doğru olduğunu doğrulamaları, hesapları alışılmadık yönlendirme kuralları için takip etmeleri ve yalnızca ele geçirilebilecek SMS kodlarına güvenmemeleri tavsiye edilir.
BSI’nın önerileri, Avrupa’da zorunlu güvenlik özellikleri üzerine devam eden tartışmalar için bir referans noktası olarak hizmet edecek. Sağlayıcıların nasıl yanıt verdiyi, bölge genelinde e-posta hizmetleri için varsayılan iki faktörlü kimlik doğrulamanın standart bir beklenti haline gelip gelmeyeceğini belirleyecek.