Hem kurumsal hem de bireysel bulut hizmetlerinin gelişimi, bizlere en kıymetli varlığımız olan verileri saklamak ve erişmek için harika ortamlar sağlamaya başladı. Fakat bu harika ortamlara erişirken bize sunulan kimlik koruma yöntemlerine, inanılmaz bir alerji gelişmiş bulunmakta. Teknik okur yazarlığı ne olursa olsun kullanıcıların çok büyük bir kısmı, parola sıkılaştırma politikaları veya çok faktörlü kimlik doğrulama methotlarına teferruat olarak bakmakta. Oturum açma gereksinimlerini yerine getirirken (parola, mfa vs.) bir çok kullanıcının “Kardeşim tatava yapma aç şunu işte” dediğine yemin edebilirim. Özellikle yönetici konumundaki kullanıcılar hiç bir kimlik koruma methodunu kendilerine konduramıyorlar. Her bir politikadan hariç bırakılma, internete any-to-any ilkeler ile çıkış yapma, cihazlarına elinden gelse parolasız oturum açma talepleri gerçekten akıl alır gibi değil. Hal böyle olunca gerek bulut sağlayıcılarının gerekse kurumların kendi ortamlarında konumlandırdığı kimlik yönetim altyapıları ve bunun entegrasyonuna harcanan tüm kaynaklar (zaman, maliyet, uzmanlık) çöpe gidiyor. Tahmin edersiniz ki bir saldırganın arayıp da bulamadığı şey yetkili bir hesabı ele geçirmek ve yetkililer de bunun olması için elinden gelen her şeyi yapıyor . Son zamanlarda, kullanıcı tarafında bu işlerin doğru gitmediğini farkeden altyapı sağlayıcıları ise ipleri eline almayı deniyor. Örneğin Microsoft, uzun bir süredir yeni tenantlarda Security Defaults (Güvenlik Varsayılanları) adlı bir politikayı zorunlu olarak yayınlıyordu. 2023 baharından bu yana ise bu politikayı tüm tenantlarda zorunlu olarak aktif hale getirdi. Tabi neredeyse tüm tenant yöneticileri, kendi güvensiz ortamının verdiği konfora bir an önce dönüş yapmak için bu ilkeyi pasif hale getirdi. 😊 Hatta bu konudaki karşıtlık o kadar popüler oldu ki, bununla ilgili bir içerik bile hazırladım. Falat Microsoft durmadı ve bir müdahalede daha bulundu. Daha az güvenli olan SMS ve Telefon ile doğrulama kodunun yerine Microsoft [...]