Güvenlik Sorularının Sonu: KBA Neden Öldü
March 12, 2025
•min read
Güvenlik Stratejisi
Şekil 1: Statik bilgi kimlik bilgilerinin gerileyişi
”Annenizin kızlık soyadı” paradoksu
30 yıldır bankalar ve telekom şirketleri Bilgi Tabanlı Kimlik Doğrulamaya (KBA) güvendi.
“İlk arabanız neydi?”
“Hangi sokakta büyüdünüz?”
2010’da bu “gizli” bir bilgiydi.
2025’te herkese açık.
LLM veri kazıma tehdidi
Üretken yapay zekâ ajanları artık 15 yıllık sosyal medya geçmişini saniyeler içinde kazıyabiliyor.
- Instagram’daki ilk Honda Civic’inizin fotoğrafı (2014)? Yapay zekâ ilk arabanızı biliyor.
- Çocukluk evinizle ilgili o “Throwback Thursday” gönderisi? Yapay zekâ sokağınızı biliyor.
Statik vs. dinamik kimlik bilgileri
Parolalar ve yanıtlar statiktir. Bir kez çalındığında (veya tahmin edildiğinde), değiştirilene kadar sonsuza dek geçerlidir.
Ses ise dinamiktir.
- Bir veritabanından çalınamaz.
- Çalışmak için “canlılık” gerektirir.
- Zaman ve bağlamla birlikte belli belirsiz değişir; bu da modern dedektörlere karşı etkili biçimde “yeniden oynatmayı” imkânsız kılar.
Sürtünmenin bedeli
Güvenliğin ötesinde KBA, müşteri hayal kırıklığının 1 numaralı nedenidir.
- 3 KBA sorusunu yanıtlamak için ortalama süre: 45-60 saniye.
- Başarısızlık oranı: %15-20 (yanıtları unutan gerçek müşteriler).
- Ses ile kimlik doğrulama süresi: 3 saniye (pasif).
İleriye dönük
Sektör, “bilgi” faktörlerinden (bildiğiniz şey) “içkinlik” faktörlerine (olduğunuz kişi) geçiyor.
Güvenliğiniz müşterinizin hafızasına dayanıyorsa, çoktan ele geçirilmişsinizdir.
Biyometriye geçin.
Tags: