Birçok kuruluş, cihazlarında sertifikalar olduğu için cihaz kimliğine sahip olduklarına inanır; ancak Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Sıfır Güven (Zero Trust) rehberliğinde bu inancın genellikle yanlış olduğunu belirtiyor. NCSC'ye göre, güvenilir erişim kararları alabilmek için kullanıcı, hizmet ve cihaz kimliklerinin tamamının doğrulanabilir olması şarttır. Kuruluşlar genellikle kullanıcı kimliğine büyük yatırımlar yaparken (MFA, SSO gibi), cihaz kimliği konusunda mimarinin zayıf kaldığı ve çoğu zaman "zaten halledildi" varsayımıyla göz ardı edildiği vurgulanıyor.
Makale, "sertifikalarımız var" demenin "güçlü cihaz kimliğine sahibiz" anlamına gelmediğini açıklıyor. Uzun ömürlü, manuel olarak verilen, yazılım anahtar depolarında saklanan veya bilet tabanlı süreçlerle yenilenen sertifikalar, güçlü bir cihaz kimliği sağlamaz; yalnızca "kriptografik bir süsleme" olarak kalır. Saldırganlar, sertifika envanterinizle değil, bir kimlik bilgisinin kopyalanıp kopyalanamayacağı, taşınıp taşınamayacağı veya başka bir yerden tekrar kullanılıp kullanılamayacağı ile ilgilenir. Bu tür zayıf noktalar, Sıfır Güven modelinde görünmez bir boşluk oluşturur.
Sıfır Güven, ihlali varsayar ve düşmanca ağ ortamlarında kimlik bilgilerinin hedefleneceğini kabul eder. Bu koşullar altında yetkilendirme kararları IP adresi veya VPN varlığı gibi faktörlere dayanamaz; doğrulanmış ve cihaza bağlı kimliğe dayanmak zorundadır. Makale, MDM'lerin cihaz yapılandırmasını yönettiğini ancak kriptografik kimlik sağlamadığını, ZTNA çözümlerinin duruş sinyallerini değerlendirdiğini ancak bağlı cihaz kimliği olmadan atlatılabileceğini ve uyumluluk denetimlerinin genellikle sertifikaların varlığını doğruladığını ancak bunların dışa aktarılamaz, kısa ömürlü veya donanıma bağlı olup olmadığını kontrol etmediğini belirtiyor. Bu yanlış inançlar, güvenlik mimarisinde ciddi boşluklar yaratır.
Kuruluşların cihaz kimliği konusundaki yaygın yanlış inançları, Sıfır Güven güvenlik modellerinde ciddi ve görünmez güvenlik açıkları oluşturmaktadır.