Çok Aşamalı Kimlik Doğrulama

0
285
views
Bilgi güvenliğinin temel unsurlarından birisi kimlik doğrulamadır. Kimlik doğrulama mekanizmasını daha etkin hale getirebilmek için çok aşamalı kimlik doğrulama mekanizmasının kullanılması tavsiye edilmektedir. Bu yazıda çok aşamalı kimlik doğrulama konusu incelenecektir.

BT sistemi içindeki öznelerin uygun şekilde kimlik doğrulamasını kontrol etmek, her türden erişim kontrolünü uygulamak için temel bir kavram olarak öne çıkmaktadır. Bir özne önce kendini tanımlar; bu kimlik tek başına güvenilemez. Özne daha sonra iddia edilen kimliğin geçerli olduğuna dair bir güvence sağlayarak kimlik doğrulaması yapar. Kimlik bilgisi seti, bir kullanıcının hem kimlik hem de kimlik doğrulamasının birleşimi için kullanılan terimdir.

Çok aşamalı kimlik doğrulamanın 3 temel ayağı bulunur.

  • Tip – 1 && Something you know (Bilinenler): Kullanıcı ile erişmek istediği sistem arasında paylaşılan gizli veriler bu guruba girer. Buna en iyi örnek kullanıcıya ait parola bilgisidir. Bunun haricinde tutulan takım, favori renk, ilk öğretmenin adı, PIN kodu, doğum tarihi… da “Bilinenler” olarak kullanılabilir.
  • Tip – 2 && Something you have (Sahip olunanlar): Kullanıcılara ait jetonlar (token) bir çeşit kimlik beliryecisidirler. Bu token’lar USB, Security, Hard Token gibi donanımsal veya SMS gibi yazılımsal olabilir. Bu kimlik belirleyicilerin sahibi olan bir kullanıcı, bu araçlar ile sisteme kimliğini doğrulatabilir. Token’lar haricinde akıllı kartlar veya sayısal sertifikalar da örnek olarak verilebilir. Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (bilinenler) bilgisini (genellikle PIN) de ispat etmek zorundadır.
  • Tip – 3 && Something you are (Olduğun): Bazı sistemler kullanıcıya ait biyolojik özellikleri kimlik doğrulayıcı olarak kullanırlar. Biyometrik metodlar fizyolojik (physiological) ve davranışsal (behavioral) olmak üzere ikiye ayrılır. Fizyolojik metodlar yüz tanıma, parmak izi (sabıka sorgulama veya hasta kayıt/tanıma işlemlerinde), avuç izi, iris tarama, retina taraması (kan damarı seviyesi taranır), kan örneği veya ses tanıma (ses ses teli/boşluğu ve ağız hareketleri kişiye özeldir) olabilir. Bunun yanunda davranışsal metodlar el yazısı (imzası) tanıma (kalem tutuş tarzı, yazı stili, yazış baskısı, yazma hızı kişiye özeldir), klavye hareketlerini algılama (klavyeye basma hızı/tarzı/baskısı kişiye özeldir) olabilir. En güvenilir ve en güçlü olmasının yanında aynı zamanda en pahalı yöntemdir. Bu sebeple havalimanları, askeri bölgeler gibi kritik alanlarda kullanılır. Bu sistemler yaygın olarak kullanılmakla birlikte bazı riskleri de mevcuttur. Örneğin parmak izi okutularak yapılan doğrulamalarda kesin sonuç almak çok zordur, veya ses tanımlama yöntemiyle kimlik doğrulayan sistemler kullanıcının sesi kaydedilerek kolayca atlatılabilir. Buna benzer bir çok sebepten dolayı biometrik kimlik doğrulama yöntemleri kesin sonuç vermeyen ve tam olarak güvenilir olmayan sistemlerdir.

Bu 3 yöntemden farklı 2 tanesinin yöntemleri beraber kullanılırsa (USB ve PIN; Kullanıcı adı ve parmak izi; …) buna iki faktörlü kimlik doğrulama adı verilir.

Not: Üç yönteme ek olarak dördüncü yöntem olarak konum bilgisi de (Where you are) kullanılabilmektedir. GPS ile veya (güvenilir kabule dilmese de) MAC ile konum bilgisi dördüncü doğrulama yöntemi olarak kullanılabilmektedir.

Günümüzde bir çok sistemde, özellikle iç ağda kullanılan sistemlerde, çok aşamalı kimlik doğrulama yerine tek aşamalı kimlik doğrulama kullanılmaktadır. Örneğin bir Windows bilgisayara uzaktan bağlantı kurabilmek için kullanıcı adı ve parola kullanılmaktadır. Benzer olarak bir SSH sunucuya bağlantı için kullanıcı adı ve parola kullanılabildiği gibi sadece bir sertifika da kullanılabilmektedir. Kullanıcı kimlik bilgilerini veya sertifikayı elde eden saldırgan, ek bir önlem alınmamışsa hedef sisteme erişim sağlayabilmektedir. Bu yöntem, kaba kuvvet saldırıları için de kullanılabilir. Kaba kuvvet saldırılarıyla, hedef sisteme bir veya birden çok bilgi ile saldırılarak hedef sistemdeki kimlik doğrulama mekanizması atlatılmaya çalışılır.

Örnek kimlik doğrulama yöntemleri aşağıdaki gibidir.

  • Parola (Password): Bigi güvenliğinin “Kimlik Doğrulama” unsurundaki kimlik belirteci (Identification) ile alınan ve ilgili tarafın bildiği (Something You Know) ifadedir. “Aa123456”, “Qazwsxedc123”, “Ankara06”,… birer paroladır.
  • Parola Sözcüğü (Pass Phrase): Bir cümle veya sözcük grubu gibi uzun bir ifadeyi temsil eden parolalardır. Böylece akılda kalmayı kolaylaştırırken, bu ifadenin kırılmasını da zorlaştıracaktır. “BanaBalikTutmayiOgretmeBanaBalikVer”, “SizSirriCozmekDegilKandirilmakIstiyorsunuz”, “P4mUkPr3ns3sV3Y3diCuc3l3r”… birer parola sözcükleridir.
  • PIN (Personal Identification Number): Kullanıcıların ATM veya POS makinelerine girerek, debit kart veya kredi kartlarına kimlik doğrulatmak için kullanılan sayısal parolalardır. “123456”, “8269”,… birer PIN ifadesidir.
  • Gizli Soru: Kullanıcıdan alınan ve parola unutma gibi durumlar için sorulan sorulardır. “İlkokulunun adı nedir”, “En sevdiğin öğretmenin kimdir”,… birer gizli sorudur.
  • Akıllı Kart: Genellikle içerisinde bir çip barındıran, kimlik bilgilerini içerisinde depolayan ve ilgili tarafın sahip olduğu (Something You Have) nesnedir.  Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (Bilinenler) bilgisini (genellikle PIN) de ispat etmek zorundadır. Akıllı kart yapısı ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.
  • OTP (One Time Password): OTP yapısı ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

 

Kaynaklar:

[i] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/smart-card-authentication-on-microsoft-environment/
[ii] https://www.siberportal.org/information-security/bilgi-guvenligi-bakis-acisi-ile-authentication-token-kavrami/

Learn about Access Control in CISSP

Learn about Biometrics in CISSP


https://blog.eduonix.com/networking-and-security/learn-one-time-passwords-cissp

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.