Çok Aşamalı Kimlik Doğrulama

0
1010
views
Bilgi güvenliğinin temel unsurlarından birisi kimlik doğrulamadır. Kimlik doğrulama mekanizmasını daha etkin hale getirebilmek için çok aşamalı kimlik doğrulama mekanizmasının kullanılması tavsiye edilmektedir. Bu yazıda çok aşamalı kimlik doğrulama konusu incelenecektir.

1) Kimlik Doğrulama Türleri

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

BT sistemi içindeki öznelerin uygun şekilde kimlik doğrulamasını kontrol etmek, her türden erişim kontrolünü uygulamak için temel bir kavram olarak öne çıkmaktadır. Bir özne önce kendini tanımlar; bu kimlik tek başına güvenilemez. Özne daha sonra iddia edilen kimliğin geçerli olduğuna dair bir güvence sağlayarak kimlik doğrulaması yapar. Kimlik bilgisi seti, bir kullanıcının hem kimlik hem de kimlik doğrulamasının birleşimi için kullanılan terimdir.

Çok aşamalı kimlik doğrulamanın 3 temel ayağı bulunur.

  • Tip – 1 && Something you know (Bilinenler): Kullanıcı ile erişmek istediği sistem arasında paylaşılan gizli veriler bu guruba girer. Buna en iyi örnek kullanıcıya ait parola bilgisidir. Bunun haricinde tutulan takım, favori renk, ilk öğretmenin adı, PIN kodu, doğum tarihi… da “Bilinenler” olarak kullanılabilir.
  • Tip – 2 && Something you have (Sahip olunanlar): Kullanıcılara ait jetonlar (token) bir çeşit kimlik beliryecisidirler. Bu token’lar USB, Security, Hard Token gibi donanımsal veya SMS gibi yazılımsal olabilir. Bu kimlik belirleyicilerin sahibi olan bir kullanıcı, bu araçlar ile sisteme kimliğini doğrulatabilir. Token’lar haricinde akıllı kartlar veya sayısal sertifikalar da örnek olarak verilebilir. Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (bilinenler) bilgisini (genellikle PIN) de ispat etmek zorundadır.
  • Tip – 3 && Something you are (Olduğun): Bazı sistemler kullanıcıya ait biyolojik özellikleri kimlik doğrulayıcı olarak kullanırlar. En güvenilir ve en güçlü olmasının yanında aynı zamanda en pahalı yöntemdir. Bunun yanında bir çok sebepten dolayı biometrik kimlik doğrulama yöntemleri kesin sonuç vermeyen ve tam olarak güvenilir olmayan sistemlerdir. Biyometrik yöntemlerle kimlik doğrulama ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [iii] incelenebilir.

Not: Üç yönteme ek olarak dördüncü yöntem olarak konum bilgisi de (Where you are) kullanılabilmektedir. GPS ile veya (güvenilir kabule dilmese de) MAC ile konum bilgisi dördüncü doğrulama yöntemi olarak kullanılabilmektedir.

 

2) Çok Faktörlü Kimlik Doğrulama

Bu 3 yöntemden farklı 2 tanesinin yöntemleri beraber kullanılırsa (USB ve PIN; Kullanıcı adı ve parmak izi; …) buna iki faktörlü kimlik doğrulama (ayrıca Strong Authentication) adı verilir.

Günümüzde bir çok sistemde, özellikle iç ağda kullanılan sistemlerde, çok aşamalı kimlik doğrulama yerine tek aşamalı kimlik doğrulama kullanılmaktadır. Örneğin bir Windows bilgisayara uzaktan bağlantı kurabilmek için kullanıcı adı ve parola kullanılmaktadır. Benzer olarak bir SSH sunucuya bağlantı için kullanıcı adı ve parola kullanılabildiği gibi sadece bir sertifika da kullanılabilmektedir. Kullanıcı kimlik bilgilerini veya sertifikayı elde eden saldırgan, ek bir önlem alınmamışsa hedef sisteme erişim sağlayabilmektedir. Bu yöntem, kaba kuvvet saldırıları için de kullanılabilir. Kaba kuvvet saldırılarıyla, hedef sisteme bir veya birden çok bilgi ile saldırılarak hedef sistemdeki kimlik doğrulama mekanizması atlatılmaya çalışılır.

 

3) Örnek Kimlik Doğrulama Yöntemleri

Örnek kimlik doğrulama yöntemleri aşağıdaki gibidir.

  • Parola (Password): Bigi güvenliğinin “Kimlik Doğrulama” unsurundaki kimlik belirteci (Identification) ile alınan ve ilgili tarafın bildiği (Something You Know) ifadedir. “Aa123456”, “Qazwsxedc123”, “Ankara06”,… birer paroladır.
  • Parola Sözcüğü (Pass Phrase): Bir cümle veya sözcük grubu gibi uzun bir ifadeyi temsil eden parolalardır. Böylece akılda kalmayı kolaylaştırırken, bu ifadenin kırılmasını da zorlaştıracaktır. “BanaBalikTutmayiOgretmeBanaBalikVer”, “SizSirriCozmekDegilKandirilmakIstiyorsunuz”, “P4mUkPr3ns3sV3Y3diCuc3l3r”… birer parola sözcükleridir.
  • PIN (Personal Identification Number): Kullanıcıların ATM veya POS makinelerine girerek, debit kart veya kredi kartlarına kimlik doğrulatmak için kullanılan sayısal parolalardır. “123456”, “8269”,… birer PIN ifadesidir.
  • Gizli Soru: Kullanıcıdan alınan ve parola unutma gibi durumlar için sorulan sorulardır. “İlkokulunun adı nedir”, “En sevdiğin öğretmenin kimdir”,… birer gizli sorudur. Eğer soruyu da kullanıcı belirliyorsa buna Dynamic Knowledge-Based Authentication adı verilir ve bu gizli sorular bir çeşit kimlik kanıtlama (Identity Proofing) yöntemidir. Bu sorulara Bilişsel Parola (Cognitive passwords) adı da verilir.
  • Akıllı Kart: Genellikle içerisinde bir çip barındıran, kimlik bilgilerini içerisinde depolayan ve ilgili tarafın sahip olduğu (Something You Have) nesnedir.  Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (Bilinenler) bilgisini (genellikle PIN) de ispat etmek zorundadır. ABD tarafından kullanılan Common Access Card (CAC) da bir çeşit akıllı karttır. Akıllı kart yapısı ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [i] incelenebilir.
  • OTP (One Time Password): OTP yapısı ile ilgili detaylı bilgi için kaynaklardaki Siberportal bağlantısı [ii] incelenebilir.

Bir kişiyi aramak veya metin mesajı göndermek gibi doğrulama yöntemleri Bant dışı kimlik doğrulama (Out-of-band Identity Proofing) olarak adlandıırlır. 

 

4) Kimlik Doğrulayıcı Güvence Düzeyi

Bir kimlik doğrulama sürecinin ne kadar güçlü olduğunun ölçülmesi için NIST tarafından SP 800-63B ile detaylandırıan bir seviyelendirme işlemi yapılır. Bu seviyelendirmeye Authenticator Assurance Level (AAL) adı verilir. AAL1, AAL2 ve AAL3 olmak üzere 3 güvenlik seviyesi vardır.

AAL, kimlik doğrulayıcının kendisine değil, etkileşimli oturuma verilir. Örneğin parola, SMS ve retina kontrollerinden oluşan 3 faktörlü bir kimlik doğrulamanın seviyesi AAL3 iken, parola için AAL1 olabilir.

 

Kaynaklar:

[i] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/smart-card-authentication-on-microsoft-environment/
[ii] https://www.siberportal.org/information-security/bilgi-guvenligi-bakis-acisi-ile-authentication-token-kavrami/
[iii] https://www.siberportal.org/blue-team/securing-information/biometrik-yontemler-ile-kimlik-dogrulama/

Learn about Access Control in CISSP

Learn about Biometrics in CISSP

Learn about One-Time Passwords in CISSP


https://pages.nist.gov/800-63-3-Implementation-Resources/63B/AAL/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.