Çok Aşamalı Kimlik Doğrulama

0
264
views
Bilgi güvenliğinin temel unsurlarından birisi kimlik doğrulamadır. Kimlik doğrulama mekanizmasını daha etkin hale getirebilmek için çok aşamalı kimlik doğrulama mekanizmasının kullanılması tavsiye edilmektedir. Bu yazıda çok aşamalı kimlik doğrulama konusu incelenecektir.

Çok aşamalı kimlik doğrulamanın 3 temel ayağı bulunur.

  • Something you know (Bilinenler): Kullanıcı ile erişmek istediği sistem arasında paylaşılan gizli veriler bu guruba girer. Buna en iyi örnek kullanıcıya ait parola bilgisidir. Bunun haricinde tutulan takım, favori renk, ilk öğretmenin adı, PIN kodu, doğum tarihi… da “Bilinenler” olarak kullanılabilir.
  • Something you have (Sahip olunanlar): Kullanıcılara ait jetonlar (token) bir çeşit kimlik beliryecisidirler. Bu token’lar USB, Security, Hard Token gibi donanımsal veya SMS gibi yazılımsal olabilir. Bu kimlik belirleyicilerin sahibi olan bir kullanıcı, bu araçlar ile sisteme kimliğini doğrulatabilir. Token’lar haricinde akıllı kartlar veya sayısal sertifikalar da örnek olarak verilebilir. Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (bilinenler) bilgisini (PIN) de ispat etmek zorundadır.
  • Something you are (Olduğun): Bazı sistemler kullanıcıya ait biyolojik özellikleri kimlik doğrulayıcı olarak kullanırlar. Biyometrik metodlar fizyolojik (physiological) ve davranışsal (behavioral) olmak üzere ikiye ayrılır. Fizyolojik metodlar yüz tanıma, parmak izi (sabıka sorgulama veya hasta kayıt/tanıma işlemlerinde), avuç izi, iris tarama, retina taraması (kan damarı seviyesi taranır), kan örneği veya ses tanıma (ses ses teli/boşluğu ve ağız hareketleri kişiye özeldir) olabilir. Bunun yanunda davranışsal metodlar el yazısı (imzası) tanıma (kalem tutuş tarzı, yazı stili, yazış baskısı, yazma hızı kişiye özeldir), klavye hareketlerini algılama (klavyeye basma hızı/tarzı/baskısı kişiye özeldir) olabilir. En güvenilir ve en güçlü olmasının yanında aynı zamanda en pahalı yöntemdir. Bu sebeple havalimanları, askeri bölgeler gibi kritik alanlarda kullanılır. Bu sistemler yaygın olarak kullanılmakla birlikte bazı riskleri de mevcuttur. Örneğin parmak izi okutularak yapılan doğrulamalarda kesin sonuç almak çok zordur, veya ses tanımlama yöntemiyle kimlik doğrulayan sistemler kullanıcının sesi kaydedilerek kolayca atlatılabilir. Buna benzer bir çok sebepten dolayı biometrik kimlik doğrulama yöntemleri kesin sonuç vermeyen ve tam olarak güvenilir olmayan sistemlerdir.

Bu 3 yöntemden farklı 2 tanesinin yöntemleri beraber kullanılırsa (USB ve PIN; Kullanıcı adı ve parmak izi; …) buna iki faktörlü kimlik doğrulama adı verilir.

Günümüzde bir çok sistemde, özellikle iç ağda kullanılan sistemlerde, çok aşamalı kimlik doğrulama yerine tek aşamalı kimlik doğrulama kullanılmaktadır. Örneğin bir Windows bilgisayara uzaktan bağlantı kurabilmek için kullanıcı adı ve parola kullanılmaktadır. Benzer olarak bir SSH sunucuya bağlantı için kullanıcı adı ve parola kullanılabildiği gibi sadece bir sertifika da kullanılabilmektedir. Kullanıcı kimlik bilgilerini veya sertifikayı elde eden saldırgan, ek bir önlem alınmamışsa hedef sisteme erişim sağlayabilmektedir. Bu yöntem kaba kuvvet saldırıları için de kullanılabilir. Kaba kuvvet saldırılarıyla, hedef sisteme bir veya birden çok bilgi ile saldırılarak hedef sistemdeki kimlik doğrulama mekanizması atlatılmaya çalışılır.

Örnek kimlik doğrulama yöntemleri aşağıdaki gibidir.

  • Parola (Password): Bigi güvenliğinin “Kimlik Doğrulama” unsurundaki kimlik belirteci (Identification) ile alınan ve ilgili tarafın bildiği (Something You Know) ifadedir. “Aa123456”, “Qazwsxedc123”, “Ankara06”,… birer paroladır.
  • Parola Sözcüğü (Pass Phrase): Bir cümle veya sözcük grubu gibi uzun bir ifadeyi temsil eden parolalardır. Böylece akılda kalmayı kolaylaştırırken, bu ifadenin kırılmasını da zorlaştıracaktır. “BanaBalikTutmayiOgretmeBanaBalikVer”, “SizSirriCozmekDegilKandirilmakIstiyorsunuz”, “P4mUkPr3ns3sV3Y3diCuc3l3r”… birer parola sözcükleridir.
  • PIN (Personal Identification Number): Kullanıcıların ATM veya POS makinelerine girerek, debit kart veya kredi kartlarına kimlik doğrulatmak için kullanılan sayısal parolalardır. “123456”, “8269”,… birer PIN ifadesidir.
  • Gizli Soru: Kullanıcıdan alınan ve parola unutma gibi durumlar için sorulan sorulardır. “İlkokulunun adı nedir”, “En sevdiğin öğretmenin kimdir”,… birer gizli sorudur.
  • Akıllı Kart: Genellikle içerisinde bir çip barındıran, kimlik bilgilerini içerisinde depolayan ve ilgili tarafın sahip olduğu (Something You Have) nesnedir. Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (bilinenler) bilgisini (PIN) de ispat etmek zorundadır. Bir akıllı kartı kullanarak kimlik doğrulatmak isteyen bir kullanıcı (genellikle) ek olarak “Something You Know” (Bilinenler) bilgisini (genellikle PIN) de ispat etmek zorundadır.
  • OTP (One Time Password): Genellikle VPN  erişimlerinde, internet bankacılığında kullanılan tek seferlik ve kısa süre geçerliliği olan parolalardır. “Token” adı verilen araçlar ile üretilirler. Token aracı ve kimlik doğrulayan sunucu aynı algoritma ile parola üretirler. Token araçları senkron veya asenkron olabilirler. Zaman temelli (Time Based – iki tarafta da bulunan aynı zaman ayarı ve gizli anahtara göre OTP üretilir) ve Sayaç tabanlı (Counter Based – kullanıcının bir butona basma gibi bir aktivitesi ile iki taraftaki sayaca ve gizli anahtara göre OTP üretilir) token araçları Senkron; yazılımsal (kullanıcınun sunucudan aldığı bir kod uygulamaya girilerek OTP üretilir ve bu değer sunucuda doğrulanır) token araçları ise Asenkron çalışırlar.

 

Kaynaklar:

https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/smart-card-authentication-on-microsoft-environment/
https://blog.eduonix.com/networking-and-security/learn-access-control-cissp-2
https://blog.eduonix.com/networking-and-security/learn-biometrics-cissp
https://blog.eduonix.com/networking-and-security/learn-one-time-passwords-cissp

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.