EN

Otantikasyon Nedir?

03 Ekim 2019

Otantikasyon (Authentication) Nedir?

Otantikasyon kimlik doğrulama anlamında kullanılmaktadır. Kimlik doğrulama, herhangi bir sisteme erişmeye çalışan kullanıcının iddia ettiği kullanıcı olup olmadığını kanıtlama sürecidir. Web uygulamalarında oturum açmak için yapılan kimlik doğrulamada, kullanıcıya ait özel kullanıcı adı ve parola gibi metrikler kullanılır. Her kullanıcın oturum bilgileri kendine özgü benzersiz ve tahmin edilmesi çok zor olmalıdır. Oturum sağlanırken, kullanıcı ve sunucu arasında iki yönlü bir iletişim kurulur. Oturum yönetimi, bir sunucuya yapılan bağlantının durumunun korunması ve devamında bir sonraki oturum isteğine verilecek tepkinin hatırlanması için gereklidir Sunucudan alınan bilgiler ile oturum açmak isteyen kullanıcın bilgileri karşılaştırılarak doğrulama işlemi gerçekleştirilir.

Otantikasyon Faktörleri

Kimlik doğrulama faktörü, bir kaynağa erişmek isteyen kullanıcın kimliğini doğrulamak için kullanılan veridir. Kimlik doğrulamada kullanıcı adı ve parola en temel kimlik doğrulama türü olarak kabul edilmektedir. Kullanıcı adı ve parola kullanıcı tarafından belirlenir. Bu yöntem tek faktörlü kimlik doğrulama yöntemidir. Güçlü bir kimlik doğrulama işlemi saldırılara karşı dirençli ve güvenli olmalıdır. Bunun için en az iki faktörlü kimlik doğrulama işlemleri önerilmekte ve temel alınmaktadır. Kimlik doğrulama faktörü genellikle kullanıcıların bildikleri, sahip oldukları veya kalıtımsal bilgilerinden oluşturmaktadır. Bunların dışında dördüncü ve beşinci faktörlerde zamanla geliştirilmiş ve kullanılmaya başlanmıştır.  Günümüzde kullanılan kimlik doğrulama faktörleri aşağıda verildiği gibidir.

Bilgi Faktörü: Bilgi faktörü, kullanıcının kişisel kimlik numarası, kullanıcı adı, şifre veya gizli bir sorunun cevabını içeren kullanıcının sahip olduğu bilgilerden oluşur.

Sahip Olma Faktörü: Sahip olma faktörü, kullanıcının sahip oldukları veya taşıyabileceği nesnelere dayanan kimlik bilgisidir. Örneğin tek kullanımlık şifreler, doğrulama için kullanılan donanımlar ( Örn. Dongle), telefona gelen onay mesajları vb. 

Kalıtım Faktörü:  Kalıtım faktörü tipik olarak parmak izleri, yüz tanıma, retina taraması veya diğer biyometrik verilerin kullanıldığı bir tür biyometrik tanımlamaya dayanmaktadır.

Yer Faktörü:  Spesifikliği düşük olan konum faktörü genellikle diğer faktörlerle beraber kullanılır. Konum bilgileri GPS donanımlı cihazlar veya ağ yolları takip edilerek alınır. Konum faktörü kimlik doğrulamada genellikle tek başına kullanılmaz ancak erişim taleplerini sınırlamak için diğer kimlik doğrulama uygulamaları ile beraber kullanılmaktadır.

Zaman Faktörü: Zaman faktörü konum vektörü gibi tek başına kullanılmaz, diğer faktörlerle beraber kullanılır. Konum faktöründen farklı olarak kaynağa erişim zamanı dışında gelen taleplerin reddedilerek saldırılara karşı korunmasına dayanır.

Otantikasyon Yöntemlerinin Türleri

Kimlik doğrulamada genellikle kullanıcı adı ve parola bilgileri şifrelenip bir dosyada saklanır devamında doğrulama bu şifreli veri ile sağlanır. Kullanıcının giriş talebinde, girilen kullanıcı ve parola bilgileri şifrelenir ve şifreli dosya ile karşılaştırılır. İki şifre eşleşirse kullanıcı kimliği doğrulanır.   Kimlik doğrulamada kullanılan bu yöntem, özellikle farklı sistemler arasında dağıtılan kaynaklar için bazı dezavantajlara sahiptir. Birincisi, bir sistemin şifre dosyasına erişebilen saldırganlar şifreleri ele geçirmek için karma şifrelere yönelik kaba kuvvet saldırıları uygulayabilir. Bir diğeri için, bu yaklaşım, çoklu sistemler arasında kaynaklara erişen modern uygulamalar için çoklu kimlik doğrulama gerektirir. Parola tabanlı kimlik doğrulama zayıflıkları, daha büyük kullanıcı adları, başlıklar ve semboller gibi karmaşıklık için minimum uzunluk gibi parola kuralları ile bir yere kadar güvenlik sağlar. Fakat birden çok bağımsız yöntem gerektiren sistemlerden daha savunmasızdır. Diğer kimlik doğrulama yöntemleri aşağıdaki gibidir.

İki faktörlü kimlik doğrulama: Kimlik doğrulamaya ikinci bir katman daha ekler.  Kullanıcı parola ve kullanıcı adına ek bir kimlik doğrulama faktörü kullanılır. Genellikle önceden kaydedilmiş olan telefon veya e-postaya gönderilen tek kullanımlık şifre ile sağlanır.

Çok faktörlü kimlik doğrulama: Çok faktörlü kimlik doğrulama, kullanıcıların parmak izi veya yüz tanıma gibi bir biyometrik faktörün sahiplik veya bilgi faktörü ile kullanılmasını içerir.

Tek kullanımlık parola: Tek kullanımlık parola, kimliği doğrulama için otomatik olarak oluşturulan sayısal veya alfanümerik karakter dizisidir. Tek kullanımlık parolalar sadece bir kere oturum açmak için kullanılır. Genellikle parolasını unutan kullanıcıların oturumu açmaları veya parolalarını değiştirmek için üretilen parolalardır. Ayrıca mobil bankacılık işlemlerinde oturum açmak için üçüncü bir doğrulama faktörü olarak kullanılır.

Üç faktörlü kimlik doğrulama: Üç faktörlü kimlik doğrulama sistemleri, bilgi, sahip olma ve biyometrik kimlik doğrulama faktörlerini birlikte kullanır.

Biyometrik: Bazı doğrulama sistemleri sadece biyometrik tanımlamaya bağlı olsa da, biyometrik faktörler genellikle ikinci veya üçüncü doğrulama faktörü olarak kullanılır. Mevcut olan en yaygın biyometrik kimlik doğrulama türleri arasında parmak izi taramaları, yüz veya retina taramaları ve ses tanıma sayılabilir.

Mobil kimlik doğrulama: Mobil kimlik doğrulama kullanıcıları cihazlarıyla doğrulma işlemidir.  Mobil kimlik doğrulama işlemi, bir defalık şifreler, biyometrik kimlik doğrulama veya QR kod doğrulama içerebilen çok faktörlü kimlik doğrulama içerir.

Sürekli kimlik doğrulama: Sürekli kimlik doğrulamada, kullanıcının her seferinde oturum açması ve kapatmasına alternatif olarak bir uygulama kullanılır. Kullanılan uygulamada hesap sahibi ile aygıt kullanıcısını doğrulamak amacıyla bir kimlik doğrulama puanı hesaplanır.

Siber Güvenlikte Otantikasyon

Siber güvenlikte Otantikasyon önem arz etmektedir. Çünkü bilgisayar sistemlerine, ağa, veritabanlarına, web sitelerine ve diğer ağ tabanlı uygulamalara veya hizmetleri içerebilecek diğer kaynaklara sadece kimliği doğrulanmış kullanıcıların (veya işlemlerin) erişmesine izin verilir. Böylece sistem ve ağ güvenliği sağlanarak kişisel ve hassas veriler korunur. Veri güvenliği konusunda ele alınan bir tabirdir.

Kimlik doğrulaması yapıldıktan sonra, kullanıcının sistem veya kaynağa erişim iznini doğrulamak için yetkilendirme işlemi yapılır. Kimliği doğrulanan kullanıcının kaynak veya sisteme erişim yetkisinin olmaması durumunda erişim izni verilmez.  

Kimlik doğrulama ve yetkilendirme terimleri sıklıkla karıştırılmaktadır. Güvenlik mekanizmalarında birlikte kullanılmakla beraber farklı işlemlerdir.  Kimlik doğrulama korumalı bir kaynağa erişmek isteyen kullanıcının kimliğini doğrulama işlemini gerçekleştirirken, yetkilendirme kimliği doğrulanmış kullanıcının kaynağa erişim izninin doğrulanma işlemidir. Kaynaklara erişişimin belirli kullanıcılarla sınırlandırılması süreci erişim kontrolü olarak adlandırılmaktadır.

 

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog