Kimlik doğrulama, bir öznenin (örneğin, kullanıcı, cihaz, grup, hizmet vb.) belirli bir kimliğe sahip olduğunu kanıtlama sürecidir. Bunu biraz daha detaylandıracak olursak...
Kimlik
Kimlik, belirli bir özneyi tanımlayan benzersiz bir etikettir (ilgili ad alanına göre). Bu kimlik genellikle bir oturum açma adı (örneğin, "test"), bir e-posta adresi (örneğin, test@info.com) veya benzersiz bir karakter dizisi olabilir. Ancak aynı ad alanı içinde, daha önce üzerinde anlaşılmış herhangi bir benzersiz etiket de kimlik olarak kullanılabilir.
Ad Alanı
Ad alanı, belirli varlıkları ve bunlarla ilgili nitelikleri toplamak, tanımlamak ve organize etmek için kullanılan bir sistemdir. Yaygın ad alanları arasında Etki Alanı Adlandırma Sistemi (DNS), Microsoft Active Directory ve Hafif Dizin Erişim Protokolü (LDAP) veritabanları bulunur. Bir ad alanı, birden fazla kimlik etiketi içerebilir (örneğin, Active Directory'de DNS, LDAP, e-posta adresi ve Kullanıcı Asıl Adı (UPN) kullanılabilir). Ancak her etiket aynı ad alanında benzersiz olmalı ve yalnızca tek bir kimliği temsil etmelidir.
Kimlik Doğrulama ve Erişim Denetimi
Tüm kimlik doğrulama ve erişim denetimi adımları, bir veya daha fazla kimlik içerir. Kimlik doğrulama süreci, kimlik doğrulamayı yapan özneyi benzersiz bir şekilde tanımlayan bir kimlik etiketi içerir. Kimlikler, ilk kimlik doğrulama sürecinin bir parçası olarak ya da öncesinde oluşturulmalıdır. Kimlik etiketi, kimliğin sahipliğini kanıtlamak için sağlanan bilgiyle aynı olmamalıdır. Örneğin, Microsoft Windows'ta bir özne kimlik doğrulaması yapmak için bir parmak izi kullanabilir, ancak kimlik doğrulama girişimine eklenen etiket muhtemelen kullanıcının Active Directory oturum açma adı, UPN'si veya e-posta adresi olacaktır. Bu nedenle, kimlik etiketi kimlik doğrulama sürecinde çok önemli bir rol oynar.
Kimlik Doğrulama
Kimlik doğrulama, bir ad alanı içindeki bir kimlik doğrulama kimliğinin (tek) sahipliğini kanıtlayan özne sürecidir. Bu süreç, kimliğin ve ilgili izinlerin, üyeliklerin, hakların ve ayrıcalıkların ad alanına dayalı erişim kontrolü ve yetkilendirme işlemlerinde kullanılmasını sağlar.
Kimlik ve Sahiplik Kanıtı
Kimlik ve bu kimliğin sahipliğini kanıtlayan bilgiler, gelecekteki kimlik doğrulama zorluklarında kullanılmak üzere güvenli bir şekilde en az bir konumda (örneğin, tablo, veritabanı, kayıt defteri girişi vb.) saklanmalıdır. Kimlik doğrulama kanıtlarının depolanması genellikle kimlik doğrulama sürecine doğrudan dahil olan sunucu, hizmet veya sitede değil, her iki tarafın da (sunucu ve istemci) güvendiği üçüncü taraf sunucular, hizmetler veya sitelerde gerçekleştirilir.
Her depolama konumu, kimlik doğrulamasını tehlikeye atabilecek potansiyel bir saldırı vektörüdür. Kimlik doğrulama kullanan herkes, bu kanıtların nerede saklandığını, bu konumlara kimin erişimi olduğunu ve bu saklama yöntemlerinin ne kadar güvenilir olduğunu göz önünde bulundurmalıdır. Kimlik doğrulama bilgileri yalnızca gerekli sayıda yöneticiyle sınırlandırılmalı, sıkı bir şekilde izlenmeli ve denetlenmelidir. Eğer kimlik doğrulama bilgilerinin güvenliği ihlal edilirse, kimlik doğrulama sürecine artık tam olarak güvenilemez.
Kimlik doğrulama, başarılı veya başarısız olabilir. Yalnızca başarılı ve meşru kimlik doğrulamalarının bir sonraki işleme geçmesine izin verilmelidir.
Erişim Kontrol Simgesi
Başarılı bir kimlik doğrulamasından sonra, çoğu durumda erişim kontrol süreci, doğrulanan kimliğe bir erişim kontrol nesnesi (örneğin, belirteç, bilet vb.) ilişkilendirir. Bu erişim kontrol belirtecinin içeriği, kullanılan sisteme ve protokole bağlı olarak değişiklik gösterir. Bazı sistemlerde, belirteç yalnızca bir dizi sayı veya karakter gibi başka bir benzersiz tanımlayıcı içerebilir. Diğer sistemlerde ise grup üyelikleri, izinler, ayrıcalıklar ve diğer gerekli bilgilerin bir listesini içerebilir.
Belirteç
Bir belirteç, önceden belirlenmiş bir maksimum ömre sahip olabilir veya olmayabilir. Belirtecin süresi dolduğunda, öznenin "etkin" bir oturumda kalabilmesi için yeniden kimlik doğrulama yapması gerekebilir. Microsoft Windows'ta, bir erişim kontrol belirteci, Kerberos bileti veya NTLM ya da LM belirteci biçiminde olabilir. Web siteleri ve hizmetlerde ise çoğu erişim kontrol belirteci, basit bir metin dosyası olan bir HTML tanımlama bilgisiyle temsil edilir.
Başarılı bir kimlik doğrulamasının ardından, kullanıcıya kimlik doğrulama sürecinin geri kalanında kullanılacak bir oturum erişim kontrol belirteci verilir.
Yetki
Yetkilendirme, öznenin belirli kaynaklara erişimini belirlemek için, başarıyla kimliği doğrulanmış öznenin erişim kontrol belirtecini önceden izin verilen veya güvenli kaynaklarla karşılaştırma işlemidir. Genellikle, bir özneye bir erişim kontrol belirteci verildikten sonra, özne (veya onun adına bir süreç veya program) bu belirteci yetkilendirme için sunar. Bu durumda, öznenin belirtecin sona erme tarihine kadar yeniden kimlik doğrulaması yapması gerekmez. Erişim kontrol belirteci verildikten sonra, her yetkilendirme girişiminde kimlik doğrulama tekrar edilmez; belirtece sahip olmak, başarılı kimlik doğrulamanın kanıtı olarak kabul edilir.
ÇOK ÖNEMLİ NOKTA!
Kimlik doğrulama yöntemi ne olursa olsun—basit bir parola, biyometrik veri veya çok faktörlü bir kimlik doğrulama jetonu—kimliğin başarılı bir şekilde doğrulanması sonrasında, genellikle kullanılan kimlik doğrulama jetonu tüm yöntemler için aynıdır ve kullanılan yöntemle çok az benzerlik gösterir.
Örneğin, bir öznenin dizüstü bilgisayarını ve dizüstü bilgisayarın yerleşik parmak izi tarayıcısını kullanarak Windows ve Active Directory'de oturum açtığını varsayalım. Kimlik doğrulama işlemi dizüstü bilgisayarda yerel olarak gerçekleşir. Parmak izi tanıma ve kimlik doğrulama yazılımı, kullanıcının kimliğini başarıyla doğrular. Bu aşamada, kullanıcının parmak izi artık kullanılmaz; parmak izi ağ üzerinden gönderilmez ve kopyalanmaz.
Başarılı kimlik doğrulamasından sonra, Windows işletim sistemi kullanıcısına bir Kerberos bileti veya NTLM ya da LM belirteci verir. Bu belirteç, kullanıcının tüm erişim kontrol yetkileri için kullanılan sonuç belirtecidir. Eğer bir saldırgan bu erişim kontrol belirtecine erişebilirse, kimliği nasıl doğruladığınızla ilgilenmezler. Jetonun meşru yollardan elde edilip edilmediği genellikle yetkilendirme süreçleri tarafından ele alınır. Yetkilendirme süreci, belirtecinin geçerli sahibinin meşru bir kullanıcı olup olmadığını bilmez. Bu önemli gerçek, bilgisayar korsanları tarafından çok faktörlü kimlik doğrulamasını tehlikeye atmak için kullanılabilir.
Kimlik doğrulama için kullanılan yöntem ile daha sonra yetkilendirme amacıyla kullanılan erişim kontrol belirteci arasında büyük bir fark vardır. Kimlik doğrulama sürecinde, parolalar, biyometrik veriler veya çok faktörlü kimlik doğrulama gibi yöntemler kullanılarak öznenin kimliği doğrulanır. Bu işlem, belirli bir kimlik doğrulama yöntemi ile gerçekleştirilir ve bu yöntemin sonucunda bir erişim kontrol belirteci verilir.
Ancak, erişim kontrol belirteci genellikle bu kimlik doğrulama yönteminden bağımsızdır ve kimlik doğrulamanın başarılı olup olmadığını gösterir. Erişim kontrol belirteci, yetkilendirme sürecinde kullanılan ve kullanıcının sistemdeki erişim haklarını belirleyen bir belirteçtir. Bu belirteç, kimlik doğrulama yönteminin bir sonucu olarak verilir ve kimlik doğrulama sürecinde kullanılan yöntemle benzerlik göstermez.
Bu fark, belirtecinin güvenliğini ve yetkilendirme sürecinin nasıl çalıştığını anlamak için önemlidir.
MFA'yı (çok faktörlü kimlik doğrulama) hacklemenin önemli bir yolu, kimlik kaydı, kimlik doğrulama gizli depolama, kimlik doğrulama ve yetkilendirme aşamalarındaki tüm zayıflıkları incelemektir. Saldırganlar, kimlik doğrulama sürecindeki her adımda potansiyel güvenlik açıklarını arayarak bu zayıflıklardan faydalanabilirler.
Tek Yönlü ve İki Yönlü Kimlik Doğrulama
Kimlik doğrulama genellikle, bir sunucu (kimliği doğrulanan nesne/uygulama/işlem) ve bir istemci (sunucuya kimlik doğrulaması yapan) arasında gerçekleştirilir. Kimlik doğrulama süreci tek yönlü veya iki yönlü olabilir. Birçok kimlik doğrulama nesnesi, kimlik doğrulamanın amacına bağlı olarak hem sunucu hem de istemci olarak işlev görebilir. Bu, fiziksel bir sunucunun her zaman sadece bir sunucu gibi davranmayabileceği anlamına gelir. Ayrıca, kimlik doğrulama işlemine ek sunucular da dahil olabilir, bu nedenle tek bir kimlik doğrulama olayı sırasında birden fazla kimlik doğrulama gerçekleşebilir. Örneğin, Kerberos'ta istemci, hem hedef sunucuda hem de Kerberos kimlik doğrulama sunucusunda kimlik doğrulaması yapmalıdır.
Çoğu kimlik doğrulama süreci tek yönlüdür; yani istemci sunucuya kimlik doğrulaması yapar veya sunucu istemciye kimlik doğrulaması yapar, ancak aynı işlem içinde bunun tersi yapılmaz. Örneğin, HTTPS kullanan web sunucularında, sunucu kimliğini doğrulamak için bir HTTPS/TLS dijital sertifikası kullanır. İstemci, sunucunun HTTPS sertifikasını alır ve güvenilirliğini doğrular. Ancak, tek yönlü kimlik doğrulamada, istemci sunucuya kimliğini kanıtlamaz.
İki yönlü veya "karşılıklı" kimlik doğrulama sürecinde ise hem istemci hem de sunucu, birbirlerinin kimliğini doğrular. Eğer bir taraf başarısız olursa, diğer taraf da otomatik olarak başarısız olur.
Kimlik Doğrulama Faktörleri
Kimlik doğrulaması, bir öznenin kimliği kanıtlamak için sunduğu bir veya daha fazla kimlik doğrulama faktörünü içerir. Kimlik doğrulama faktörleri, sadece öznenin bildiği veya sağlayabileceği şeylerdir ve kimliğin tek sahibi olduğunu kanıtlar. Üç temel kimlik doğrulama faktörü türü vardır:
• Bildiğin Bir Şey: Örnekler: Şifre, PIN, güvenlik soruları.
• Sahip Olduğun Bir Şey: Örnekler: USB belirteci, akıllı kart, RFID verici, dongle.
• Sen Bir Şeysin: Örnekler: Biyometri, parmak izleri, retina taraması.
Her zaman üç temel faktör türü vardır, ancak bazı MFA çözümleri birden fazla örneği içerebilir. En iyi güvenliği sağlamak için faktörlerin farklı türlerde olması gerekir. Aynı türde birden fazla faktör, tek faktörlü çözümlerden daha güvenli olabilir, ancak en fazla korumayı sağlayan farklı türde faktörlerdir.
Bant İçi ve Bant Dışı Kimlik Doğrulama
Kimlik doğrulama faktörleri, bant içi veya bant dışı olarak sınıflandırılabilir. Bant içi kimlik doğrulama, kullanılan faktörün, oturum açma işlemiyle aynı iletişim kanalı üzerinden iletilmesidir. Bant dışı kimlik doğrulama, faktörün farklı bir kanal üzerinden iletilmesidir.
Örneğin, internet hizmetinde oturum açarken, hem parolanızı hem de bir parola kurtarma yanıtını aynı tarayıcıda girmelisiniz; bu bant içidir. Ancak, şifrenizi girdikten sonra cep telefonunuza gönderilen bir PIN kodunu girmeniz gerekiyorsa, bu bant dışıdır.
Ayrı kimlik doğrulama faktörlerinin ve iletişim bantlarının sayısı arttıkça güvenlik güvencesi de artar. MFA kullanımı her zaman güvenliği artırabilir, ancak her senaryo MFA’yı desteklemez ve bazı MFA çözümleri her durumda kullanılmayabilir.
MFA, güvenliği artıran bir araçtır ancak tek başına her şeyi koruyamaz. MFA’nın başarılı olabilmesi için, şirketlerin diğer güvenlik açıklarını da ele alması gerekir. MFA, birçok güvenlik sorununun çözümü olmasa da, güvenlik katmanlarını artırmada etkili bir araçtır. MFA'nın kendisi de hacklenebilir ve çoğu şirket MFA kullanıyor olsa da, hala başarılı saldırılarla karşılaşabilirler. MFA, bir şirketi tamamen güvenli hale getirmese de, iyi bir güvenlik uygulaması olarak değerlendirilebilir.
Yorum Gönder