TOPIC:

Kimlik Doğrulama (Authentication), çok çeşitli yöntemlerle gerçekleştirilmesi mümkün bir süreçtir ve bu süreç, doğrulama ihtiyacına ve kendisini tanıtacak taraf ile bunu doğrulayacak taraf arasındaki ilişkinin niteliğine göre şekillenmektedir. Bu süreçte belirleyici olan, kimliği tanıtıcı olarak kabul edilen ve doğrulanmak istenen unsurlar ile bunun için kullanılan faktörlerdir.

Bilişim literatüründe, Kimlik Doğrulama sürecinin seçilen faktörlerin nitelik ve niceliğine göre ayrımlara gidildiği görülmektedir.

Doğrulamada kullanılan faktör adedine göre temel iki ayrım söz konusudur:

TEK FAKTÖRLÜ Kimlik Doğrulama – ÇOK FAKTÖRLÜ Kimlik Doğrulama

“Hangisi daha güçlü sizce?” diye sormaya gerek yok sanırım. Doğal olarak çok olan, değil mi?

Kimlik doğrulamada kullanılan faktörleri kimliğin sahibine göre kategorize edersek, aşağıdaki şekilde bir sınıflandırma herkesçe kabul edilecektir.

Kullanıcı Kodu, Şifre, Onay Şifresi gibi BİLİNEN (Known – something you know) şeyler. (Burada artık Anne Kızlık Soyadı’ nı saymak istemiyorum, çünkü bu bilgi hakikaten “herkesçe bilinen” bir şey haline gelmiştir. Ne yazık ki, herkesçe bilindiği, herkesçe bilinmiyor sanırım, çünkü hâlâ, çevrimiçi etkileşimli hizmetler sunan çoğu finansal kuruluş bu unsuru güvenlik faktörü olarak kabul edip kullanmakta… )

Banka ve Kredi Kartları, Cep Telefonu SIM Kartı, OTP (One Time Password) Cihazı – Token gibi SAHİP OLUNAN (Own – something you have) şeyler.

Ses, Parmak İzi, Retina Deseni ve DNA gibi VARLIĞA AİT (something you are) şeyler. Varlıkla ilgili unsurları ise, Karakteristikler ve Biyometrikler olarak ikiye ayırabiliriz.

Örneğin ses, insanın KARAKTERİSTİK bir özelliğidir.

Damar haritası, retina deseni gibi biyolojik yapılar ise, BİYOMETRİK unsurlardır.

Varlığa ait unsurlar, daha yaygın şekilde, BİYOMETRİK unsurlar olarak anılmaktadır.

Ayrıca, kimlik sahibi ile doğrulayacak taraf arasındaki ilişki esas alındığında, doğrulamaya dayanak olarak çok farklı unsurlar faktör olabilir.

Anne Kızlık Soyadı (az önceki değerlendirmemde değişiklik yok, aksine aynı nedenle en kolay örnek bu olduğu için seçtim) kişinin önceden paylaştığı bir bilgidir. Bu bilginin kullanılması, yani önceden belirlenmiş müşteri sırlarını doğrulamak, TANIMA TABANLI bir doğrulama olur.

Sadece yetkili terminallerden gelen erişim taleplerine izin verilmesi, KONUM TABANLI bir doğrulamadır.

Erişimlere, zamana endeksleyerek, çeşitli periyotlarla izin verilmesi ise, ZAMAN TABANLI bir doğrulamadır.

Sağlanmış erişimlerde, önceden tanımlı işlemler ve talimatlar gerçekleştiriliyor olması nedeniyle, kimliğin doğruluğunu varsaymak, HACİM TABANLI bir doğrulamadır.

Yetki Tanımlama ile kullanıcının yetkilerinden yola çıkılarak erişime izin verilmesi YETKİ TABANLI Kimlik Doğrulama olarak kategorize edilmektedir.

İşlem yapılan bilişim sisteminin (yaygın olarak PC) kontrolü ya da Yazılım ve/veya Donanım Kontrolü (örneğin tarayıcı, “mac id” bilgileri) ile karar verilmesi ise, SİBERMETRİK bir doğrulama olmaktadır.

İki Faktörlü Doğrulama, iki farklı vesileyle kimliğin doğrulanmasıdır.

“İki Faktörlü Kimlik Doğrulama”, girişte de belirttiğim gibi, tek değil çok olması, ama yine de en ekonomik çok faktörlü doğrulama olması nedeniyle güçlü ve tercih edilmesi gereken seçenek olmalıdır. Sanırım, neden 3 faktör olamadığı ya da tercih edilmediği şeklinde, akla gelecek bir soruya, “ekonomi” kavramı, yeterince açıklayıcı bir cevap olacaktır.

Tipik ve yaygın olarak, SAHİP OLUNAN ve BİLİNEN iki unsurun kontrolü ile doğrulama yapılır.

VARLIĞA AİT olan karakteristik ve biyolojik unsurlarla (Biyometriklerle) kimliğin doğrulanması ise, biyometrik okuyucu donanımları, biyolojik verilerin sağlanması, saklanması ve korunmasına ilişkin yüksek maliyetler nedeniyle daha kısıtlı olarak çok özel ve kritik süreçlerde kullanılmaktadır. Yani, biyometrik doğrulamalarda maliyet ile hata payı ters orantılı olmaktadır. Bu yüzden, yaygın ve yoğun şekilde doğrulama gerektiren durumlarda, örneğin internet bankacılığı işlemlerinde, katlanılamaz maliyetler söz konusu olacağından, Biyometriklerle kimlik doğrulama tercih edilmemektedir.

Ayrıca, sır (gizli) olmadıkları (düşünsenize, dokunduğumuz her yerde parmak izimizi bırakıyoruz, gözlerimizle her an her yere bakıyoruz), yani kolayca elde edilebilmeleri, rastsal ve yenilenebilir olmadıkları, iptal edilemedikleri için, Biyometrikler, PIN(*) (Personel Identification Number) yani kimliği tanıtıcı, ibraz edici, sabit bir kullanıcı kodu olarak veya adımız soyadımız gibi kullanılmaya çok daha uygundurlar. Tabii ki, bir şifre ile birlikte!

(*) Bu arada, PIN ifadesi, dilimizde şifre olarak geçmekte ise de, bu tanımlamalardan da anlaşılacağı gibi, ŞİFRE için doğru ifade PASSWORD (alfabetik) veya PASSCODE (alfanümerik) olmalıdır.

Buraya kadarki bilgiyi özetlersek, doğal olarak İki Faktör, Tek Faktör’ den iyidir. Çünkü ezberlenmiş bir sabit şifreye ilişkin problemleri azaltır. Ancak İki Faktör Doğrulama’da da faktörel güç farkı seçilecek yöntemin başarısını etkiler. Seçilecek yöntemden kastım ise, tipik örneğimizdeki “sahip olunan” faktör kullanımıdır. Sahip olunan unsurun kullanım şekli, faktörün gücünü belirleyici olacaktır. Sahip olunan unsurun, gerçek sahipliği ne kadar karşıladığı, kendi başına bir eleman olarak veya bir fonksiyonun bileşeni olarak kullanılması gibi farklı yöntemler, bu gücü farklılaştıran tercihlerdir. Aslında bu durum, zayıf, güçlü yada daha güçlü bir kimlik doğrulamayı ifade eder.

BDDK Tebliği ve İki Faktörlü Kimlik Doğrulama

İki faktörlü doğrulamada, sahip olunan faktöre ilişkin güç farkını, bankacılık sektöründen örnekleyerek açıklamak durumu çok somutlaştıracaktır.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından, 14 Eylül 2007’ de Resmi Gazete’ de yayınlanarak yürürlüğe giren ve 01 Ocak 2010 itibarıyla bankaların yükümlü olduğu, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” in, İnternet Bankacılığı bölümünde, Kimlik Doğrulama başlığı altında düzenlenen 27. Maddesinin 4. Fıkrasında, “Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilir.” diyerek iki faktörlü doğrulamayı ifade etmiştir.

Aynı maddede,

“Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir.” denilerek, faktörler örneklenmiş ve daha da önemlisi, “sahip olunan” unsur olarak, BDDK tarafından kabul ve tebliğ edilen yöntemler tanımlanmıştır.

Burada, “kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir” ifadesi ile; halen bankaların internet şubesi kanalında, kullanıcı/müşteri kimliğini doğrulama amacıyla, en yaygın şekilde kullanılan – aslında tercihe bırakıldığı için, güvenlik algısı gelişmemiş ve farkındalığı tam oluşmamış ortalama internet kullanıcısı müşterilerin “kolay” olduğu için tercih ettiği – banka tarafından üretilip GSM hatlarına (cep telefonlarına), müşterinin abonesi olduğu GSM İşletmecisi firma aracılığı ile, Kısa Mesaj Servisi (SMS) mesajı olarak iletilen Tek Kullanımlık Parola’ların (şifre) “müşterinin sahip olduğu” bir unsur olarak kabul edildiği açıkça belirtilmektedir.

Tabii ki, bu bir kabuldür. Teorik olarak ise, belirtilen yöntemde, GSM hattına, ne kadar “sahip olunduğu” ve o hatta ulaştırılan SMS mesajının (şifre içeren) gerçekten de kimliği doğrulanmaya çalışılan kullanıcı/müşterinin hattına ulaşıp ulaşmadığı konusunda mutlak bir doğruluktan söz etmek mümkün değildir.

Nitekim, zaman zaman basında da yeralan dolandırıcılık haberlerinde, bu yöntemle dahi, banka müşterilerinin hesaplarından, başka kişilerce işlem yapılıp, hesap sahiplerinin mağdur edildiğini duymak mümkündür. Nedeni ise, çeşitli nedenlerle, GSM hat sahipliğinin standart bilgi güvenliği ve kimlik doğrulama süreçlerine tabi tutulmaması ve bu sayede kötü niyetli kişilerce, sahtecilik yöntemleri ile elde edilmesinin oldukça olanaklı olmasıdır.

Hatta son zamanlarda tespit edilen yeni bir yöntemde, kullanıcının GSM hattının ele geçirilmesi bile gerekmemektedir.

Bu yöntemde, kullanıcı bilgisayarlarına sızan bir kötücül yazılım ile internet bankacılığı erişimlerinde, hem kullanıcı kodları, müşteri numaraları, sabit şifre ve parolalar gibi bildiği unsurlar ekran görüntüsü alınarak (screen logging) elde edilmekte, hem de – özellikle akıllı telefon (smartphone) – kullanıcılarına bir wap link ile bulaştırılan aynı kötücül yazılımın farklı bir versiyonu sayesinde, tek kullanımlık şifre içeren bu SMS mesajlarının farkedilmeden başka bir hatta yönlendirilerek (SMS Forwarding), aslında “sahip olunan” bir unsur, “sahip olunamadan” başka kişilerin eline geçebilmektedir. (bkz. Zeus In The Mobile (Zitmo) Zararlı Yazılımı adlı yazı)

Özetle, yine de İki Faktör, Tek Faktör’ den iyidir; ama faktörlerin gereksinimleri iyi belirlenmeli ve kullanım şekilleri, süreçleri güven altına alınmalıdır. Özellikle, tipik ve yaygın olduğunu belirttiğim “sahip olunan” faktör seçenekleri çok geniş olmakla birlikte, örneğini verdiğim SMS yönteminde olduğu gibi, kimlik doğrulama sürecinde; doğrulama unsurunun, kimliği doğrulanan ve kimlik doğrulayan dışında, ikiden daha fazla taraf arasında taşınması (ya da sahip olunması) faktörel güç zaafiyetini doğurur. Yani, güvenilen dağlara kar yağar, hatta yağıyor.