Çok Faktörlü Kimlik Doğrulama (MFA) Nedir?

Kimlik doğrulaması IAAA prensibinin bir parçasıdır. IAAA siber güvenlik dünyasında Access Control mekanizmasının temelini oluşturur. Peki nedir bu IAAA, neyi ifade ediyor biraz onu açalım. IAAA aslında “Identification, Authentication, Authorization, Accountability (aka Auditing)” kelimelerinin baş harflerinden oluşmaktadır. Biraz daha anlamlandırmak için birer örnekle açıklayalım:

Identification: Kim olduğunuzun cevabıdır. Örneğin kullanıcı adı gibi.

Authentication: Kimlik doğrulama işlemidir. Identification’da sadece kimlik bilgisi paylaşılırken konu Authentication islemine geldiginde kimlikle birlikte bir kanıt sunmayı gerektirir. Kullanici adi + sifre gibi.

Authorization: Kimlik doğrulamasi gerçekleştikten sonra sahip olduğunuz haklardır. Rol bazlı yetkilendirme bunun en yaygın yöntemidir.

Accountibility: Kimlik doğrulamasının yanında sahip olduğunuz haklarla yapılan tum değisikliklerin kayıt altına alınmasıdır.

Yazımızın ana baslığina geri dönüp Authentication (Kimlik Dogrulama) üzerine odaklanalım. Kimlik doğrulama içlemi temelde 3 ana başlikta toplanır:

1- Something you know (Bildigin bir sey ile dogrulama): Statik bir bilgidir ve bu bilgiye sahip olan herkes bu doğrulamadan geçebilir. En yaygin kullanım alanı sabit şifrelerdir. Dolayısıyla tek başına güvenli oldugu pek söylenemez.

2- Something you have (Sahip olduğun bir şey ile doğrulama): Sahip olunan bilgiye gore statik veya dinamik bilgi olabilir. Token gibi.

3- Something you are (Kisiye özgü bir sey ile dogrulama): Seçilen doğrulama türüne göre biraz daha güvenli sayılabilir. Parmak izi, retina taramasi, avuç içi taramasi en çok kullanan yöntemlerdir.

Çok Faktorlü Kimlik Doğrulaması (MFA) bu kombinasyonlardan en az iki veya daha fazlasi ile gerçekleştirilen kimlik doğrulamasıdır. Örneğin kullanıcı adı ve şifre girildikten sonra token ile üretilen tek kullanımlık şifrenin de doğrulamada kullanılması gibi.

Çok Faktörlü Kimlik Doğrulaması neden gerekli? Çok güclü bir parola belirleyip hayatımıza devam etsek daha kolay olmaz mıydı? Bu sorulara cevap verebilmek icin parolalari hedef alan atakları incelememiz gerekiyor:

Phishing Attack (Oltalama): Saldırganin sahte bilgilerle sizi kandırıp şifre bilgisini kazanmasidir. Bir baska deyişle sizi oltaya getirmesidir. Çok yaygın bir atak tipidir, kolaydır, basarı orani yuksektir ve dikkatinizin dagınık olduğu bir ana denk gelirse siber guvenlik uzmani olsanız bile rahatlıkla oltaya gelebilirsiniz 🙂

Brute-Force Attack: Saldırganın bütün şifre olasılıklarının hash degerlerini hesaplayıp denediği atak tipidir. Saniyeler icinde milyonlarca kullanıcı adı/şifre kombinasyonu hesaplanıp denenebilir. Yani sifrenizi kapıyı acan bir anahtar olarak düşünürseniz, bu ataği koçbasıyla kapıyı kırmaya calısmak gibi düşünebilirsiniz.

Dictionary Attack: Brute-Force atağina benzer bir yöntemdir ancak aradaki temel fark burada yapılan hash hesaplaması sözlükteki parolalarla sınırlıdır.

Rainbow Table: Dictionary atağına benzer şekilde cok daha geniş bir veri tabanında önceden hesaplanmış hash değerlerinin kombinasyonlarıyla gerceklestirilen atak türüdür.

Credential Stuffing: Daha önce bir şekilde şifreniz acığa cikmişsa, bu şifre veya ona yakın kombinasyonların kullanıldıgı atak türüdür.

Password Guessing: Online yapılan bir atak turu olup bu tahminleri yapan kisinin sizinle ilgili ne kadar bilgiye sahip olduğuna baglıdır.

Yukarıda bahsi gecen atakları çeşitlendirmek, detaylandırmak mümkün. Bir de şifremiz ne kadar güçlü olursa olsun girdiğimiz sistemde nasil tutulduğu en az şifremiz kadar önem arz etmektedir. Yani aslinda zincir en zayif halkasi kadar güclüdür. Örneğin bir web sitesi düşünün, kayıt oldunuz ve şifrenizi girdiniz. Bu web sitesi arka planda bu şifreyi nasil tutuyor? Yalın halde mi tutuyor, yoksa şifreleyerek mi ya da hash değerini mi tutuyor? Hash olarak tutuluyorsa salted olarak mı tutuluyor?

Sanirim sadece şifrenin neden artık tek başına bir çözum olamadiğini biraz anlıyoruz. Özetleyecek olursak cok faktörlü doğrulama bizi tek bir halkaya baglı olmaktan kurtarıyor ve basımıza gelebilecek bir cok senaryodan da korumus oluyor. Eğer sistem size bir MFA opsiyonu sunuyorsa hiç durmadan aktifleştirmenizi ve hesabınizı korumaya almanızı tavsiye ederim. Sistemin basındaki yetkiliyseniz ve henuz MFA kullanmiyorsaniz, bir daha dusunmenizini oneririm 🙂

Selamlar, Sevgiler…