Kimlik doğrulaması nedir?
Bireylere, uygulamalara veya hizmetlere ait kimliklerinin dijital sistemlere veya kaynaklara erişim sağlamadan önce nasıl doğrulandığı hakkında bilgi edinin.
Kimlik doğrulamasının tanımı
Kimlik doğrulaması, kurumsal kaynaklara yalnızca doğru izinlere sahip doğru çalışanlar, hizmetler ve uygulamalar tarafından erişim sağlanması için şirketlerin kullandıkları bir süreçtir. Bu, siber güvenliğin önemli bir parçasını oluşturur; çünkü kötü niyetli aktörlerin en baştaki önceliği sistemlere erişim sağlamaktır. Bunu başarmak için de erişim sahibi olan kullanıcıların kullanıcı adlarını veya parolalarını çalarlar. Kimlik doğrulama süreci üç temel adımdan oluşur:
- Tanımlama: Kullanıcılar genellikle bir kullanıcı adı belirleyerek kim olduklarını tanımlar.
- Kimlik doğrulaması: Kullanıcılar genellikle bir parola (yalnızca kullanıcının bildiği bir şifre) kullanarak kim olduklarını doğrularlar; ancak bu aşamada güvenliği güçlendirmek için çoğu kurum, kullanıcıların sahip oldukları bir cihaz (cep telefonu veya bir belirteç cihazı) ile veya biyolojik özelliklerini kullanarak (parmak izi veya yüz tanıma) kimlik doğrulaması yapmalarını da gerektirir.
- Yetkilendirme: Bu aşamada, kullanıcının erişim sağlamaya çalıştığı sisteme erişim izni olup olmadığını doğrulanır.
Kimlik doğrulaması neden önemlidir?
Kimlik doğrulaması, kurumların sistemlerini, verilerini, ağlarını, web sitelerini ve uygulamalarını saldırılara karşı koruduğu için önemlidir. Buna ek olarak, bireylerin kişisel verilerinin gizliliğinin sağlanması ve bankacılık veya yatırım işlemlerinin çevrimiçi ortamda daha güvenli şekilde gerçekleştirilmesi açısından da faydalıdır. Kimlik doğrulama sürecinin zayıf olması, saldırganların kişisel parolaları tahmin etmesini veya insanları parolalarını paylaşmak için kandırmasını kolaylaştırarak bir hesabın güvenlik ihlali riskini artırır. Bu da şu riskleri beraberinde getirir:
- Veri ihlali veya sızdırılması.
- Fidye yazılımı gibi kötü amaçlı yazılımların kurulması.
- Veri gizliliği hakkında bölgesel veya sektörel düzenlemelerinin ihlal edilmesi.
Kimlik doğrulamasının çalışması
Çalışanlar için kimlik doğrulaması, bir kullanıcı adı ve parolanın belirlenmesi ve yüz tanıma, parmak izi veya PIN gibi diğer kimlik doğrulaması yöntemlerinin kurulmasını içerir. Kimliklerin korunması için bu kimlik doğrulaması yöntemlerinden hiçbiri hizmetin veritabanına kaydedilmez. Parolalar hash’lenir (şifrelenmez) ve hash’ler veritabanına kaydedilir. Bir kullanıcı bir parola girdiğinde, girilen parola hash’lenir ve daha sonra hash’ler karşılaştırılır. Eğer iki hash eşleşiyorsa, erişim izni verilir. Parmak izi veya yüz tanıma yöntemlerinde ise, bilgi kodlanır, şifrelenir ve cihaza kaydedilir.
Kimlik doğrulaması türleri
Geleneksel kimlik doğrulaması yöntemlerinde her sistem, kimlikleri kendisi doğrularken modern kimlik doğrulaması yöntemlerinde kimlik doğrulaması süreci, güvenilir, farklı bir kimlik sistemine devredilir. Ayrıca kullanılan kimlik doğrulaması yöntemlerinde de bir değişiklik olmuştur. Çoğu uygulama, giriş için bir kullanıcı adı ve şifre gerektirir, ancak kötü niyetli aktörler şifreleri çalma konusunda her geçen gün daha da geliştiklerinden, güvenlik topluluğu kimliklerin korunması için bir kaç yeni yöntem geliştirmiştir.
Parola tabanlı kimlik doğrulaması
Parola tabanlı kimlik doğrulaması, en yaygın olarak kullanılan kimlik doğrulaması yöntemidir. Çoğu uygulama ve hizmet, niyetli aktörlerin tahmin etmesini zorlaştırmak için kullanıcıların rakam, harf ve sembollerden oluşan bir parola oluşturmasını gerektirir. Ancak, parolaların kendisi de ayrıca bir güvenlik ve kullanım zorluğunu beraberinde getirir. Kullanıcıların her çevrimiçi hesap için oluşturdukları eşsiz parolayı hatırlamaları zor olduğundan genellikle birden çok hesap için aynı parola kullanılmaktadır. Saldırganlar da parolaları tahmin etmek, çalmak veya kullanıcıları farkında olmadan parolalarını paylaşmak için kandırmak üzere çok çeşitli taktiklerden yararlanmaktadır. Bu nedenle, kurumlar parola yerine daha güvenli bir yönteme geçiş yapma eğilimindedir.
Sertifika tabanlı kimlik doğrulaması
Sertifika temelli kimlik doğrulaması, cihazların ve kullanıcıların kendilerini diğer cihaz ve sistemlerde tanıtmasına olanak tanıyan şifreli bir yöntemdir. Bu yöntem kapsamında en yaygın iki örnek, bir akıllı kartın kullanılması veya çalışanın cihazının bir ağa veya sunucuya dijital sertifika göndermesidir.
Biyometrik kimlik doğrulaması
Biyometrik doğrulamada ise kullanıcılar, biyolojik özelliklerini kullanarak kimliklerini doğrularlar. Örneğin, çoğu kişi telefonlarında oturum açmak için parmak izini kullanır ve bazı bilgisayarlar da kullanıcıların kimliğini doğrulamak için yüz veya retina taraması yapar. Biyometrik veriler aynı zamanda, belirli bir cihazla bağlanır ve saldırganlar da cihaza erişim elde etmeden bu verileri kullanamazlar. Kullanıcıların parolalarını hatırlama zorunluluğunu ortadan kaldırarak kolaylık sunan bu yöntem giderek daha popüler hale gelmektedir. Aynı zamanda, kötü niyetli aktörlerin erişim bilgilerini çalmalarını zorlaştırdığı için de parola kullanımına göre daha güvenli bir yöntemdir.
Belirteç tabanlı kimlik doğrulaması
Belirteç tabanlı kimlik doğrulamasında hem bir cihaz hem de sistem, 30 saniyede bir zaman tabanlı tek seferlik PIN (TOTP) olarak adlandırılan eşsiz bir sayı oluşturur. Sayılar eşleşirse, sistem kullanıcının cihaza sahip olduğunu doğrulamış olur.
Tek seferlik parola
Tek seferlik parolalar (OTP) oturum açarken kullanılmak üzere üretilen ve üretildikten kısa süre sonra kullanım süresi dolan kodlardır. Bu kodlar, SMS iletisi, e-posta veya donanım belirteci olarak iletilir.
Anlık bildirimler
Bazı uygula ve hizmetler, kullanıcıların kimliğini doğrulamak için anlık bildirimleri kullanır. Bu tür örneklerde, kullanıcılar telefonlarında erişim isteğini onaylamaları veya reddetmeleri için bir ileti görür. Kullanıcılar, bildirimi gönderen hizmete giriş yapmaya çalışsalar bile bazen anlık bildirim onaylarında yanlışlıkla bir tercihte bulunabildiklerinden bu yöntem, zaman zaman OTP yöntemiyle birleştirilir. OTP sayesinde, sistem kullanıcını girmesi gereken eşsiz bir sayı oluşturur. Bu da kimlik doğrulama sürecinin kimlik avına karşı daha dirençli olmasını sağlar.
Sesli kimlik doğrulaması
Sesli kimlik doğrulamasında, bir hizmete giriş yapmaya çalışan kullanıcıdan, telefon araması yoluyla bir kod girmeleri veya kendilerini sözlü olarak tanıtmaları istenir.
Çok faktörlü kimlik doğrulaması
Hesap güvenliğinin ihlal edilmesini önlemenin en iyi yollarından biri, yukarıda bahsedilen yöntemlerden yararlanarak iki veya daha fazla kimlik doğrulama yönteminin birlikte kullanılmasıdır. Bu konuda aşağıdakilerden herhangi iki tanesi gerekli kılınabilir:
- Parola gibi yalnızca kullanıcının bildiği bir şey.
- Kullanıcının sahip olduğu ve kolayca kopyalanamayacak bir telefon veya donanım belirteci gibi bir güvenilen cihaz.
- Parmak izi veya yüz tarama gibi kullanıcının biyolojik özellerinin kullanılması.
Örneğin, çoğu kurum erişim izni vermeden önce bir parolayla (yalnızca kullanıcının bildiği bir şey) birlikte güvenilen bir cihaza (kullanıcının sahip olduğu bir şey) SMS ile OTP gönderme yöntemini tercih eder.
İki faktörlü kimlik doğrulaması
İki faktörlü kimlik doğrulaması iki kimlik doğrulaması yöntemini gerektiren çok faktörlü kimlik doğrulaması yöntemidir.
Bazen AuthN olarak da kısaltılan kimlik doğrulaması ve bazen AuthZ olarak kısaltılan yetkilendirme süreçleri çoğu zaman birbirinin yerine kullanılsa da ikisi de birbiriyle ilişkili ancak birbirinden farklı süreçlerdir. Kimlik doğrulaması, oturum açan kişinin gerçekten o kişi olduğunu, yani kimliğini doğrularken yetkilendirme, bu kişinin erişmeye çalıştıkları bilgilere erişim izni olduğunu doğrular. Örneğin, insan kaynaklarından bir çalışanın bordro veya çalışan dosyaları gibi diğer birimlerdeki çalışanların göremedikleri dosyaların yer aldığı sistemlere erişim izni olabilir. Kimlik doğrulaması ve yetkilendirme süreçlerinin her ikisi de üretkenliğin sağlanması, hassas verilerin, fikri mülkiyetin ve gizliliğin korunması için kritik öneme sahiptir.
Kimlik doğrulamasının güvenliğine ilişkin en iyi deneyimler
Saldırganlar, bir şirketin kaynaklarına yetkisiz erişim sağlamak için sıklıkla hesapların güvenliğini ihlal etme yöntemine başvurdukları için kimlik doğrulaması güvenliğinin sağlanması büyük önem arz eder. Aşağıda kurumunuzu korumak için yapabileceklerinize bazı örnekler sunulmuştur:
-
Çok faktörlü kimlik doğrulamasını uygulamaya alın
Hesap güvenlik ihlali riskinin önüne geçmek için alabileceğiniz en önemli eylem, çok faktörlü kimlik doğrulamasını uygulamaya alarak en az iki kimlik doğrulaması faktörünü gerekli kılmanızdır. Bu şekilde, özellikle de kullandığınız yöntemlerden biri biyometrik doğrulamaya veya kullanıcıya ait bir cihaz üzerinden doğrulama gibi bir yöntem ise saldırganların kimlik doğrulama yönteminin güvenliğini ihlal etmesi çok zorlaşır. Çalışanlar, müşteriler ve iş ortakları için süreci mümkün olduğunca basitleştirmek için onlara çeşitli faktörler arasından tercih imkânı sağlayabilirsiniz. Ancak, tüm kimlik doğrulaması yöntemlerinin aynı güvenlik koşulunu sağlamayacağını da unutmayın. Bazıları, diğerlerine kıyasla daha güvenlidir. Örneğin, SMS iletisiyle kod almak anlık bildirime göre daha güvenlidir.
-
Parolasız kullanıma geçin
Çok faktörlü kimlik doğrulamasını kurduğunuzda, parola kullanımını sınırlayarak kullanıcıların PIN ve biyometrik gibi yöntemlerden ikisini kullanmasını dahi teşvik edebilirsiniz. Parola kullanımının azaltılması ve parolasız kimlik doğrulamasına geçilmesi oturum açma sürecini basitleştirirken hesap güvenlik ihlali riskini de azaltır.
-
Parola korumasını uygulayın
Çalışan eğitiminin yanı sıra, tahmin edilmesi kolay parolaların kullanımını azaltmak için kullanabileceğiniz araçlar da mevcuttur. Parola koruması çözümlerini kullanarak Password1 gibi yaygın olarak kullanılan parolaların kullanımını yasaklayabilirsiniz. Ayrıca, bu kapsamda yerel spor takımları veya belirgin yer isimleri gibi öğelerden oluşan şirketinize veya bölgenize özel bir liste de oluşturabilirsiniz.
-
Risk temelli çok faktörlü kimlik doğrulamasını etkinleştirin
Bir çalışanın yeni bir cihazdan veya alışılmamış bir konumdan ağınıza erişmeye çalışması gibi durumlar güvenlik ihlalinin göstergesidir. Bir insan kaynakları uzmanının çalışanlar tarafından kişisel olarak tanımlanabilen bilgilere erişmesi gibi bazı diğer oturum açma durumları da alışmamış olmasa da büyük riskler içerebilir. Riski azaltmak için kimlik ve erişim yönetimi (IAM) çözümünüzü bu tür olayları algılaması halinde en az iki faktörlü kimlik doğrulamasını gerektirecek şekilde yapılandırın.
-
Kullanılabilirliği önceliklendirin
Etkili bir güvenliğin sağlanması çalışanların ve diğer paydaşların da desteğini gerektirir. Güvenlik ilkeleri riskli çevrimiçi faaliyetleri engelleyebilse de eğer bu ilkeler çok zahmet gerektiriyorsa, kullanıcılar da bunların yerine geçici çözümler bulacaktır. En iyi çözümler, gerçekçi insan davranışlarını göz önünde bulunduran çözümlerdir. Kullanıcıların parolalarını unuttuklarında yardım masasını araması gibi zorlukları ortadan kaldıracak self servis parola sıfırlama özelliklerini devreye alın. Bu aynı zamanda, daha sonra kolaylıkla sıfırlayabilecekleri bilinciyle güçlü parola belirlemelerini de sağlar. Oturum açmayı kolaylaştırmanın bir başka yolu da kullanıcılara tercih ettikleri kimlik doğrulama yöntemini seçme özgürlüğünü sağlamaktır.
-
Çoklu oturum açmayı dağıtın
Kullanılabilirliği artıran ve güvenliği güçlendiren bir başka özellik ise çoklu oturum açmadır (SSO). Kimse uygulama değiştirdiğinde yeni bir parola girmekten hoşlanmaz ve çoğu kişi genellikle zaman kazanmak için farklı hesaplarda aynı parolaları kullanır. Çoklu oturum açma sayesinde, çalışanlar yalnızca bir kez oturum açarak iş için ihtiyaç duydukları uygulamaların çoğuna veya tamamına erişim sağlayabilir. Bu da sorunları azaltarak çalışanların kullandığı tüm yazılımlar için çok faktörlü kimlik doğrulaması gibi evrensel veya koşullu güvenlik ilkeleri uygulamanıza olanak tanır.
-
En az ayrıcalık prensibini kullanın
Rollere dayalı olarak ayrıcalıklı hesap sayısını sınırlandırın ve çalışanlara yalnızca işlerini gerçekleştirmek için gerekli en az ayrıcalık seviyesini sağlayın. Kritik veri ve sistemlerinize erişim sağlayan kişi sayısını en aza indirmek için erişim denetiminden yararlanabilirsiniz. Bir kişinin hassas bir görevi yerine getirmesinin gerektiği durumlarda riskleri daha da azaltmak için zaman süresi ile tam zamanında etkinleştirme özellikleri gibi ayrıcalıklı erişim yönetiminden yararlanın. Bu aynı zamanda idari etkinliklerin yalnızca çalışanların günlük olarak kullandıkları cihazlar dışındaki çok güvenli cihazlar üzerinde yapılmasına da yardımcı olur.
-
İhlal olabileceğini varsayarak düzenli denetimler yürütün
Çoğu kurumda çalışanların rolleri ve statüleri düzenli olarak değişir. Çalışanlar kurumdan ayrılabilir veya birimlerini değiştirebilir. İş ortakları projeye dahil olup çıkabilir. Erişim kuralları bu tür değişikliklere ayak uydurmazsa belirli sorunlar yaşanabilir. Çalışanların işlerini yerine getirmek için artık ihtiyaç duymadıkları sistem ve dosyalara erişimlerini sonlandırmak kritik öneme arz eder. Bir saldırganın hassas bilgilere erişim sağlamasının önüne geçmek için hesaplarınızı ve rolleri sürekli olarak denetlemenize yardımcı olacak kimlik idaresi çözümünü kullanın. Bu tür araçlar, çalışanların yalnızca ihtiyaç duydukları bilgilere erişimlerinin olmasını ve kurumdan ayrılan kişiler için oluşturulan hesapların da devre dışı bırakılmasını sağlar.
-
Kimlikleri tehditlere karşı koruyun
Kimlik ve erişim yönetimi çözümleri hesapların güvenlik ihlali riskini azaltmanız için çeşitli araçlar sunar, ancak bir ihlalin olduğunu varsaymak yine de akıllıca bir yaklaşımdır. İyi eğitimli çalışanlar bile bazen kimlik avı saldırılarının mağduru olabilmektedir. Hesap güvenliğinin ihlalini erken aşamada yakalamak için tehdit koruma çözümlerine yatırım yapın ve şüpheli etkinlikleri ortaya çıkarıp yanıtlamanıza yardımcı olacak ilkeleri uygulayın. Microsoft Güvenlik Copilot gibi modern çözümlerin çoğu, yalnızca tehditleri otomatik olarak algılamakla kalmayıp onları yanıtlamak için de yapay zekadan yararlanır.
Bulut kimlik doğrulaması çözümleri
Kimlik doğrulaması hem güçlü bir siber güvenlik programının sağlanması hem de çalışanların üretkenliği açısından kritik öneme sahiptir. Microsoft Entra gibi kapsamlı bulut tabanlı kimlik ve erişim yönetimi çözümü, hem çalışanların işlerini yerine getirmek için ihtiyaç duydukları erişimi kolaylıkla elde etmesini sağlayan araçları size sunar hem de saldırganların bir hesabın güvenliğini ihlal ederek hassas verilere erişmesi riskini azaltacak güçlü denetim çözümleri sunar.
Microsoft Güvenlik hakkında daha fazla bilgi edinin
Microsoft Entra ID
Kimlik ve erişim yönetimiyle kurumunuzu koruma altına alın.
Microsoft Entra Kimlik Yönetimi
Otomatik olarak doğru kişilerin, doğru uygulamalara doğru zamanda, doğru ayrıcalıklarla erişmesini sağlayın.
Microsoft Entra İzin Yönetimi
Çoklu bulut altyapınız genelindeki izinleri veya tüm kimlikleri yönetmek için birleşik tek bir çözüm elde edin.
Microsoft Entra Kimlik Doğrulama
Açık standartlara dayalı olarak yönetilen bir doğrulanabilir kimlik belgesi hizmetiyle kimliklerinizi merkeziyetsiz hale getirin.
Microsoft Entra İş Yükü Kimliği
Uygulama ve hizmetlere erişim izni olan kimlikleri yönetin ve onların güvenliğini sağlayın.
Sık sorulan sorular
-
Kimlik doğrulamasının çeşitli yöntemleri vardır. Bazı örnekler şunlardır:
- Çoğu kişi yüz tanıma veya parmak iziyle telefonlarında oturum açar.
- Bankalar ve diğer hizmetler genellikle kullanıcıların bir parolayla birlikte SMS ile otomatik olarak iletilen bir kodu kullanarak oturum açmasını gerektirir.
- Bazı hesaplar yalnızca kullanıcı adı ve parola ile giriş yapılmasını gerektirir, ancak çoğu kurum artık güvenlik önlemlerini arttırmak için çok faktörlü kimlik doğrulamasına geçmektedir.
- Çalışanlar genellikle bilgisayarlarında oturum açarak aynı anda birkaç uygulamaya birden erişim izni edinir, buna çoklu oturum açma denir.
- Ayrıca, kullanıcıların Facebook veya Google hesap bilgilerini kullanarak oturum açmasına olanak tanıyan hesap türleri de vardır. Bu durumda, kullanıcının kimliğini doğrulama ve kullanıcın kullanmak istediği hizmet için yetkilendirme sürecini işletme sorumluluğu Facebook, Google veya Microsoft’a aittir.
-
Bulut kimlik doğrulaması, bulut ağlarına ve kaynaklarına yalnızca doğru izinlere sahip doğru kişilerin ve uygulamaların erişim sağladığını doğrulayan bir hizmettir. Çoğu bulut uygulamasında bulut tabanlı yerleşik kimlik doğrulaması mevcuttur, ancak birden çok bulut uygulaması veya hizmetleri arasında kimlik doğrulaması sorunlarını çözmek üzere tasarlanmış Microsoft Entra ID gibi daha kapsamlı çözümler de mevcuttur. Bu çözümler genellikle SAML protokolünü kullanarak tek bir kimlik doğrulama hizmetinin çoklu hesaplar genelinde çalışmasını sağlar.
-
Kimlik doğrulaması ve yetkilendirme süreçleri çoğu zaman birbirinin yerine kullanılsa da ikisi de birbiriyle ilişkili ancak birbirinden farklı süreçlerdir. Kimlik doğrulaması, oturum açan kişinin gerçekten o kişi olduğunu, yani kimliğini doğrularken yetkilendirme, bu kişinin erişmeye çalıştıkları bilgilere erişim izni olduğunu doğrular. Kimlik doğrulaması ve yetkilendirme süreçleri bir arada kullanıldığında bir saldırganın hassas verilere erişme riskinin azaltılmasına yardımcı olur.
-
Kimlik doğrulaması, kullanıcıların veya kurumların belirli dijital kaynak ve ağlara erişim sağlamadan önce gerçekten belirttikleri kimliğin sahibi olduklarını doğrular. Burada temel amaç güvenlik olsa da modern kimlik doğrulama çözümleri aynı zamanda kullanılabilirliği de geliştirecek şekilde tasarlanmıştır. Örneğin, çoğu kurum çalışanların işlerini gerçekleştirmek için aradıkları şeyi kolaylıkla bulabilmesi için çoklu oturum açma çözümlerini uygular. Tüketici hizmetleri, genellikle kullanıcıların Facebook, Google veya Microsoft hesap bilgileriyle oturum açarak kimlik doğrulama sürecini hızlandırmalarına imkân tanır.
Microsoft Güvenlik'i takip edin