Authentication Nedir?

İnterneti kullanmak pek oldukça açıdan keyifli olsa da güvenlik ile ilgili kaygılarımızı görmezden gelemeyiz. Bilhassa online finansal işlemlerin bu denli ön planda olduğu çağımızda, güvenli web kullanımı, oldukça büyük bir ehemmiyet taşır. Authentication veri güvenliği mevzusunda ele alınan bir tabirdir. Özetlemek gerekirse, herhangi bir web kullanıcısının, uygulamanın ya da programın, söz mevzusu sisteme dahil olup olamayacağını belirleyen formu ifade eder. Bazı durumlarda bir sisteme giriş mevzusunda onay verilse de yetkiler sınırlandırılabilmektedir. Bugün cep telefonlarımız için kullandığımız şifrelerden ATM’lerde giriş yapmak için kullandığımız şifrelere dek her şey, aslına bakarsak birer yetkilendirme aracıdır.  Evlerimizden içeri girmek için anahtarlarımızla yetki sahibi oluyoruz. Aslen benzer mantığı online mecralarda Authentication için de düşünebiliriz.

Kimlik doğrulama kavramıyla Authentication esasen aynı şeylerdir. Hatta Authentication sözcüğünün tam olarak Türkçe karşılığı kimlik doğrulamadır. SSL hattı benzer biçimde bir durum yoksa ortada yada kod doğrulaması diye hususi bir durumdan bahsetmiyorsak, Authentication kimlik doğrulama ile aynı anlama gelir. Öte taraftan Authentication ve Authorization kavramları genel olarak birbirlerinin yerine kullanılabilir.  Authorization dilimize özetlemek gerekirse “yetki” olarak çevrilebilir.

authentication_nedir.jpg

Authentication Ne İşe Yarar?

İnternette gezinirken daima değil fakat bazı mühim durumlarda kimliğin belirlenmesi gerekir. Bilhassa de ticari işlemlerde bu dirimsel derecede önemlidir. Bir nevi kimlik belirleme işlemi olan Authentication için “güvenilir bir onaylama mekanizması” da diyebiliriz. Aslen bir platformda varlığınızı onaylatmak adına kullanıcı adı ve gizyazı kafi olmaktadır. Sadece ne yazık ki kimi olasılıklarda bu tip temel bilgiler, güvenliğinizi koruma noktasında kafi olamayabiliyor. Sizden bu süreçte ek bilgiler talep edilebilmektedir. Hatta dahil olduğunuz platformun güvenlik politikalarına bağlı olarak oldukça daha üst düzey güvenlik aşamalarından geçmek zorunda kalabiliyorsunuz. Kimlik doğrulama işlemleri artık internet sektörü için rutin işlemlerden biri haline gelmiştir. Birkaç saniyemizi ayırarak güvenliğimizi güvence altına alabileceğimiz mevzusunda geçmişe kıyasla birazcık daha bilinçlenmiş durumdayız.

İnterneti esasen o kadar da tekin bir yer benzer biçimde düşünemeyiz. İnternet, doğası gereği güvenlik açıklarına eğilimli ıslak bir zemindir. İnternetin özünde güvenlik altyapısından söz edilemez; fakat web yaygınlaştıkça ve bugünkü popülerliğine kavuşunca elbet roller değişmeye başladı ve veri güvenliği isminde olan bir kavram oluşmaya başladı. Veri şifreleme mevzusunda ortaya konulmuş olan politikaların tümü, dijital doğrulama işlemleriyle birlikte yetki verilmiş kullanıcılara açılmaktadır. Bir sistem, kendinden bağımsız başka bir sisteme girme mevzusunda yetki sahibi olabilmektedir. Bu da aslına bakarsak Authentication teriminin ne denli gelişim gösterdiğinin rahat bir işaretidir.

Dijital Doğrulama

Veri bugünün koşullarında kapalıdır. Veriye ulaşmak adına kimlik doğrulama aşamalarıysa verinin güvenliğini koruma altına almak adına dirimsel derecede önemlidir. Bu aşamada kullandığımız dijital kimlik doğrulama işlemleri, web ortamındaki online verilere erişim mevzusunda bizlere yetki verir.

Kimliğin tespiti, bir başka deyişle Authentication, mutlak suretle her daim, her platformda lüzumlu olan bir mevzu değildir. Ortada kişisel olarak yapılması ihtiyaç duyulan bir işlem yoksa, kimlik onayına gereksinim duyulmaz. Bu aşamada bahsettiğimiz kimlik, sizin salt gerçek kimliğiniz olmak zorunda değil. Örnek vermek gerekirse, Feysbuk için kullandığınız bilgilerin onayı da kimlik belirleme süreçlerine dahil olabilir. Buna karşın finansal alanlarda gerçek kimlik belirleme mevzusunda bir zorunluluk bulunur. Sözgelişi kredi kartıyla web üstünden bir alışveriş yapıldığına 3D güvenlik servisi, çift aşamalı bir onaylama sunar.  Bankalar bunun yerine cep telefonunuza gelen kodu sisteme girmenizi bekleyebilir. Bundan dolayı bir tek online bankacılık kullanıcı adı ve şifrenizi bilmeniz tek başına hiçbir şey ifade etmeyebilir. Parmak izi ya da yüz tarama benzer biçimde bankalar tarafınca son dönemlerde kullanılan dijital teknikler de dikkat çekicidir. Kimi zaman kaza ve benzer sebeplerden dolayı parmak izleri sıhhatli bir halde tanımlanamayabiliyor. Bu tip durumlarda fazladan doğrulama şekilleri devreye girmektedir.

Authentication ve E-Tecim

Authentication’un mühim olduğu bir öteki alan da e-ticaret mevzusudur. Bu tip platformlarda finansal işlemler büyük ehemmiyet taşır. E-ticaret siteleri müşterilerine karşı bu mevzuda mesuldür. Bundan dolayı öteki standart sitelerin aksine bu tip e-ticaret sitelerinde oldukça kuvvetli bir güvenlik altyapısı olmak zorundadır. Normal olarak bunlar maliyet açısından oldukça zorlayıcı olabilmektedir.

Bildiri Özeti ve Sertifika ile Yetkilendirme

Veri güvenliği bakımından aslına bakarsak üç değişik yetkilendirmeden söz etmek mümkün: ileti özetleri, dijital imza ve sertifikalar. Dijital imza süreçlerinden yukarıda genel olarak söz etmiştik. Bildiri özetleri, message digets olarak da bilinmektedir. Burada amaç yetki verme süreçlerinde şifrenin sonsuza dek saklanmasıdır. Kullanıcı yetki için şifresini saklamak durumundadır. Gizyazı bir tek saydam bir halde saklanırsa dışarıdan bir saldırıya açık hale gelebilir.Bildiri özeti bazı durumlarda birden oldukça şifreye denk gelebilir. Bu yüzden gizyazı tekrarlama saldırıları ara sıra ortaya çıkabilir.

Bir öteki yetkilendirme biçimi de sertifikalardır. Sertifikada, sunucu sizi yetkilendirmeden derhal ilkin kullanıcıya ilişkin sertifikayı talep etmektedir. Almış olduğu sertifika yardımıyla umum anahtar doğrulanır. Bu süreçte yetkilendirme esnasında lüzumlu olacak bilgiler açılır. Bu bilgilerin doğruluğunda problem yoksa sistem kullanıcıya yetki verecektir.

Yorum yapın