Authentication nedir?

İnterneti kullanmak pek cok acıdan keyifli olsa da guvenlik ile ilgili kaygılarımızı gormezden gelemeyiz. Ozellikle online finansal işlemlerin bu denli on planda olduğu cağımızda, guvenli internet kullanımı, oldukca buyuk bir onem taşır. Authentication veri guvenliği konusunda ele alınan bir tabirdir. Kısaca, herhangi bir internet kullanıcısının, uygulamanın ya da programın, soz konusu sisteme dahil olup olamayacağını belirleyen formu ifade eder. Bazı durumlarda bir sisteme giriş konusunda onay verilse de yetkiler sınırlandırılabilmektedir. Bugun cep telefonlarımız icin kullandığımız şifrelerden ATM ’lerde giriş yapmak icin kullandığımız şifrelere dek her şey, aslında birer yetkilendirme aracıdır. Evlerimizden iceri girmek icin anahtarlarımızla yetki sahibi oluyoruz. Aslında benzer mantığı online mecralarda Authentication icin de duşunebiliriz.


Kimlik doğrulama kavramıyla Authentication esasen aynı şeylerdir. Hatta Authentication sozcuğunun tam olarak Turkce karşılığı kimlik doğrulamadır. SSL hattı gibi bir durum yoksa ortada veya kod doğrulaması diye ozel bir durumdan bahsetmiyorsak, Authentication kimlik doğrulama ile aynı anlama gelir. Ote yandan Authentication ve Authorization kavramları genel anlamda birbirlerinin yerine kullanılabilir. Authorization dilimize kısaca “yetki” olarak cevrilebilir.

Authentication Ne İşe Yarar?
Genişletmek icin tıkla ...


İnternette gezinirken her zaman değil ama bazı onemli durumlarda kimliğin belirlenmesi gerekir. Ozellikle de ticari işlemlerde bu hayati derecede onemlidir. Bir nevi kimlik belirleme işlemi olan Authentication icin “guvenilir bir onaylama mekanizması” da diyebiliriz. Aslında bir platformda varlığınızı onaylatmak adına kullanıcı adı ve şifre yeterli olmaktadır. Ancak ne yazık ki kimi olasılıklarda bu tip temel bilgiler, guvenliğinizi koruma noktasında yeterli olamayabiliyor. Sizden bu surecte ek bilgiler talep edilebilmektedir. Hatta dahil olduğunuz platformun guvenlik politikalarına bağlı olarak cok daha ust duzey guvenlik aşamalarından gecmek zorunda kalabiliyorsunuz. Kimlik doğrulama işlemleri artık internet dunyası icin rutin işlemlerden biri haline gelmiştir. Birkac saniyemizi ayırarak guvenliğimizi teminat altına alabileceğimiz konusunda gecmişe kıyasla biraz daha bilinclenmiş durumdayız.


İnterneti esasen cok da tekin bir yer gibi duşunemeyiz. İnternet, doğası gereği guvenlik acıklarına eğilimli kaygan bir zemindir. İnternetin ozunde guvenlik altyapısından soz edilemez; fakat internet yaygınlaştıkca ve bugunku populerliğine kavuşunca elbette roller değişmeye başladı ve veri guvenliği adı verilen bir kavram oluşmaya başladı. Veri şifreleme konusunda ortaya konulan politikaların tumu, dijital doğrulama işlemleriyle beraber yetki verilmiş kullanıcılara acılmaktadır. Bir sistem, kendinden bağımsız başka bir sisteme girme konusunda yetki sahibi olabilmektedir. Bu da aslında Authentication kavramının ne denli gelişim gosterdiğinin basit bir işaretidir.


Dijital Doğrulama
Genişletmek icin tıkla ...


Veri bugunun koşullarında kapalıdır. Veriye ulaşmak adına kimlik doğrulama aşamalarıysa verinin guvenliğini koruma altına almak adına hayati derecede onemlidir. Bu noktada kullandığımız dijital kimlik doğrulama işlemleri, internet ortamındaki online verilere erişim konusunda bize yetki verir.


Kimliğin tespiti, bir başka deyişle Authentication, mutlak suretle her daim, her platformda gerekli olan bir konu değildir. Ortada şahsi olarak yapılması gereken bir işlem yoksa, kimlik onayına ihtiyac duyulmaz. Bu noktada bahsettiğimiz kimlik, sizin salt gercek kimliğiniz olmak zorunda değil. Ornek vermek gerekirse, Facebook icin kullandığınız bilgilerin onayı da kimlik belirleme sureclerine dahil olabilir. Buna rağmen finansal alanlarda gercek kimlik belirleme konusunda bir zorunluluk bulunur. Mesela kredi kartıyla internet uzerinden bir alışveriş yapıldığına 3D guvenlik servisi, cift aşamalı bir onaylama sunar. Bankalar bunun yerine cep telefonunuza gelen kodu sisteme girmenizi bekleyebilir. Bu nedenle sadece online bankacılık kullanıcı adı ve şifrenizi bilmeniz tek başına hicbir şey ifade etmeyebilir. Parmak izi ya da yuz tarama gibi bankalar tarafından son donemlerde kullanılan dijital teknikler de dikkat cekicidir. Bazen kaza ve benzer sebeplerden dolayı parmak izleri sağlıklı bir şekilde tanımlanamayabiliyor. Bu tip durumlarda ekstra doğrulama yontemleri devreye girmektedir.


Authentication ve E-Ticaret
Genişletmek icin tıkla ...


Authentication ’un onemli olduğu bir diğer alan da e-ticaret konusudur. Bu tip platformlarda finansal işlemler buyuk onem taşır. E-ticaret siteleri muşterilerine karşı bu konuda sorumludur. Bu nedenle diğer standart sitelerin aksine bu tip e-ticaret sitelerinde cok guclu bir guvenlik altyapısı olmak zorundadır. Elbette bunlar maliyet acısından oldukca zorlayıcı olabilmektedir.


Mesaj Ozeti ve Sertifika ile Yetkilendirme
Genişletmek icin tıkla ...


Veri guvenliği bakımından aslında uc farklı yetkilendirmeden soz etmek mumkun: mesaj ozetleri, dijital imza ve sertifikalar. Dijital imza sureclerinden yukarıda genel hatlarıyla soz etmiştik. Mesaj ozetleri, message digets olarak da bilinmektedir. Burada amac yetki verme sureclerinde şifrenin sonsuza dek saklanmasıdır. Kullanıcı yetki icin şifresini saklamak durumundadır. Şifre sadece şeffaf bir bicimde saklanırsa dışarıdan bir saldırıya acık hale gelebilir.Mesaj ozeti bazı durumlarda birden cok şifreye denk gelebilir. Bu yuzden şifre tekrarlama saldırıları zaman zaman ortaya cıkabilir.


Bir diğer yetkilendirme bicimi de sertifikalardır. Sertifikada, sunucu sizi yetkilendirmeden hemen once kullanıcıya ait sertifikayı talep etmektedir. Aldığı sertifika sayesinde umum anahtar doğrulanır. Bu surecte yetkilendirme esnasında gerekli olacak bilgiler acılır. Bu bilgilerin doğruluğunda sorun yoksa sistem kullanıcıya yetki verecektir.