Yedi Küçük Oğlak ve çok faktörlü kimlik doğrulama

Ekim 3, 2019

Atalarımızın bilgisayarları yoktu ama çocukları korumak konusunda engin tecrübe ve bilgileri vardı. Man-in-the-Middle saldırılarını, tokalaşmaları ve oltalama saldırılarını açıklamak için kılavuz olarak Kırmızı Başlıklı Kız masalından yararlanmıştık. Gelin şimdi de iki faktörlü kimlik doğrulama (2FA) ve biyometrik güvenlikten bahsedelim. Bu kez, kısmen daha az bilinen Kurt ve Yedi Küçük Oğlak. adlı masalı temel alacağız.

Kurt ve Yedi Küçük Oğlak

Kimlik doğrulama konsepti, Kurt ve Yedi Küçük Oğlak masalında açık bir şekilde örneklendiriliyor. Bilmeyenler için, masalda bir anne ve yedi çocuğundan oluşan bir keçi ailesi vardır. Anne yiyecek bulmaya gitmeden önce, çocuklarına kurtu içeri almamalarını (yoksa onları yiyeceğini) tembihler, kurtu sesinden ve kürkünün renginden nasıl ayırt edebileceklerini öğretir. Anne gider ve bir süre sonra kurt, kapılarını çalar. Çocukların sesinin çok kalın olduğunu söylemesi üzerine, sesini anne keçinin sesine benzeterek çocukları kandırır. Ancak oğlaklar, kapının altından bakmayı akıl eder ve kurtun koyu renkli tüylerle kaplı ayaklarını görür. Tabii yine içeri almazlar. Bunun üzerine kurt ayaklarına un serperek anne keçinin ayakları gibi beyaz görünmelerini sağlar. Bunun sonucunda oğlaklar ikna olur (ve kurt da onları yer). Aşağıdaki videoda masalın tamamını izleyebilirsiniz:

Günümüzde siber suçlular kurbanlarını yemeye kalkışmadığına göre biz, yani kurtun keçilerin evine girmeye çalıştiği ilk kısımla ilgileneceğiz. Gelin masalda olan bitenin adım adım üzerinden geçelim.

1. Anne keçi, çocuklarına yabancılara kapıyı açmamalarını tembih eder ve ormana gider.
2. Kurt, kapılarına gelir, anneleri olduğunu söyler ve kendisini içeri almalarını ister. Oğlaklar, gelen sesin annelerine ait olmadığını hemen anlar ve kapıyı açmaz.

Bu, biyometrik kimlik doğrulamaya bir örnektir. Kurt söylenecek doğru şeyleri (parola) öğrenmiş olsa dahi, doğru kelimeleri bilmek yeterli değildir. Bu durumda keçilerin evine girmek için, istenmeyen “kullanıcı”, ses doğrulamasından geçmek zorundadır. Bu da ikinci faktördür.

3. Kurt, sesini değiştirerek yumuşatır (kullandığı yöntem anlatıcıdan anlatıcıya farklılık gösterir). Sesini yumuşattıktan sonra, ses doğrulamasından başarıyla geçer. Ancak oğlaklar kapının altından gri kurtun pençesini görür ve içeri girmesine yine izin vermezler.

Diğer bir deyişle, eve girmek için parolayı bilmek yeterli değildir, hatta ses kontrolünden geçmek bile işe yaramaz. Aynı zamanda doğru parmak izi pençe de gereklidir. Bu da temelde bir diğer biyometrik faktördür. Ev sahibinin sesini taklit etmeyi becerse bile, sadece ek bir ayırt edici özelliğe sahip kullanıcının girmesine izin verilir.

4. Kurt, un yardımıyla pençelerini de gizler ve tekrar erişim sağlamaya çalışır — ve bu kez başarır.

Bu da, bilgisayar korsanlarının çok faktörlü kimlik doğrulamayı atlatma hilelerine güzel bir örnektir. Bu masalda biyometrik ses ve pençe verileri taklit edilmiştir. Bu gibi senaryolar oldukça gerçektir ve gerçek dünyada dolandırıcılar tarafından kullanılmaktadır. Bu masal, çocuklara çok faktörlü kimlik doğrulamayı açıklamaya yardımcı olmakla kalmayıp, aynı zamanda biyometrik güvenliğin göründüğü kadar güvenilir olmayabileceğini de gösteriyor.

Çocuklar için siber güvenlik masalları

Göreceğiniz üzere masallar, çocuğunuz için dört dörtlük bir siber güvenlik kılavuzu olabilir. Doğru paralelliği kurun yeter, uzun açıklamalara ve istisnasız yasaklamalara gerek kalmayacaktır. Eminiz Kırmızı Başlıklı Kız ile Kurt ve Yedi Küçük Oğlak masalları, kötü niyetli hileler ve dijital dünyada kendinizi nasıl koruyacağınız hakkında hayati dersler çıkarabileceğiniz tek masallar değildir. Hazır başlamışken, çocuğunuzun en sevdiği çizgi filmlere bir bakın — belki onlar içinde de gizliden gizliye (şayet açık bir şekilde değilse) siber güvenlikle ilgili olanlar vardır, ne dersiniz?