şifreler

Kimlik tanımlama, kimlik doğrulama ve yetkilendirmenin farkı nedir?

Kimlik tanımlama, yetkilendirme ve kimlik doğrulamanın farkının ne olduğunu ve iki faktörlü kimlik doğrulamanın (2FA) neden gerekli olduğunu açıklamak için rakunları kullanıyoruz.

Alex Drozhzhin
Eylül 25, 2020

Bunlar her gün hepimizin yaşadığı prosedürler. Çeşitli sistemler tarafından sürekli olarak kimliğimiz tanımlanır, doğrulanır ve yetkilendiriliriz. Ancak birçok kişi, aslında kimlik doğrulamadan bahsederken genellikle kimlik tanımlama veya yetkilendirme terimlerini kullanarak bu kelimelerin anlamlarını karıştırır.

Günlük bir konuşma sırasında, iki tarafın da ne hakkında konuştuklarını anladığı sürece bunun çok da önemi yoktur. Kullandığınız kelimelerin anlamını bilmek her zaman daha iyidir, ancak er ya da geç, yetkilendirme mi yoksa kimlik doğrulama mı, az mı çok mu, o mu bu mu gibi sorularla her şeyi netleştirmek isteyen, sizi çılgına çevirecek bir bilgisayar kurdu ile karşılaşırsınız.

Peki, kimlik tanımlama, kimlik doğrulama ve yetkilendirme terimleri ne anlama geliyor, süreçler birbirinden nasıl ayrılıyor? İlk önce Wikipedia’ya danışıyoruz:

“Kimlik tanımlama, bir kişinin veya nesnenin kimliğini belirtme eylemidir.”
“Kimlik doğrulama, bir bilgisayar sistemi kullanıcısının […] kimliğini kanıtlama eylemidir” (örneğin, girilen şifre veritabanında saklanan şifre ile karşılaştırılarak).
“Yetkilendirme, kaynaklara erişim haklarını/ayrıcalıklarını belirleme işlevidir.”

Kavramlara çok aşina olmayan insanların, onları neden karıştırabileceğini anlayabilirsiniz.

Kimlik tanımlama, kimlik doğrulama ve yetkilendirmeyi açıklamak için rakunları kullanmak

Şimdi, daha biraz daha basitleştirmek için bir örnek kullanalım. Bir kullanıcının Google hesabına giriş yapmak istediğini varsayalım. Google iyi bir örnektir çünkü hesaba giriş süreci düzgün birkaç temel adıma bölünmüştür. Süreç şu şekilde ilerler:

İlk olarak, sistem bir kullanıcı girmenizi ister. Kullanıcı, bir giriş yapar ve sistem bunu gerçek bir giriş olarak tanır. Bu, kimlik tanımlamadır.
Google daha sonra bir şifre ister. Kullanıcı, şifreyi girer ve girilen şifre saklanan şifreyle eşleşirse, sistem kullanıcının gerçek göründüğünü de kabul eder. Bu, kimlik doğrulamadır.
Çoğu durumda Google, sürecin devamında kısa mesaj veya kimlik doğrulama uygulamasından tek kullanımlık doğrulama kodu girilmesini ister. Kullanıcı, bunu da doğru bir şekilde girerse, sistem sonunda hesabın gerçek sahibi olduğunu kabul eder. Bu, iki faktörlü kimlik doğrulamadır.
Son olarak sistem, kullanıcıya gelen kutusu ve diğer klasördeki e-postaları okuma hakkı verir. Bu, yetkilendirmedir.

Öncesine tanımlama yapılmadan kimlik doğrulama bir anlam ifade etmez; sistemin kimin gerçekliğini doğrulayacağını bilmeden kontrol etmeye başlamasının bir anlamı olmaz. Önce kendini tanıtmak gerekir.

Aynı şekilde, kimlik doğrulama olmadan kimlik tanımlama da aptalca olurdu. Veri tabanında bulunan herhangi bir oturum açma bilgisini herkes girebilir — sistemin parolaya ihtiyacı olacaktır. Ancak birisi şifrenize göz ucuyla bakabilir ya da sadece tahmin edebilir. Tek seferlik doğrulama kodu gibi, yalnızca gerçek kullanıcının sahip olabileceği kanıt istemek daha iyidir.

Bunun aksine, bırakın kimliğin tanımlanmadan doğrulamasını, kimliksiz yetkilendirme de oldukça mümkündür. Örneğin, Google Drive’daki belgelerinize herkesin ulaşabilmesi için herkese açık erişim verebilirsiniz. Bu durumda, belgenizin anonim rakun tarafından görüntülendiğini belirten bir bildirim görebilirsiniz. Rakun anonim olsa da, sistem buna izin verdi — yani, belgeyi görüntüleme hakkı verdi.

Bununla birlikte yalnızca belirli kullanıcılara salt okunur şekilde yetki vermiş olsaydınız, rakunun okuma hakkı elde etmesi için kimliği tanımlanmalı (kullanıcı adı girişini yaparak), ardından doğrulanmalı (şifre ve bir kerelik doğrulama kodu sağlayarak) sonrasında belgeyi okumak için yetki verilmeli (yetkilendirme).

Posta kutunuzun içeriğini okumak söz konusu olduğunda, Google hiçbir zaman anonim bir rakuna mesajlarınızı okuma yetkisi vermez. Rakun, kullanıcı bilgileriniz ve şifrenizle kendini siz gibi tanıtmak zorunda kalacak ve bu noktada artık anonim bir rakun olmayacaktır; Google girişi yapanın siz olduğunuzu belirler.

Artık kimlik tanımlamanın, kimlik doğrulama ve yetkilendirmeden farklı olduğunu biliyorsunuz. Önemli bir nokta daha: Hesabınızın güvenliği açısından belki de en kilit süreç kimlik doğrulamadır. Kimlik doğrulama için zayıf bir şifre kullanıyorsanız, bir rakun hesabınızı ele geçirebilir. Bu nedenle:

Tüm hesaplarınız için güçlü ve benzersiz şifreler oluşturun.
Şifrelerinizi hatırlamakta sorun yaşıyorsanız, bir şifre yöneticisine güvenin. Aynı zamanda şifre oluşturmada da size yardımcı olabilir.
Destekleyen her hizmet için kısa mesajlardaki tek seferlik doğrulama kodlarıyla veya bir kimlik doğrulama uygulamasıyla yapılan iki faktörlü kimlik doğrulamasını etkinleştirin. Aksi takdirde, şifrenizde pençeleri olan bazı anonim rakunlar, gizli yazışmalarınızı okuyabilir veya daha kötü şeyler yapabilir.

2020 Endüstriyel Siber Güvenlik Anketi

Endüstriyel güvenlik uzmanlarımız, pandemide endüstriyel siber güvenliğin durumu üzerine bir araştırma yaptı.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

Kimlik tanımlama, kimlik doğrulama ve yetkilendirmenin farkı nedir?

Kimlik tanımlama, kimlik doğrulama ve yetkilendirmeyi açıklamak için rakunları kullanmak

Güçlü parolalar nasıl oluşturulur ve nerede saklanır?

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

2020 Endüstriyel Siber Güvenlik Anketi

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog