Yetkilendirme ve kimlik doğrulama nedir?

Kullanıcıların sürekli gelişen tehdit ortamının her zaman bir adım ötesinde olmaya çalıştığı dijital ortamda güvenlik önemli bir sorundur. Bilgisayar korsanlığı , kimlik avı ve kötü amaçlı yazılımlar , kullanıcıların sürekli olarak korunması gereken birçok siber tehditten sadece birkaçı. Ancak, kullanıcıların verilerini ve cihazlarını güvende tutmak için uygulayabilecekleri çok sayıda güvenlik önlemi vardır.

Birçok işletme, kuruluş ve hizmet sağlayıcı da ağlarını, sistemlerini ve müşteri verilerini güvende tutmak için önlemler alır. Bunlar arasında kimlik doğrulama ve yetkilendirme olarak bilinen iki kimlik doğrulama işlemi vardır. İki terim sıklıkla birbirinin yerine kullanılsa da, biraz farklı işlevleri yerine getirir, bu da en yüksek güvenlik düzeyini sunmak için birlikte kullanılmaları gerektiği anlamına gelir. Bu entegrasyon, 2024'te kimlik doğrulama yöntemleri gelişmiş olsa da, yetkilendirmeyi eşleşecek şekilde gelişmesi gerektiğini desteklemekte ve güvenli, doğrulanmış kimliklerin sistem içinde uygun izinlere sahip olmasını sağlamalıdır. Kimlik doğrulama ve yetkilendirme arasındaki nüansları anlamak, siber güvenliğin karmaşık dünyasında kullanıcıları korumak için önemlidir.

Kimlik doğrulama nedir?

Siber güvenlikte, kimlik doğrulama - bazen AuthN olarak da adlandırılır - kullanıcıların kendilerinin veya cihazlarının kimliğini doğrulamasına olanak tanıyan bir işlemdir. Hemen hemen tüm elektronik cihazlar veya çevrimiçi hizmetler, güvenli sistemlere veya verilere erişmek için bir tür kimlik doğrulama gerektirir. Genellikle, bu - muhtemelen - yalnızca doğrulanmış bir kullanıcının sahip olacağı bir şeydir. Örneğin, bir e-posta hesabında veya sosyal medya profilinde oturum açılırken, kullanıcıdan bir kullanıcı adı ve parola girmesi istenebilir. Arka planda, ana bilgisayar sistemi daha sonra kendi güvenli veritabanında depolanan kimlik bilgileri için bu kimlik bilgilerini doğrular - eşleşmeleri halinde kullanıcının geçerli olduğuna inanır ve hesaba erişim izni verir.

Temelde, kimlik doğrulama bir kimlik doğrulama biçimidir ve sistemler, hesaplar ve yazılımlar için bir güvenlik katmanı sunar. Hassas verilere veya diğer kaynaklara yalnızca yetkili kullanıcıların erişmesini sağlar.

Kimlik doğrulama neden önemlidir?

Güvenlik kimlik doğrulaması, kullanıcıların iddia ettikleri kişi olduklarını doğrulamak için çalıştığı için siber güvenliğin çok önemli bir parçasıdır. Kurumsal ağlar ve kullanıcı hesapları gibi bilgilere yetkisiz erişimi önlemek için çeşitli şekillerde kullanılabilir. Kimlik doğrulamasının özel kişi ve kuruluşlar için faydalı olmasının sayısız nedeni vardır, bunlar arasında şunlar vardır:

• Hassas kişisel ve kurumsal verileri korumak.
• Veri ihlalleri ve kimlik hırsızlığı veya finansal dolandırıcılık gibi sorunlar riskini azaltmak.
• Yalnızca açıkça yetkilendirilmiş kullanıcıların verilere ve hesaplara erişebildiğinden emin olma.
• Kimin neye ve ne zaman eriştiğinin net olması için doğru erişim kayıtları tutmak.
• Ağları, korunan kaynakları ve cihazları tehdit aktörlerine karşı güvenceye almak.

Kimlik doğrulama türleri

Kullanıcı kimlik doğrulama tanımını doğru şekilde anlamak için işlemin nasıl göründüğünü bilmek çok önemlidir. Güvenlik kimlik doğrulaması, kullanıcıların doğru kimlik doğrulama faktörünü sunarak bir kimlik doğrulamasından geçmelerini gerektirir. Bunlar bir olabilir:

• Bilgi faktörü : parola gibi kullanıcının bildiği bir şey.
• Sahiplik faktörü : Kullanıcıda bulunan bir şey, genellikle tek seferlik parolalar (OTP'ler) almak veya erişim kodları oluşturmak için kullanılabilecek bir telefon veya güvenlik belirteci.
• Kalıtsal faktör : kullanıcı için fiziksel olarak benzersiz olan bir şey - bu genellikle parmak izi veya yüz tanıma gibi biyometridir.
• Konum faktörü : bu durumda, doğrulama kullanıcının konumunu temel alır.
• Zaman faktörü : burada, doğrulama sadece belirli zamanlarda yapılabilir.

Uygulamada, kimlik doğrulama örnekleri şuna benzeyebilir:

• Parolalar : Bunlar en yaygın kimlik doğrulama biçimidir ve cihazlarda ve hesaplarda oturum açmak için her yerde kullanılır - ancak genellikle en az güvenli kimlik doğrulama protokollerinden biridir. parolaları düzenli olarak değiştirme ve güvenli bir parola yöneticisi kullanma gibi uygulamalar.
• Tek kullanımlık parola : Sistem tarafından oluşturulan bu parolalar, bir kez hesapta veya cihazda güvenli bir şekilde oturum açmalarına izin vermek için kullanıcılara genellikle e-posta veya kısa mesaj ile gönderilir - bunların örneğin bankacılık işlemlerinde kullanıldığını sıklıkla göreceksiniz.
• Belirteçler : Bu kimlik doğrulama biçimi, şifrelenmiş bir aygıttan oluşturulan kodlara erişim sağlar.
• Biyometrik kimlik doğrulama : Bu kimlik doğrulama biçimi, cihazlara veya hesaplara erişim vermek için bir kalıtım faktörü - genellikle bir kullanıcının yüzü veya parmak izi - kullanır - bu artık akıllı telefonlarda ve dizüstü bilgisayarlarda yaygın olarak kullanılmaktadır.
• Çok faktörlü kimlik doğrulama : Bu, kullanıcılara erişim vermek için en az iki kimlik doğrulama faktörü – örneğin bir parola ve biyometri – gerektirir.
• Sertifika tabanlı kimlik doğrulama : Bunun için kullanıcılar, kimlik bilgilerini bir üçüncü taraf sertifika yetkilisinin dijital imzasıyla birleştiren dijital bir sertifika ile kimlik doğrulaması sunar; kimlik doğrulama sistemi sertifikanın geçerliliğini kontrol eder ve ardından kimliği onaylamak için kullanıcının cihazını test eder.
• Cihaz kimlik doğrulaması : Bu güvenlik kimlik doğrulaması yöntemi, özellikle telefon ve bilgisayar gibi cihazları bir ağa veya hizmete erişim vermeden önce doğrulamak için kullanılır - genellikle biyometrik kimlik doğrulama gibi diğer yöntemlerle birlikte kullanılır.
• Kimlik doğrulama uygulamaları : Bazı işletmeler ve kuruluşlar artık sistemlere, hesaplara ve ağlara erişmek üzere rastgele güvenlik kodları oluşturmak amacıyla bu üçüncü taraf uygulamalarını kullanıyor.
• Çoklu Oturum Açma (TOA) : Bu, bir kullanıcının tek bir merkezi sağlayıcı üzerinden birden fazla uygulamada oturum açmasına olanak tanır; örneğin Google'da oturum açmak Gmail, Google Drive ve YouTube'a erişim sağlar.

Kimlik doğrulama nasıl kullanılır?

Güvenlik kimlik doğrulaması her gün birçok şekilde kullanılır. Genel olarak, dahili ve harici erişim denetimlerini ayarlamak için kimlik doğrulama protokollerini kullanan işletmeler ve kuruluşlardır. Bu, kullanıcıların ağlarına, sistemlerine ve hizmetlerine nasıl erişebileceklerini sınırlar. Ortalama bir kişi, belirli işlevleri yerine getirmek için her gün sayısız kimlik doğrulama örneği kullanacaktır, örneğin:

• İş yerinde, özellikle de uzaktan çalışırken, kurumsal sistemlere, e-postalara, veritabanlarına ve belgelere erişmek için oturum açma kimlik bilgilerini kullanma.
• Akıllı telefonlarını veya dizüstü bilgisayarlarını açmak ve kullanmak için biyometrik kimlik doğrulamayı dağıtmak.
• Çevrimiçi bankacılık uygulamalarında oturum açmak ve finansal işlemleri yürütmek için çok faktörlü kimlik doğrulamayı kullanma.
• Bir kullanıcı adı ve parola ile e-ticaret sitelerine giriş yapmak.
• Çevrimiçi satın alma işlemleri sırasında kredi kartı ücretlerini yetkilendirmek için tek seferlik bir parola kullanma
• Elektronik sağlık kayıtlarına erişmek için belirteçler, sertifikalar veya parolalar kullanma.

yetkilendirme nedir?

İnsanlar kimlik doğrulamayı yetkilendirme ile karıştırsa da, iki işlemin farklı işlevleri vardır. Bir sistem güvenlik kimlik doğrulaması ile bir kullanıcının kimliğini doğruladıktan sonra, yetkilendirme - bazen 'AuthZ' olarak da adlandırılır - görevi devralır ve kullanıcının bir sistem veya hesap içinde bir kez neler yapabileceğini dikte eder. Temel olarak, yetkilendirme süreçleri belirli bir kullanıcının dosyalar ve veritabanları gibi hangi kaynaklara erişebileceğini ve bir sistem veya ağ içinde hangi işlemleri gerçekleştirebileceğini denetler. Örneğin, kurumsal bir ağda, bir BT yöneticisine dosya oluşturma, taşıma ve silme yetkisi verilebilirken ortalama bir çalışan yalnızca sistemdeki dosyalara erişebilir.

Yetkilendirme türleri

Genel olarak yetkilendirme, bir kullanıcının verilere, ağlara ve sistemlere ne kadar erişimi olduğunu kısıtlar. Ancak bunun işe yaramasının farklı yolları var. Aşağıda siber güvenlikte en çok kullanılan yetki örneklerinden bazıları yer almaktadır:

• İsteğe Bağlı Erişim Denetimi (DAC), yöneticilerin kimlik doğrulamasını temel alarak her bir kullanıcıya çok özel erişim atamasına olanak tanır.
• Zorunlu Erişim Denetimi (MAC) işletim sistemleri içinde yetkilendirmeyi kontrol eder, örneğin dosyalar ve bellek için izinleri yönetir.
• Rol Tabanlı Erişim Denetimi (RBAC) , DAC veya MAC modellerinde yerleşik olarak bulunan denetimleri zorlayarak sistemleri her bir belirli kullanıcı için yapılandırır.
• Özellik Tabanlı Erişim Denetimi (ABAC), tanımlanmış ilkelere dayalı olarak denetimleri uygulamak için öznitelikler kullanır - bu izinler belirli bir kullanıcıya veya kaynağa ya da bir sistemin tamamına verilebilir.
• Erişim Denetim Listeleri (EKL'ler), yöneticilerin hangi kullanıcıların veya hizmetlerin belirli bir ortama erişebileceğini veya içinde değişiklikler yapabileceğini denetlemesine olanak tanır.

Yetkilendirme nasıl kullanılır?

Kimlik doğrulamada olduğu gibi, yetkilendirme de siber güvenlik için çok önemlidir çünkü işletmelerin ve kuruluşların kaynaklarını çeşitli şekillerde korumalarını sağlar. Bu nedenle uzmanlar, her kullanıcının ihtiyacı için gerekli olan en düşük izin düzeyini almasını önerir. Yetkilendirmenin bazı yolları yararlı güvenlik önlemleri sunabilir:

• Yetkili kullanıcıların güvenli özelliklere güvenli bir şekilde erişmesine izin verme - örneğin, bankacılık müşterilerinin mobil uygulamalarda bireysel hesaplarına erişmesine izin vermek.
• Sistem içinde bölümler oluşturma izinlerini kullanarak aynı hizmetin kullanıcılarının diğerlerinin hesaplarına erişmesini önleme.
• Hizmet olarak Yazılım (SaaS) kullanıcıları için farklı erişim düzeyleri oluşturmak amacıyla kısıtlamaların kullanılması, Saas platformlarının ücretsiz hesaplara belirli bir düzeyde hizmet ve premium hesaplara daha yüksek bir hizmet düzeyi sunmasına olanak tanır.
• Bir sistem veya ağın uygun izinlere sahip dahili ve harici kullanıcıları arasında ayrım yapılmasını sağlama.
• Veri ihlalinden kaynaklanan zararı sınırlamak - örneğin, bir bilgisayar korsanının düşük izinlere sahip bir çalışan hesabı üzerinden bir şirketin ağına erişim sağlaması durumunda hassas bilgilere erişim olasılığı daha düşüktür.

Kimlik doğrulama vs yetkilendirme: Bunlar nasıl benzer veya farklıdır?

Kimlik doğrulaması ile yetkilendirme arasındaki benzerlikleri ve farklılıkları anlamak önemlidir. Her ikisinin de kullanıcı kimliği doğrulamasında ve veri ve sistemlerin güvenliğini sağlamada çok önemli rolleri vardır, ancak aynı zamanda ne yaptıkları, nasıl çalıştıkları ve en iyi nasıl uygulandıkları konusunda bazı önemli farklar da vardır.

Yetkilendirme ve kimlik doğrulama arasındaki farklar

Yetkilendirme ve kimlik doğrulama arasındaki temel farklardan bazıları şunlardır:

• İşlev : kimlik doğrulama aslında kimlik doğrulamadır, oysa yetkilendirme bir kullanıcının hangi kaynaklara erişebileceğini belirler.
• İşlem : Kimlik doğrulama için kullanıcıların kimlik doğrulaması için kimlik bilgilerini sunmaları gerekir; yetkilendirme, kullanıcı erişimini önceden ayarlanmış ilke ve kurallara göre yöneten otomatik bir işlemdir.
• Zamanlama : Kimlik doğrulama, bir kullanıcı bir sisteme ilk kez eriştiğinde gerçekleştirilen işlemdeki ilk adımdır; yetkilendirme, kullanıcının kimliği başarıyla doğrulandıktan sonra gerçekleşir.
• Bilgi paylaşımı : kimlik doğrulaması, kimliğini doğrulamak için kullanıcıdan gelen bilgileri gerektirir; yetkilendirme, kullanıcının kimliğinin doğrulandığını doğrulamak için belirteçler kullanır ve uygun erişim kurallarını uygular.
• Standartlar ve yöntemler : Kimlik doğrulama için genellikle OpenID Connect (OIDC) protokolünü ve parolaları, belirteçleri veya biyometriyi kullanır; yetkilendirme genellikle OAuth 2.0 ve Rol Tabanlı Erişim Denetimi (RBAC) gibi yöntemleri kullanır.

Kimlik doğrulama ve yetkilendirme benzerlikleri

Kimlik doğrulama ve yetkilendirme, ağ güvenliği ve erişim yönetiminin temel parçalarıdır ve bu nedenle birçok benzerliği vardır. Her iki işlem de:

• Sistemleri, ağları ve verileri güvende tutmak için kullanılır.
• Yetkilendirme erişim izinlerini oluşturmadan önce kimlik doğrulaması gerçekleştirilerek kimlik doğrulaması gerçekleştirilecek şekilde sırayla çalışır.
• İlgili kaynaklara yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için kullanıcı yönetimini tanımlayın.
• İşlevlerini yerine getirmek için benzer protokoller kullanın.

Siber güvenlikte kimlik doğrulama ve yetkilendirme ihtiyacı

Kimlik doğrulama ve yetkilendirme ağlar, veriler ve diğer kaynaklar için ayrı güvenlik katmanları sunmak amacıyla farklı çalıştığından, tamamen güvenli bir ortam oluşturmak için bunların birlikte kullanılması gerekir. Kullanıcı verilerini ayrı ve güvenli tutmak için her iki işlem de gereklidir. Kimlik doğrulama, kullanıcılardan sisteme erişmek için bir kimlik doğrulama işlemini tamamlamalarını ister ve bundan sonra yetkilendirme, müşterinin hangi sistemlere ve verilere erişebileceğini belirler - genellikle kendi sistemlerine.

Kimlik doğrulaması önemlidir çünkü :

• Her kullanıcının erişimini güvenceye alarak verilerini güvende tutar.
• Çoklu Oturum Açma (SSO) ile kullanıcı yönetimini basitleştirerek kullanıcıların tek bir oturum açma kimlik bilgileri kümesiyle çok sayıda bulut hizmetine erişmesini sağlar.
• Genellikle basit doğrulama yöntemleri sunarak gelişmiş bir kullanıcı deneyimi sunar.

Yetkilendirme önemlidir çünkü :

• Kullanıcıların yalnızca rolleri için gerekli olan kaynaklara erişime sahip olması için en az ayrıcalık ilkelerini uygular.
• Yöneticilerin erişim ilkelerini gerçek zamanlı olarak değiştirebilmeleri için dinamik erişim denetimine olanak tanır ve daha esnek güvenlik sunar.

İlgili Makaleler :

• Çevrimiçi verilerinizi koruma a parola yöneticisi ile
• kendinizi ve verilerinizi nasıl korursunuz

İlgili Ürünler ve Hizmetler :

• Kaspersky Premium Antivirüs
• Kaspersky Password Manager
• 30 Günlük Ücretsiz Deneme Sürümü ile Kaspersky Premium Antivirüsü İndirin