Authentication nedir?

İnterneti kullanmak pek çok açıdan keyifli olsa da güvenlik ile ilgili kaygılarımızı görmezden gelemeyiz. Özellikle online finansal işlemlerin bu denli ön planda olduğu çağımızda, güvenli internet kullanımı, oldukça büyük bir önem taşır. Authentication veri güvenliği konusunda ele alınan bir tabirdir. Kısaca, herhangi bir internet kullanıcısının, uygulamanın ya da programın, söz konusu sisteme dahil olup olamayacağını belirleyen formu ifade eder. Bazı durumlarda bir sisteme giriş konusunda onay verilse de yetkiler sınırlandırılabilmektedir. Bugün cep telefonlarımız için kullandığımız şifrelerden ATM’lerde giriş yapmak için kullandığımız şifrelere dek her şey, aslında birer yetkilendirme aracıdır.  Evlerimizden içeri girmek için anahtarlarımızla yetki sahibi oluyoruz. Aslında benzer mantığı online mecralarda Authentication için de düşünebiliriz.

Kimlik doğrulama kavramıyla Authentication esasen aynı şeylerdir. Hatta Authentication sözcüğünün tam olarak Türkçe karşılığı kimlik doğrulamadır. SSL hattı gibi bir durum yoksa ortada veya kod doğrulaması diye özel bir durumdan bahsetmiyorsak, Authentication kimlik doğrulama ile aynı anlama gelir. Öte yandan Authentication ve Authorization kavramları genel anlamda birbirlerinin yerine kullanılabilir.  Authorization dilimize kısaca “yetki” olarak çevrilebilir.

authentication_nedir

Authentication Ne İşe Yarar?

İnternette gezinirken her zaman değil ama bazı önemli durumlarda kimliğin belirlenmesi gerekir. Özellikle de ticari işlemlerde bu hayati derecede önemlidir. Bir nevi kimlik belirleme işlemi olan Authentication için “güvenilir bir onaylama mekanizması” da diyebiliriz. Aslında bir platformda varlığınızı onaylatmak adına kullanıcı adı ve şifre yeterli olmaktadır. Ancak ne yazık ki kimi olasılıklarda bu tip temel bilgiler, güvenliğinizi koruma noktasında yeterli olamayabiliyor. Sizden bu süreçte ek bilgiler talep edilebilmektedir. Hatta dahil olduğunuz platformun güvenlik politikalarına bağlı olarak çok daha üst düzey güvenlik aşamalarından geçmek zorunda kalabiliyorsunuz. Kimlik doğrulama işlemleri artık internet dünyası için rutin işlemlerden biri haline gelmiştir. Birkaç saniyemizi ayırarak güvenliğimizi teminat altına alabileceğimiz konusunda geçmişe kıyasla biraz daha bilinçlenmiş durumdayız.

İnterneti esasen çok da tekin bir yer gibi düşünemeyiz. İnternet, doğası gereği güvenlik açıklarına eğilimli kaygan bir zemindir. İnternetin özünde güvenlik altyapısından söz edilemez; fakat internet yaygınlaştıkça ve bugünkü popülerliğine kavuşunca elbette roller değişmeye başladı ve veri güvenliği adı verilen bir kavram oluşmaya başladı. Veri şifreleme konusunda ortaya konulan politikaların tümü, dijital doğrulama işlemleriyle beraber yetki verilmiş kullanıcılara açılmaktadır. Bir sistem, kendinden bağımsız başka bir sisteme girme konusunda yetki sahibi olabilmektedir. Bu da aslında Authentication kavramının ne denli gelişim gösterdiğinin basit bir işaretidir.

Dijital Doğrulama

Veri bugünün koşullarında kapalıdır. Veriye ulaşmak adına kimlik doğrulama aşamalarıysa verinin güvenliğini koruma altına almak adına hayati derecede önemlidir. Bu noktada kullandığımız dijital kimlik doğrulama işlemleri, internet ortamındaki online verilere erişim konusunda bize yetki verir.

Kimliğin tespiti, bir başka deyişle Authentication, mutlak suretle her daim, her platformda gerekli olan bir konu değildir. Ortada şahsi olarak yapılması gereken bir işlem yoksa, kimlik onayına ihtiyaç duyulmaz. Bu noktada bahsettiğimiz kimlik, sizin salt gerçek kimliğiniz olmak zorunda değil. Örnek vermek gerekirse, Facebook için kullandığınız bilgilerin onayı da kimlik belirleme süreçlerine dahil olabilir. Buna rağmen finansal alanlarda gerçek kimlik belirleme konusunda bir zorunluluk bulunur. Mesela kredi kartıyla internet üzerinden bir alışveriş yapıldığına 3D güvenlik servisi, çift aşamalı bir onaylama sunar.  Bankalar bunun yerine cep telefonunuza gelen kodu sisteme girmenizi bekleyebilir. Bu nedenle sadece online bankacılık kullanıcı adı ve şifrenizi bilmeniz tek başına hiçbir şey ifade etmeyebilir. Parmak izi ya da yüz tarama gibi bankalar tarafından son dönemlerde kullanılan dijital teknikler de dikkat çekicidir. Bazen kaza ve benzer sebeplerden dolayı parmak izleri sağlıklı bir şekilde tanımlanamayabiliyor. Bu tip durumlarda ekstra doğrulama yöntemleri devreye girmektedir.

Authentication ve E-Ticaret

Authentication’un önemli olduğu bir diğer alan da e-ticaret konusudur. Bu tip platformlarda finansal işlemler büyük önem taşır. E-ticaret siteleri müşterilerine karşı bu konuda sorumludur. Bu nedenle diğer standart sitelerin aksine bu tip e-ticaret sitelerinde çok güçlü bir güvenlik altyapısı olmak zorundadır. Elbette bunlar maliyet açısından oldukça zorlayıcı olabilmektedir.

Mesaj Özeti ve Sertifika ile Yetkilendirme

Veri güvenliği bakımından aslında üç farklı yetkilendirmeden söz etmek mümkün: mesaj özetleri, dijital imza ve sertifikalar. Dijital imza süreçlerinden yukarıda genel hatlarıyla söz etmiştik. Mesaj özetleri, message digets olarak da bilinmektedir. Burada amaç yetki verme süreçlerinde şifrenin sonsuza dek saklanmasıdır. Kullanıcı yetki için şifresini saklamak durumundadır. Şifre sadece şeffaf bir biçimde saklanırsa dışarıdan bir saldırıya açık hale gelebilir.Mesaj özeti bazı durumlarda birden çok şifreye denk gelebilir. Bu yüzden şifre tekrarlama saldırıları zaman zaman ortaya çıkabilir.

Bir diğer yetkilendirme biçimi de sertifikalardır. Sertifikada, sunucu sizi yetkilendirmeden hemen önce kullanıcıya ait sertifikayı talep etmektedir. Aldığı sertifika sayesinde umum anahtar doğrulanır. Bu süreçte yetkilendirme esnasında gerekli olacak bilgiler açılır. Bu bilgilerin doğruluğunda sorun yoksa sistem kullanıcıya yetki verecektir.