Kimlik & Erişim

Kimlik Doğrulama (Authentication)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Bir banka uygulamasına girdiğinizde "siz gerçekten siz misiniz?" sorusunu yanıtlayan kapı kimlik doğrulamadır; bu kapı zayıfsa içerideki hiçbir şifre, hiçbir yetki sizi koruyamaz.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta kimlik doğrulama (authentication) terimini öğreniyoruz: bir kullanıcının veya sistemin iddia ettiği kişi/varlık olduğunu kanıtlama sürecini. Solda erişim kontrolü sahnesini gör; aşağıda gerçek örnekler ve mini testle pekiştir.

Anlatım

NEDİR? Kimlik doğrulama (authentication), bir varlığın (kullanıcı, cihaz veya servis) iddia ettiği kimliğe gerçekten sahip olduğunu kanıtlama sürecidir. Kısaca "Sen kimsin ve bunu nasıl ispatlarsın?" sorusunun yanıtıdır. Önce kimlik belirtilir (örn. kullanıcı adı), sonra bu iddia bir kanıtla doğrulanır. Dikkat: kimlik doğrulama (authentication, "sen kimsin?") ile yetkilendirme (authorization, "neye erişebilirsin?") farklı kavramlardır; doğrulama her zaman yetkilendirmeden ÖNCE gelir. NASIL ÇALIŞIR? Kimlik doğrulama, kanıtın "faktör" adı verilen üç temel türünden bir veya birkaçına dayanır: 1) BİLDİĞİN bir şey: parola, PIN, gizli soru cevabı. 2) SAHİP OLDUĞUN bir şey: telefona gelen tek kullanımlık kod (OTP), donanım anahtarı, akıllı kart. 3) OLDUĞUN bir şey: parmak izi, yüz veya iris gibi biyometrik özellik. Tipik akış: (a) kullanıcı kimliğini ve kanıtını sunar; (b) sistem sunulan kanıtı kayıtlı referansla karşılaştırır — parolalar genelde tuzlanmış özet (salted hash) olarak saklanır, düz metin DEĞİL; (c) eşleşme varsa bir oturum belirteci (token/çerez) verilir ve sonraki isteklerde bu belirteç kullanılır. İki veya daha fazla faktör birlikte istenirse buna Çok Faktörlü Doğrulama (MFA) denir. NEDEN ÖNEMLİ / İŞ YERİNDE Kimlik doğrulama tüm güvenliğin giriş kapısıdır: yetkilendirme, kayıt tutma (audit) ve veri gizliliği hep "doğru kişinin" tanınmasına bağlıdır. Çalınan veya zayıf parolalar, ihlallerin en yaygın başlangıç noktasıdır. İş yerinde bu; kurumsal e-postaya MFA ile giriş, sunuculara SSH anahtarıyla bağlanma, API'lerin token/sertifika ile birbirini tanıması anlamına gelir. Zayıf kimlik doğrulama, hesap ele geçirme, dolandırıcılık ve veri sızıntısının kapısını açar. DİKKAT / İYİ UYGULAMA • Mümkün olan her yerde MFA açın — tek başına parola yetersizdir. • Parolaları asla düz metin saklamayın; güçlü, tuzlu özet algoritmaları (bcrypt, Argon2, scrypt) kullanın. • Brute force ve credential stuffing'e karşı deneme sınırlama (rate limit) ve hesap kilitleme uygulayın. • Kimlik doğrulamayı yetkilendirmeyle karıştırmayın: doğrulanmış olmak her şeye erişim hakkı vermez. • Phishing'e dayanıklı yöntemleri (donanım anahtarı, FIDO2/passkey) tercih edin; SMS-OTP zayıf bir ikinci faktördür ama hiç yoktan iyidir.

📌 Senaryolar
📌 Örnek 1 (Tek faktörlü giriş): Bir çalışan kurumsal portala kullanıcı adı ve parolasıyla girer. Açıklama: Burada yalnızca "bildiğin bir şey" (parola) faktörü kullanılır. Sistem girilen parolanın özetini (hash) kayıttaki tuzlu özetle karşılaştırır; eşleşirse oturum açılır. Parola çalınırsa tek başına yeterli koruma sağlamaz — bu yüzden tek faktör artık riskli kabul edilir.
📌 Örnek 2 (Çok faktörlü doğrulama — MFA): Bir kullanıcı banka uygulamasına parolasını girer, ardından telefonuna gelen 6 haneli tek kullanımlık kodu (OTP) yazar. Açıklama: İki ayrı faktör birleştirilir — "bildiğin" (parola) + "sahip olduğun" (telefon/OTP). Saldırgan yalnızca parolayı çalsa bile ikinci faktör olmadan giremez. Bu, hesap ele geçirme riskini büyük ölçüde azaltır.
📌 Örnek 3 (Biyometrik ve servisler arası doğrulama): Bir telefon kullanıcıyı yüz tanımayla açar; aynı sistemde iki sunucu birbirine TLS istemci sertifikasıyla kimlik kanıtlar. Açıklama: İlk durum "olduğun bir şey" (biyometri) faktörüdür. İkinci durum gösterir ki kimlik doğrulama yalnızca insanlar için değildir: makineler/servisler de dijital sertifika veya API anahtarıyla birbirinin iddia ettiği kimliği doğrular. Her iki tarafın da doğrulanmasına karşılıklı (mutual) kimlik doğrulama denir.
Özet

• Kimlik doğrulama = "iddia edilen kimliğin gerçek olduğunu kanıtlama" sürecidir. • Üç faktör: bildiğin (parola), sahip olduğun (OTP/anahtar), olduğun (biyometri). • Doğrulama (sen kimsin?) ≠ yetkilendirme (neye erişebilirsin?); doğrulama önce gelir. • İyi uygulama: MFA, tuzlu özetle parola saklama, deneme sınırlama, phishing-dayanıklı yöntemler.

✅ Mini-Test (5)
1.Kimlik doğrulama (authentication) en doğru şekilde neyi ifade eder?
2.Telefona gelen tek kullanımlık kod (OTP) hangi kimlik doğrulama faktörüne örnektir?
3.Çok Faktörlü Doğrulama (MFA), saldırgan yalnızca parolayı çalsa bile ek faktör olmadan girişi engellediği için güvenliği artırır.
4.Kimlik doğrulama ile yetkilendirme (authorization) arasındaki ilişki için hangisi doğrudur?
5.Parolaların güvenli saklanması için aşağıdakilerden hangisi doğru bir uygulamadır?
← Tüm sözlük terimleri · Farkındalık eğitimi