Biyometrik Doğrulama nedir? — Bilgi Güvenliği Sözlüğü

Kimlik & Erişim

Biyometrik Doğrulama

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Parolanızı unutabilir, değiştirebilir veya çaldırabilirsiniz — ama parmak izinizi değiştiremezsiniz; işte biyometrik doğrulamayı hem çok güçlü hem de çalındığında çok tehlikeli yapan da budur.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta kimlik doğrulamanın bedeninizle yapılan biçimini ele alıyoruz: Biyometrik Doğrulama. Parmak izi, yüz ve sesin nasıl bir kimlik kanıtına dönüştüğünü, bunun neden güçlü ama mahremiyet açısından hassas olduğunu öğreniriz.

Anlatım

NEDİR? Biyometrik doğrulama (biometric authentication), bir kişinin kimliğini onun benzersiz FİZİKSEL veya DAVRANIŞSAL özelliklerine dayanarak teyit eden yöntemdir. Kimlik doğrulamanın üç temel faktöründen biri olan "olduğun şey" (something you are) kategorisine girer; diğer ikisi "bildiğin şey" (parola) ve "sahip olduğun şey" (telefon/kart) faktörleridir. Fiziksel biyometrikler parmak izi, yüz geometrisi, iris/retina deseni ve avuç içi damar haritasını; davranışsal biyometrikler ise ses, yazma ritmi (keystroke dynamics) ve imza dinamiğini kapsar. NASIL ÇALIŞIR? Biyometrik bir sistem genellikle şu adımları izler: 1) Kayıt (Enrollment): Kullanıcının özelliği (örn. parmak izi) bir kez okunur. Ham görüntü saklanmaz; bunun yerine algoritma ayırt edici noktaları (özellik/şablon, template) çıkarır ve şifrelenmiş bir matematiksel temsil olarak kaydeder. 2) Yakalama (Capture): Doğrulama anında sensör (parmak izi okuyucu, kamera, mikrofon) özelliği yeniden okur ve yeni bir şablon üretir. 3) Karşılaştırma (Matching): Yeni şablon, kayıtlı şablonla karşılaştırılır. Biyometri ASLA %100 birebir eşleşmez; sistem bir BENZERLİK SKORU üretir ve bunu önceden tanımlı bir eşik (threshold) ile kıyaslar. 4) Karar: Skor eşiğin üzerindeyse erişim verilir, altındaysa reddedilir. Eşiği gevşetmek hatalı kabulü (FAR), sıkılaştırmak ise hatalı reddi (FRR) artırır — sistem bu ikisi arasında dengelenir. ÖNEMLİ KAVRAMLAR • FAR (False Acceptance Rate): Yetkisiz birinin yanlışlıkla kabul edilme oranı (güvenlik riski). • FRR (False Rejection Rate): Gerçek kullanıcının yanlışlıkla reddedilme oranı (kullanılabilirlik sorunu). • Canlılık testi (liveness detection): Sensöre canlı bir insan mı yoksa fotoğraf/maske/silikon parmak gibi bir SAHTE mi sunulduğunu ayırt eder; sahtecilik (spoofing) saldırılarına karşı kritiktir. NEDEN ÖNEMLİ / İŞ YERİNDE Biyometri, taşınabilir ve unutulamaz olması nedeniyle güçlü ve kullanıcı dostu bir doğrulamadır; telefon kilidi açma, kuruma giriş turnikeleri ve banka uygulamalarında yaygındır. İş yerinde en büyük değeri, çok faktörlü kimlik doğrulamanın (MFA) bir bileşeni olarak kullanılmasıdır: parola (bildiğin) + parmak izi (olduğun) birlikte, tek başına paroladan çok daha güçlü bir savunma kurar. DİKKAT / İYİ UYGULAMA • İPTAL EDİLEMEZ: Parola sızarsa değiştirilir; parmak izi/yüz sızarsa SONSUZA DEK risklidir. Bu yüzden biyometrik veriler en hassas kişisel veri sınıfındadır (KVKK/GDPR özel nitelikli veri). • ŞABLONU KORU: Sistem ham görüntü değil, geri döndürülemez şifreli şablon saklamalı; mümkünse veri cihazdan çıkmadan güvenli donanımda (örn. Secure Enclave/TPM) işlenmelidir. • TEK BAŞINA YETMEZ: Biyometriyi parolanın yerine değil, MFA'da ek bir faktör olarak konumlandır. • CANLILIK ŞART: Yüz/parmak sistemlerinde fotoğraf veya kopya parmakla aldatmayı engellemek için canlılık testi mutlaka bulunmalıdır.

📌 Senaryolar

📌 Örnek 1 (Telefonda MFA bileşeni — parmak izi): Bir çalışan kurumsal bankacılık uygulamasına girerken önce PIN'ini (bildiği şey) yazıyor, ardından telefon parmak izi sensörüyle (olduğu şey) işlemi onaylıyor.
  Açıklama: Bu, biyometrinin doğru kullanımıdır: parolanın YERİNE değil, çok faktörlü doğrulamada (MFA) ikinci bir faktör olarak çalışır. Parmak izi şablonu telefonun güvenli donanımında (Secure Enclave) kalır, uygulamaya yalnızca "doğrulandı" sonucu döner; ham parmak izi sunucuya gönderilmez.

📌 Örnek 2 (Spoofing — canlılık testinin önemi): Bir saldırgan, sosyal medyadaki yüksek çözünürlüklü bir fotoğrafı yazdırıp yüz tanıma sistemine tutarak başkasının hesabına girmeye çalışır.
  Açıklama: Canlılık testi (liveness detection) bulunmayan zayıf bir yüz tanıma sistemi bu sahteciliğe (spoofing) kanabilir. Doğru tasarlanmış sistem, derinlik algılama, göz kırpma veya kızılötesi ısı haritası ile fotoğrafın canlı bir yüz OLMADIĞINI tespit eder ve erişimi reddeder. Bu örnek, biyometrik güvenliğin yalnızca sensöre değil canlılık kontrolüne de bağlı olduğunu gösterir.

📌 Örnek 3 (FAR / FRR eşik dengesi): Bir veri merkezi giriş kapısında parmak izi sistemi, eşik çok gevşek ayarlandığı için zaman zaman yetkisiz kişileri içeri alıyor; yönetici eşiği sıkılaştırınca bu kez gerçek çalışanlar tekrar tekrar reddedilmeye başlıyor.
  Açıklama: Bu, FAR (hatalı kabul) ile FRR (hatalı ret) arasındaki temel ödünleşmedir. Eşiği gevşetmek FAR'ı (güvenlik açığını), sıkılaştırmak FRR'yi (kullanıcı mağduriyetini) artırır. Yüksek güvenlik gerektiren ortamlarda eşik FAR'ı düşürecek şekilde ayarlanır ve sistem bilinçli olarak biraz daha çok hatalı ret üretmeyi kabul eder.

Özet

• Biyometrik doğrulama kimliği parmak izi, yüz, iris, ses gibi benzersiz fiziksel/davranışsal özelliklerle teyit eder ('olduğun şey' faktörü). • Sistem ham görüntüyü değil, geri döndürülemez şifreli bir şablonu saklar ve doğrulamada bir benzerlik skorunu eşikle karşılaştırır. • Eşik ayarı FAR (hatalı kabul) ile FRR (hatalı ret) arasında bir denge kurar; canlılık testi sahtecilik (spoofing) saldırılarını engeller. • En güçlü kullanımı MFA'da ek faktör olmasıdır; ama biyometrik veri iptal edilemez ve en hassas kişisel veridir, mutlaka korunmalıdır.

✅ Mini-Test (3)

1.Biyometrik doğrulama, kimlik doğrulamanın hangi temel faktörüne karşılık gelir?

2.Bir biyometrik sistemde sensöre fotoğraf, maske veya silikon parmak gibi sahte bir örnek sunulmasını tespit eden mekanizma hangisidir?

3.Biyometrik veriler sızdırıldığında, tıpkı parolalar gibi kolayca değiştirilip yenilenebilir.

← Tüm sözlük terimleri · Farkındalık eğitimi