• Günlük Haberler
  • *İNSAN KAYNAKLARI
  • BİLİŞİM
  • e-TİCARET
  • Giriş
  • Kayıt
26 °c
Istanbul
26 ° Sal
26 ° Çar
26 ° Per
26 ° Cum
Türk İnternet
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa Günlük Haberler

Siber Güvenlikte 2 Faktörlü Doğrulama Kullanımı Kaçınılmaz Hale Geliyor

İnternet tabanlı uygulamalara veya mobil uygulamalara giriş yaparken çoğu zaman sadece kullanıcı adı ve şifre ya da bunlara ek olarak anne kızlık soyadı, doğum tarihi ve TC Kimlik Numarası gibi bilgiler kullanılıyor. Ancak Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp’e göre sadece bu bilgilerle yapılan giriş işlemleri yeterince güvenli değil çünkü siber suçluların bu bilgileri ele geçirmesi oldukça kolay. Bu nedenle iki faktörlü doğrulama sistemlerine ihtiyaç duyulduğunu belirten Gökalp, bu teknolojinin günümüz siber saldırıları için en ciddi önlem olduğunun altını çiziyor.

Türk-İnternet Haber Merkezi-Türk-İnternet Haber Merkezi
16 Şubat 2018
-Günlük Haberler
0
Facebook'ta PaylaşTwitter'da PaylaşLinkedin'de Paylaş

Genellikle internet tabanlı uygulamalara, mobil uygulamalara veya Internet üzerinden erişim yaptığımız VPN ve SSL gibi sistemlere giriş yaparken kullanıcı adı ve şifre bilgileri ile doğrulama yapılıyor. Ancak bu bilgiler statik olmakla birlikte, kullanıcılar çoğu kez kolay hatırlanabilecek şifreler tercih ediyorlar. İnternet üzerinden finansal sistemlere erişim yaparken ise genellikle kullanıcı adı ve şifre ile birlikte bazı demografik bilgiler istenerek doğrulama yapılıyor. Ancak; TC Kimlik Numarası, anne kızlık soyadı, doğum tarihi ve ev/iş telefon numarası gibi demografik bilgiler de maalesef oldukça kolay ele geçebilecek bilgiler.

Öte yandan kullanıcı adları ve şifreler de genellikle kullanıcıların kolay hatırlayabilecekleri bilgilerden oluşmakta. Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp, bilgisayar korsanlarının, klavye veya ekran bilgilerini yakalayabilen araçlar ve programcıklar ile kişilerin bilgisayarlarına sızarak bu bilgileri kolaylıkla görüntüleyip ele geçirebildiklerini belirtiyor. Bu nedenle bilgi güvenliği açısından temel olarak iki faktörlü doğrulama teknolojilerine ihtiyaç duyuluyor. En bilindik iki faktörlü yöntem ise dinamik olarak tek kullanımlık şifre üreten (OTP – One Time Password) sistemler.

Tek kullanımlık şifre üreten (OTP) sistemler anahtarlık büyüklüğünde cihazlar olabilecekleri gibi akıllı cep telefonları üzerinde çalışabilen uygulamalar aracılığıyla da kullanılabiliyor. Günümüzde OTP sistemlerinde özellikle zaman tabanlı teknolojilerin tercih edildiğini ifaden eden Ziya Gökalp, “Bunun en büyük sebebi, bilgi güvenliği ve standartları açısından; üretilen tek kullanımlık şifrenin bir zaman dilimi içinde kullanılması ve kullanılmadığı takdirde zaman aşımına maruz kalarak kullanılamaz hale gelmesidir.” diyor.

Zaman tabanlı teknolojiler için gündeme gelen ve tartışılan sorun ise senkronizasyonlar ile ilgili. Fakat sunucu uygulama tarafında çalışan yönetim uygulamalarında yapılan geliştirmeler ile senkronizasyon sorunu da neredeyse yaşanmıyor. Birçok finans kuruluşu 25 – 35 saniyelik zaman dilimi içinde OTP cihazları veya uygulamaları üzerinden üretilen şifrenin kullanılması zorunluluğunu getirmiş olmalarına rağmen çok nadir senkronizasyon sorunları yaşamaktalar. Yaşanan senkronizasyon sorunları ise; sorun yaşayan token’e ait zaman aralığını kısa süreli olarak genişletip, kullanıcının senkronize olması ile birlikte eski zaman dilimlerine çekmeleri ile ortadan kaldırılmaktadır.

Oltalama Saldırılarından Zaman Tabanlı OTP Kullanımı ile Korunmak Mümkün

İnternet üzerinde yaşanan en büyük risklerden biri oltalama (phishing) saldırılarıdır. Bu açıdan bakıldığında, kullanılan OTP teknolojilerinin zaman tabanlı olması, oltalama saldırıları için bir önlem olarak gösterilebilir. Aynı şekilde ileri seviyedeki OTP cihazları ve uygulamaları challenge-response özelliği taşıyabilmekteler. Bu özellik sayesinde, uygulamalara ve sistemlere erişim yapılırken önce erişim yapılmak istenen uygulamanın bir challenge yapması gerekir. Challenge ile üretilen kod, token üzerinden girilerek bir şifre, yani response üretimi yapacaktır. Bu karşılıklı kontrol mekanizması ile güvenlik seviyesi artırılır. Token’e ait PIN numarasını bilmeyen kişi gelen challenge bilgisini token üzerine giremez ve OTP yaratamaz.

Bir ileri seviye koruma metodolojisi ise “transaction signing” özelliğidir. Transaction signing özelliği, ileri seviye koruma sağladığı gibi aradaki adam saldırıları (man in the middle) için başvurulan en güçlü güvenlik önlemlerinden biridir. Ziya Gökalp bu sistemi şu şekilde özetliyor: “PIN Pad’e sahip hard ve soft token üzerinden transaction signing özelliği seçilir ve kullanıcının karşısına 3 adet boş alan (field) gelir. Bu alanlara sunucu uygulama tarafından daha önce belirlenmiş olan bilgiler girilmelidir. Bu bilgiler; 1. alan için EFT hesap numarası veya IBAN, 2. alan için EFT yapılacak miktar/para tutarı ve 3. alan için referans numarası veya uygulamayı kullanan firmanın belirlemiş olduğu bir başka bilgi olabilir. Girilen bu bilgiler bir algoritmadan geçerek hashlenir ve bir şifre üretilir. Kullanıcı işlem yaparken bu şifreyi kullanır. Bu şifre sunucu uygulama tarafında da aynı algoritma ile kontrol edilerek doğrulama yapılır.”

En yalın hali ile kullanılan OTP teknolojilerinin zaman tabanlı, challenge-response ve transaction signing özellikleri taşıması günümüz siber saldırıları için ciddi önlemler olarak gösterilebilir.

Biometrik Fonksiyonlar Daha Güvenli Kimlik Doğrulaması Sağlıyor

Günümüzde Vasco Data Security’nin geliştirdiği ve patenti altına aldığı CrontoSign teknolojisi ile kullanıcılar sistemlere giriş yaparken, kendi hesapları için oluşturulmuş, renkli şekilleri içeren bir etiketi telefonları üzerindeki uygulamaya okutarak doğrulama yapabilmektedir. Bu teknoloji hem işlemi onaylama hem de erişim doğrulama için kullanımı kolay ve güvenli bir mekanizma sağlamaktadır. 2016 yılı itibari ile Vasco yüz tanıma gibi biometrik fonksiyonları da uygulama içine eklemiş ve kimlik doğrulama pazarında fark yaratan bir döneme imza atmıştır.

Mobil cihazların üzerindeki işletim sistemlerinden kaynaklanan güvenlik zafiyetleri de önemli bir diğer konu olarak öne çıkıyor. Mobil cihazlar üzerinde çalışan uygulamalar ne kadar güvenli olurlarsa olsunlar, cihazın işletim sisteminden kaynaklı risklere maruz kalabilirler. Bu noktada iki faktörlü doğrulama yazılımları içinde gerçek zamanlı kötü amaçlı yazılım taraması yapabilen RASP (Runtime Application Self Protection) gibi fonksiyonlar da sağlanabilir. Türkiye’de birçok şirket web uygulamalarına erişirken iki faktörlü doğrulama çözümleri kullandıkları gibi, mobil uygulamalarının içine de iki faktörlü kimlik doğrulama çözümlerini entegre ederek hem kimlik doğrulama hem de işlem onaylama yapmaktadırlar.

Etiketler: Haber

Türk İnternet'ten buna benzer yazılar için bildirim almak ister misiniz?

ABONELİKTEN ÇIK
Lütfen yorum yapmak için giriş yapın.

GÜNLÜK BÜLTEN ABONELİĞİ

Aboneliğinizi onaylamak için gelen veya istenmeyen posta kutunuzu kontrol edin.

SEÇİM/SANDIK GÜVENLİĞİ

14 Mayıs 2023 Seçimi için - Seçim ve Sandık Güvenliği

DEPREMDE HABERLEŞME SIKINTISI

6 Şubat 2023 - Kahramanmaraş Merkezli Deprem Sırasında Yaşanan Haberleşme Sıkıntısına Dair Bilgiler

YAZARLARIMIZ

blank
Ernur Öktem
  • Picus: ODTÜ Kampüsünden Globale Uzanan Bir Başarı Hikayesi
blank
Fusun S.Nebil
  • Bugün Ülkeyi ve Cumhuriyeti Korumanın Yolu Sandıklar’dan Geçiyor
blank
Innocenzo Genna* / EU telecom regulation expert
  • Telekomünikasyon Konsolidasyonu İspanya’dan mı Başlıyor?
blank
Mehmet Taşnikli
  • Zyxel, Güvenlik Duvarı ve VPN Ürünleri İçin Kritik Güvenlik Yamaları Yayınladı
blank
turk-internet.com / Bilgi
  • Stalkerware; Sadece Hackerlar Değil, Yakınlarınız da Cihazlarınıza Sızıyor

HAFTANIN ÖNE ÇIKANLARI

  • Seçmen Sayısı Nüfusa Göre Neden 6,7 Milyon Fazla?
  • Seçim Sonrası İlk Zam Türk Telekom Toptan’dan (Dolayısıyla Diğer Operatörler de)
  • Picus: ODTÜ Kampüsünden Globale Uzanan Bir Başarı Hikayesi
  • Köy ve Mezralara Temsilci ve Müşahid Göndermek Lazım
  • Sosyal Medyadaki Hile Bilgileri ve sts.chp.org.tr Üzerine Notlar

HAFTANIN KELİMESİ

3GPP

3. Nesil Ortaklık Projesi (3GPP), dünya çapında çeşitli mobil (hücresel) ve telekomünikasyon standartlarını geliştiren ve sürdüren bir grup standart kuruluşudur.

3G ile birlikte kurulmuş ve telekom endüstrisinin Birleşmiş Milletleri diye tanımlanabilir. Sonraki nesiller için de standartları belirlemiştir.

Detayı için Wiki-Turk'e bakınız
blank

Bildirimler

Turk-internet.com masaüstü bildirimlerini almak için lütfen buraya tıklayın

Son Yorumlar

  • İngiliz Düzenleyici Ofcom, Bulut Servislerini ve Akıllı Cihaz Pazarını Soruşturuyor için Tolga Kaprol
  • Seçim Yaklaşırken, Kişisel Veriler Kötüye Nasıl Kullanılır? için [email protected]
  • Video Sunan Platformları En İyi Nasıl İzleriz? için Tolga Kaprol
  • Rusya, Meta’ya (Facebook) Erişimi Engelledi için Tolga Kaprol
  • Metaverse, Bir Can Simididir için tkaprol

Haber bültenimize abone olun

Aboneliğinizi onaylamak için gelen veya istenmeyen posta kutunuzu kontrol edin.

  • Haber İndeksi
  • Hakkımızda
  • Gizlilik Bildirimi
  • Firmaların turk-internet.com ile Çalışabilirlik Yöntemleri
  • Destek
  • Bize Yazın

© 2021 Turk-Internet.com

No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda

© 2021 Turk-Internet.com

Tekrar Hoşgeldiniz!

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum? Kayıt Ol

Yeni Hesap Oluştur

Kayıt olmak için aşağıdaki formu doldurunuz

Tüm alanların doldurulması gerekiyor. Giriş yap

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Gizlilik Bildirimi.