spacer.png, 0 kB
Bilgi için: sge at tubitak gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
İki Faktörlü Doğrulama (2 Factor Authentication) Yazdır E-posta
Ziya Gokalp, Vasco Data Security   
06.05.2009

İki faktörlü doğrulama (2 Factor Authentication) teknolojileri uzun yıllardır çeşitli sektörlerde kullanılıyor olsalar bile son 2-3 yıldır özellikle ülkemizde oldukça rağbet görmekteler. Öte yandan Avrupa ve Latin Amerika ülkeleri bu teknolojileri 6-7 yıldır son derece yoğun olarak kullanmaktalar.

Genel olarak bakıldığında; Internet tabanlı uygulamalara veya Internet üzerinden erişim yaptığımız VPN, SSL VPN v.b. gibi sistemlere erişim yapılırken kullanılan statik kullanıcı adı ve şifre bilgileri ile doğrulama sağlanmaktadır. Ancak bu bilgiler statik olmakla birlikte, kullanıcıların kolay hatırlayabileceği şifreleri tercih etmeleri söz konusudur. Internet üzerinden finansal sistemlere erişim yapılırken ise genelde statik kullanıcı adı ve şifre ile birlikte bazı demografik bilgiler isteyerek doğrulama sağlanmaktadır. Ancak; TC kimlik no, anne kızlık soyadı, doğum tarihi, ev/iş telefon numarası v.b. gibi demografik bilgiler maalesef çok kolay ele geçebilecek bilgilerden oluşmaktadır. Öte yandan; kullanıcı adları ve kullanılan şifreler ise müşterilerin kolay hatırlayabilecekleri bilgilerden oluşmaktadır genel olarak. Bilgisayar korsanları keyboard veya ekran bilgilerini yakalayabilen araçlar ve programcıklar ile kişilerin bilgisayarlarına sızarak bu bilgileri rahatça görüntüleyebilmekte ve ele geçirebilmektedirler.

Bu nedenle bilgi güvenliği açısından dinamik olarak tek kullanımlık şifre üreten (OTP- One time password) sistemlere ihtiyaç duyulmaktadır. Bu sistemler, hard token şeklinde ifade edilen anahtarlık büyüklüğünde cihazlar olabilecekleri gibi, Java v.b tabanlı cep telefonları üzerinde çalışabilen uygulamalar olarak da sağlanabilen ve soft token olarak adlandırılan formlarda da sağlanmaktadırlar. Genelde OTP cihazları ve uygulamalarında, tek kullanımlık şifre yaratmak için kullanılan token’a ait bir pin koruması olması tercih edilmektedir. Bu pin numarası, pin pad özelliğine sahip hard token lar ile sağlanabildiği gibi, uygulamalara erişim yaparken OTP öncesi de kullanılabilecek şekilde tasarlanmaktadır (örneğin; ilk once pin numarası ardından OTP gibi “pin no xxxx + OTP xxxxxx”). Ancak pin pad korumalı OTP cihazlarında pin numarası cihaz üzerinden offline girildiği ve capture edilemeyeceği için daha güvenli olarak adledilmektedir.

Günümüzde OTP sistemlerinde özellikle “time based” zaman tabanlı teknolojiler tercih edilmektedir. Bunun en büyük sebebi, bilgi güvenliği ve standartları açısından; üretilen tek kullanımlık şifrenin bir zaman dilimi içinde kullanılması, kullanılmadığı takdirde zaman aşımına maruz kalarak kullanılamaz hale gelmesi gerekliliğidir.  Ancak zaman tabanlı teknolojiler için gündeme gelen ve tartışılan soru senkronizasyonlar ile ilgilidir. Fakat backend tarafında çalışan yönetim uygulamalarında yapılan geliştirmeler ile senkronizasyon sorunu neredeyse yaşanmamaktadır. Birçok finans kuruluşu 25-35 saniyelik zaman dilimi içinde OTP cihazları veya uygulamaları üzerinden üretilen şifrenin kullanılması zorunluluğunu getirmiş olmalarına rağmen çok nadir senkronizasyon sorunları yaşamaktadırlar. Yaşanan senkronizasyon sorunları ise; senkronizasyon sorunu yaşayan token’a ait zaman aralığını kısa süreli bir dilim içinde açıp, kullanıcının senkronize olması (bir defa OTP yaratarak login olması) ile birlikte eski zaman dilimlerine çekmeleri ile ortandan kaldırılmaktadır.

Diğer taraftan Internet üzerinde yaşanan en büyük risk ise “ Phishing” saldırılarıdır. Bu açıdan bakıldığında, kullanılan OTP teknolojilerinin zaman tabanlı (time based) olması, phishing atakları için bir önlem olarak gösterilebilir.  Aynı şekilde ileri seviyedeki OTP cihazları ve uygulamaları (hard ve soft OTP sistemleri) challenge-response özelliği taşıyabilmektedirler. Bu özellik sayesinde, uygulamalara ve sistemlere erişim yapılırken önce erişim yapılmak istenen uygulama’nın bir challenge yapması gerekmektedir. Challenge ile üretilen kod, token üzerinden (pin pad modelli sistemler ve soft OTP uygulamaları) girilerek bir şifre, yani response üretimi yapılacaktır. Bu karşılıklı kontrol mekanizması ile güvenlik seviyesi artırılır. Token’a ait Pin numarasını bilmeyen kişi gelen challenge bilgisini token üzerine giremez ve OTP yaratamaz.

Bir ileri seviye koruma metodolojisi ise “transaction signing” özelliğidir. Transaction signing özelliği, ileri seviye koruma sağladığı gibi “man in the middle” atakları için başvurulan en güçlü güvenlik önlemlerinden biridir. Bu sistem kısaca şu şekilde çalışmaktadır; Pin Pad’e sahip hard ve soft token üzerinden transaction signing özelliği seçilir ve kullanıcı karşısına 3 adet field (boş alan) gelir. Bu alanlara backend tarafında daha once belirlenmiş olan bilgiler girilmelidir. Bu bilgiler; Field 1 için EFT hesap numarası, Field 2 için EFT yapılacak miktar/para tutarı ve Field 3 için referans numarası veya uygulamayı kullanan firmanın belirlemiş oldugu bir başka bilgi olabilir.Girilen bu bilgiler bir algoritmadan geçerek hash lenir ve bir şifre üretilir. Kullanıcı işlem yaparken bu şifreyi kullanır. Bu şifre backend tarafında da aynı algoritma ile kontrol edilerek doğrulama yapılır.

En yalın hali ile kullanılan OTP teknolojilerinin “time based” , “challenge-response” ve  “transaction signing” özellikleri taşıması günümüz atakları için ciddi önlemler olarak gösterilebilir.

Öte yandan tüm bu özellikleri barındıran Java v.b tabanlı cep telefonları üzerinde çalışabilen soft OTP uygulamaları, bizlere sağladığı mobilite imkanı ile cebimizden ayırmayacağımız kullanımı kolay güvenlik sistemimiz olmuştur.


Favori olarak ekle (1) | Görüntüleme sayısı: 3950

Yorumlar (2)
1. 16-12-2010 16:36
 
Zaman Tabanlı Tek Kullanımlık Parola (OTP) konusunda 'senkronizasyon' bilgisi benim için çok yararlı oldu. Zira, bu sorun nedeniyle zaman tabanlı yerine olay tabanlı çözümleri savunanlarla karşılaşmıştım. Belki de aslında maliyet ön plandadır.  
Ayrıca, zaman tabalı TKP' lerin 'man in the middle' atağına çözüm olduğunun vurgulanması da gelecek atak yöntemlerine karşı, özellikle internetten hizmet veren finansal kuruluşların kulağına küpe olmalı. 
Sanırım, yazı başlığı OTP olsa içeriğe daha uygun olurdu. Şimdiki haliyle başlık, 2 Faktörlü Doğrulama esası ve bileşenlerinin irdeleneceği izlenimini veriyor. 
Teşekkür ederim. Saygılarımla,
 
ORHAN AYDIN
2. 07-05-2009 15:52
 
Güzel ve bilgilendirici bir yazı. Teşekkürler
 
Erdem Seherler

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2014 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB