Kimlik Doğrulama ve Erişim Kontrolü

Tanım

Kimlik doğrulama, iddia edilen bir kimliğe güven tesis etme sürecidir; erişim kontrolü ise hangi doğrulanmış öznelerin hangi kaynaklar üzerinde hangi işlemleri gerçekleştirebileceğini belirleyen kuralların uygulanmasıdır.

Kapsam

Bu konu, kimlik doğrulamasını (parolalar, çok faktörlü kimlik doğrulama, biyometri, kriptografik kimlik bilgileri, tek oturum açma) ve yetkilendirme modelleri ile mekanizmalarını (erişim kontrol listeleri, yetenekler, rol tabanlı ve öznitelik tabanlı erişim kontrolü, en az ayrıcalık ilkesi) kapsamaktadır. Federasyon kimliği ve OAuth ile SAML gibi protokolleri ele almaktadır. Kimlik bilgilerinin temelini oluşturan kriptografik ilkelleri ve ağ güvenliği kapsamında ele alınan ağ katmanı kontrollerini içermemektedir.

Temel sorular

• Bir sistem, bir tarafın iddia ettiği kişi olduğunu güvenilir bir şekilde nasıl doğrulayabilir?
• Bilgi, sahiplik ve içsel kimlik doğrulama faktörleri arasındaki ödünleşimler nelerdir?
• Erişim kontrol modelleri (DAC, MAC, RBAC, ABAC) politikayı nasıl ifade eder ve uygular?
• En az ayrıcalık ilkesi pratikte nasıl uygulanır?
• Kimlik, tek oturum açma aracılığıyla kuruluşlar arasında nasıl federasyon haline getirilir?

Anahtar kavramlar

• kimlik doğrulama faktörleri
• çok faktörlü kimlik doğrulama
• parolalar ve kimlik bilgisi depolama
• biyometri
• erişim kontrol listeleri ve yetenekler
• rol tabanlı erişim kontrolü (RBAC)
• öznitelik tabanlı erişim kontrolü (ABAC)
• en az ayrıcalık
• tek oturum açma ve federasyon kimliği

Temel kuramlar

Kimlik doğrulama faktörleri ve çok faktörlü kimlik doğrulama

Kimlik, bildiğiniz (parola), sahip olduğunuz (belirteç veya telefon) veya olduğunuz (biyometrik) bir şeyle doğrulanır; bağımsız faktörleri birleştirmek, bir faktörün tehlikeye atılması yetersiz kaldığı için kimlik bilgisi hırsızlığına karşı çıtayı önemli ölçüde yükseltir.

Erişim kontrol modelleri ve en az ayrıcalık

Yetkilendirme, en az ayrıcalık ilkesi rehberliğinde, her özneye yalnızca ihtiyaç duyduğu hakları veren ve tehlikeye atılma durumunda oluşacak zararı sınırlayan modeller (isteğe bağlı ve zorunlu erişim kontrolü, rol tabanlı (RBAC) ve öznitelik tabanlı (ABAC)) aracılığıyla yapılandırılır.

Mekanizmalar

Kimlik doğrulama mekanizmaları bir faktörü doğrular: tuzlanmış bir parola özetini karşılaştırma, tek kullanımlık bir kodu veya donanım belirteci imzasını doğrulama ya da biyometrik bir şablonu eşleştirme gibi. Kriptografik kimlik doğrulama (açık anahtar sertifikaları, FIDO2/WebAuthn), bir gizli anahtarı göndermeden özel bir anahtarın sahipliğini kanıtlar. Yetkilendirme daha sonra bir politikaya başvurur: erişim kontrol listeleri kaynaklara izinleri ekler, yetenekler bunları öznelere ekler ve RBAC/ABAC rollere veya özniteliklere göre kararlar hesaplar. Federasyon kimlik protokolleri (OAuth, OIDC, SAML), bir sağlayıcının birçok hizmet için bir kullanıcıya kefil olmasını sağlar.

Klinik önem

Kimlik doğrulama ve erişim kontrolü, çoğu gerçek saldırının başarılı olduğu veya başarısız olduğu noktalardır: çalınan veya oltalama saldırılarına maruz kalabilen parolalar, ihlallerin çoğunluğuna neden olmaktadır; bu nedenle çok faktörlü kimlik doğrulama ve oltalama saldırılarına dayanıklı geçiş anahtarları (WebAuthn) günümüzde şiddetle tavsiye edilmektedir. RBAC, işletmelerde ve bulut platformlarında izinleri yönetmektedir ve tek oturum açma (Google, Microsoft oturum açmaları) günlük kullanıcı deneyimini ve güvenlik risklerini şekillendirmektedir.

Kanıt ve kılavuzlar

NIST SP 800-63 (Dijital Kimlik Yönergeleri), kimlik doğrulama güvence seviyelerini ve modern parola rehberliğini (zorunlu karmaşıklık yerine uzunluğu ve ihlal kontrolünü tercih eden) tanımlamaktadır. RBAC, INCITS 359 olarak standartlaştırılmıştır ve FIDO2/WebAuthn, oltalama saldırılarına dayanıklı kimlik doğrulama sağlamaktadır. OAuth 2.0 (RFC 6749) ve OpenID Connect, federasyon yetkilendirme ve kimlik doğrulamasını standartlaştırmaktadır.

Tarihçe

Erişim kontrolü, Lampson'ın erişim kontrol matrisi ve Bell-LaPadula zorunlu modeli ile 1970'lerde resmileştirilmesiyle erken zaman paylaşımlı sistemlere dayanmaktadır. Rol tabanlı erişim kontrolü, Sandhu ve meslektaşları tarafından 1996'da resmileştirilmiş ve kurumsal standart haline gelmiştir. Kimlik doğrulama, parolalardan donanım belirteçleri ve tek kullanımlık parolalar aracılığıyla günümüzün çok faktörlü ve oltalama saldırılarına dayanıklı geçiş anahtarlarına evrilirken, federasyon kimliği (SAML, ardından OAuth/OIDC) web ölçeğinde tek oturum açmayı mümkün kılmıştır.

Öne çıkan isimler

• Ravi Sandhu
• Ross Anderson
• Jerome Saltzer
• Butler Lampson
• Roger Needham

İlgili konular

• public key infrastructure
• network security crypto
• tls and secure channels

Temel eserler

• anderson2020
• sandhu1996
• saltzer1975

Sıkça sorulan sorular

Çok faktörlü kimlik doğrulama neden bu kadar şiddetle tavsiye edilmektedir?

Parolalar tek başına oltalama, yeniden kullanım ve veri tabanı ihlalleri yoluyla rutin olarak çalınmaktadır. İkinci, bağımsız bir faktörün (bir cihaz veya biyometrik) gerekli olması, çalınan bir parolanın oturum açmak için yeterli olmadığı anlamına gelir ve hesap ele geçirme saldırılarının büyük çoğunluğunu engeller.

RBAC ve ABAC arasındaki fark nedir?

Rol tabanlı erişim kontrolü, kullanıcılara atanan roller aracılığıyla izinler verir, bu da yönetimi basittir. Öznitelik tabanlı erişim kontrolü ise kullanıcı, kaynak ve bağlamın (zaman veya konum gibi) özniteliklerinden kararlar alır, bu da daha fazla karmaşıklık pahasına daha ince taneli, dinamik politikalar sağlar.

Bu kavram için yöntemler

• Zero-Knowledge Proof
• TLS Protocol Analysis
• Digital Signature Scheme
• HMAC
• Intrusion Detection System
• Symmetric Key Cryptanalysis
• RSA Cryptosystem Analysis
• SHA Hash Function

İlgili kavramlar

• Sağlık Bilişiminde Kimlik Doğrulama, Yetkilendirme ve Erişim Kontrolü
• Sistem ve Ağ Güvenliği
• Açık Anahtar Altyapısı
• Anahtar Değişimi ve Kurulumu
• Ağ Güvenliği (Bilgisayar Ağları)
• Web Uygulama Güvenliği