Kimlik doğrulama ve yetkilendirme, güvenlik dünyasında kullanılan iki kelimedir. Benzer görünebilirler ancak birbirlerinden tamamen farklıdırlar. Kimlik doğrulama, birinin kimliğini doğrulamak için kullanılırken, yetkilendirme, birine belirli bir kaynağa erişim izni vermenin bir yoludur. Bunlar iki temel güvenlik terimidir ve dolayısıyla iyice anlaşılması gerekir. Bu konu başlığımızda kimlik doğrulama ve yetkilendirmenin ne olduğunu ve birbirlerinden nasıl ayrıldıklarını ele alacağız.
Kimlik Doğrulama Nedir?
- Kimlik doğrulama, kişinin iddia ettiği kişiyle aynı olduğundan emin olarak birinin kimliğini tanımlama sürecidir.
- Hem sunucu hem de istemci tarafından kullanılır. Sunucu, birisi bilgiye erişmek istediğinde kimlik doğrulamayı kullanır ve sunucunun bilgiye kimin eriştiğini bilmesi gerekir. İstemci, iddia ettiği sunucunun aynısı olduğunu bilmek istediğinde bunu kullanır.
- Sunucu tarafından yapılan kimlik doğrulama çoğunlukla kullanıcı adı ve şifre. Sunucu tarafından kimlik doğrulamanın diğer yolları da kullanılarak yapılabilir. kartlar, retina taramaları, ses tanıma ve parmak izleri.
- Kimlik doğrulama, bir kişinin bir süreç kapsamında hangi görevleri yapabileceğini, hangi dosyaları görüntüleyebileceğini, okuyabileceğini veya güncelleyebileceğini garanti etmez. Çoğunlukla kişinin veya sistemin gerçekte kim olduğunu tanımlar.
Kimlik Doğrulama Faktörleri
Güvenlik düzeylerine ve uygulama türüne göre farklı türde Kimlik Doğrulama faktörleri vardır:
Tek faktörlü kimlik doğrulama, kimlik doğrulamanın en basit yoludur. Bir kullanıcının bir sisteme erişmesine izin vermek için yalnızca bir kullanıcı adı ve şifreye ihtiyacı vardır.
Adından da anlaşılacağı gibi iki seviyeli güvenliktir; dolayısıyla bir kullanıcının kimliğini doğrulamak için iki adımlı doğrulamaya ihtiyaç duyar. Yalnızca kullanıcı adı ve parola gerektirmez, aynı zamanda yalnızca belirli kullanıcının bildiği benzersiz bilgilere de ihtiyaç duyar; ilk okul adı, favori varış noktası . Bunun dışında, OTP'yi veya kullanıcının kayıtlı numarasına veya e-posta adresine benzersiz bir bağlantı göndererek kullanıcıyı doğrulayabilir.
Bu, en güvenli ve gelişmiş yetkilendirme düzeyidir. Farklı ve bağımsız kategorilerden iki veya ikiden fazla güvenlik düzeyi gerektirir. Bu tür kimlik doğrulama genellikle finansal kuruluşlarda, bankalarda ve kolluk kuvvetlerinde kullanılır. Bu, üçüncü taraflardan veya bilgisayar korsanlarından herhangi bir veri ifşa edenin ortadan kaldırılmasını sağlar.
Ünlü Kimlik Doğrulama teknikleri
1. Parola tabanlı kimlik doğrulama
Kimlik doğrulamanın en basit yoludur. Belirli kullanıcı adı için şifre gerektirir. Şifre kullanıcı adıyla eşleşirse ve her iki ayrıntı da sistemin veritabanıyla eşleşirse kullanıcının kimliği başarıyla doğrulanır.
2. Parolasız kimlik doğrulama
Bu teknikte kullanıcının herhangi bir şifreye ihtiyacı yoktur; bunun yerine kayıtlı cep telefonu numarasına veya telefon numarasına bir OTP (Tek kullanımlık şifre) veya bağlantı gönderilir. OTP tabanlı kimlik doğrulama da diyebiliriz.
3. 2FA/MFA
2FA/MFA veya 2 faktörlü kimlik doğrulama/Çok faktörlü kimlik doğrulama, daha yüksek düzeyde kimlik doğrulamadır. Kullanıcının kimliğini doğrulayabilmek için ek PIN veya güvenlik soruları gerektirir.
4. Tek Oturum Açma
Tek seferlik veya TOA tek bir kimlik bilgisi seti ile birden fazla uygulamaya erişim sağlamanın bir yoludur. Kullanıcının bir kez oturum açmasına olanak tanır ve aynı merkezi dizinden diğer tüm web uygulamalarında otomatik olarak oturum açılacaktır.
5. Sosyal Kimlik Doğrulama
Sosyal kimlik doğrulama ek güvenlik gerektirmez; bunun yerine, kullanıcıyı mevcut sosyal ağ için mevcut kimlik bilgileriyle doğrular.
Yetkilendirme Nedir?
- Yetkilendirme, birine bir şeyi yapması için izin verme sürecidir. Bu, kullanıcının bir kaynağı kullanma iznine sahip olup olmadığını kontrol etmenin bir yolu anlamına gelir.
- Bir kullanıcının hangi veri ve bilgilere erişebileceğini tanımlar. AuthZ olarak da söylenir.
- Yetkilendirme genellikle kimlik doğrulamayla birlikte çalışır, böylece sistem bilgiye kimin eriştiğini bilebilir.
- İnternet üzerinden sunulan bilgilere erişim için her zaman yetkilendirme gerekli değildir. İnternet üzerinden erişilebilen bazı verilere, herhangi bir teknolojiye ilişkin bilgileri aşağıdaki adresten okuyabileceğiniz gibi, herhangi bir yetkilendirme olmaksızın erişilebilir. Burada .
Yetkilendirme Teknikleri
Kullanıcılara organizasyondaki rollerine veya profillerine göre RBAC veya Rol tabanlı erişim kontrolü tekniği verilir. Sistemden sisteme veya kullanıcıdan sisteme uygulanabilir.
JSON web token veya JWT, verilerin taraflar arasında JSON nesnesi biçiminde güvenli bir şekilde iletilmesi için kullanılan açık bir standarttır. Kullanıcılar özel/genel anahtar çifti kullanılarak doğrulanır ve yetkilendirilir.
SAML'nin açılımı Güvenlik Onayı Biçimlendirme Dili. Servis sağlayıcılara yetkilendirme kimlik bilgileri sağlayan açık bir standarttır. Bu kimlik bilgileri dijital olarak imzalanmış XML belgeleri aracılığıyla paylaşılır.
İstemcilerin, kimlik doğrulama temelinde son kullanıcıların kimliğini doğrulamalarına yardımcı olur.
OAuth, API'nin kimlik doğrulamasını ve istenen kaynaklara erişmesini sağlayan bir yetkilendirme protokolüdür.
Kimlik Doğrulama ve Yetkilendirme arasındaki fark tablosu
| Kimlik doğrulama | yetki |
|---|---|
| Kimlik doğrulama, bir sisteme erişim sağlamak için bir kullanıcıyı tanımlama işlemidir. | Yetkilendirme, kaynaklara erişim izni verme işlemidir. |
| Bunda kullanıcı veya istemci ve sunucu doğrulanır. | Burada tanımlanan politika ve kurallar üzerinden kullanıcıya izin verilip verilmediği doğrulanır. |
| Genellikle yetkilendirme öncesinde gerçekleştirilir. | Genellikle kullanıcının kimliği başarıyla doğrulandıktan sonra yapılır. |
| Kullanıcının kullanıcı adı ve şifresi gibi oturum açma bilgilerini gerektirir. | Kullanıcının ayrıcalığını veya güvenlik düzeyini gerektirir. |
| Veriler Token Kimlikleri aracılığıyla sağlanır. | Veriler erişim belirteçleri aracılığıyla sağlanır. |
| Örnek: Oturum açma ayrıntılarının girilmesi, çalışanların kurumsal e-postalara veya yazılıma erişimde kimlik doğrulaması yapması için gereklidir. | Örnek: Çalışanlar kendilerini başarıyla doğruladıktan sonra yalnızca rollerine ve profillerine göre belirli işlevlere erişebilir ve bunlar üzerinde çalışabilirler. |
| Kimlik doğrulama bilgileri, gereksinime göre kullanıcı tarafından kısmen değiştirilebilir. | Yetkilendirme izinleri kullanıcı tarafından değiştirilemez. İzinler kullanıcıya sistemin sahibi/yöneticisi tarafından verilir ve bunu yalnızca o değiştirebilir. |
Çözüm
Yukarıdaki tartışmaya göre, Kimlik Doğrulamanın kullanıcının kimliğini doğruladığını ve Yetkilendirmenin kullanıcının erişimini ve izinlerini doğruladığını söyleyebiliriz. Kullanıcı kimliğini kanıtlayamazsa sisteme erişemez. Doğru kimliği kanıtlayarak kimliğiniz doğrulanırsa ancak belirli bir işlevi gerçekleştirme yetkiniz yoksa, buna erişemezsiniz. Ancak her iki güvenlik yöntemi de sıklıkla birlikte kullanılmaktadır.