Ana içeriğe atla

Kimlik kanıtlamada biyolojik verilerin kullanılması

Güvenli olmayan iletişim kanallarını kullanıp güvenli veri alış verişi yapmak hepimizin isteği. İnternet ve GSM şebekeleri üzerinden yapacağımız haberleşmelerde taraflardan biri olduğumuzu kanıtlamak için kullanıcı adımızın yanında (en az) bir de parola kullanıyoruz. Benzer şekilde banka kartlarımızı yetkisiz bir şekilde eline geçirenlerin de sadece bizim bildiğimiz pin kodunu kartlarla birlikte kullanması gerekiyor. Banka kartlarının diğer kimlik kanıtlama işlemlerinden çok daha az karakterli (4 ile 6 karakter arasında) pin kodlarına izin vermesi ciddi bir sorun oluşturmuyor çünkü deneme yanılma yöntemini kullanmak için çok az (3-4) denemeye izin veriyorlar.

Kırılamayacak parolalar kullanmak gerçekten kolay iş değil (bu konuda daha ayrıntılı bir yazı okumak isteyenlere Murat Demirten'in çok güzel bir yazısını öneririm). Kimlik kanıtlama servisleri bizim iyi parolalar seçmeyeceğimizin farkında olduklarından uzun zamandır başka çözümler peşindeler. İki farklı kanalı kullanarak kimlik kanıtlaması yaptırmak en yaygın kullanılan yöntem. Madem internet bağlantısı güvenli değil, o zaman onu aynı zamanda gsm ile de doğrulamak güvenliği arttırabilir elbette. Tabi biri hem cüzdanınızı hem de cep telefonunuzu ele geçirmişse ve parolalarınızı da biliyorsa veya bulmuşsa bu mekanizmayı da atlatabilir ama tek kanallı kimlik doğrulamadan daha güvenli olduğu da bir gerçek. Konudan biraz uzaklaşıp 'her anahtarın açtığı kilit' haberine bakmak isteyebilirsiniz belki burada ;)

Bir diğer yöntem de kullanıcılara anahtarlığa bile takılabilecek boyutlarda olan ve kısa süreli geçerliliği olan parolalar üretecek cihazlar vermek. Bir dönem bir çok bankacılık sisteminde vardı ama hala kullanılıyor mu bilemiyorum. Cihazın fiziki güvenliğini sağlayabilecekseniz iyi bir çözüm gibi duruyor bu uygulama da.

Hangi yöntemi kullanırsak kullanalım parolalarımızı düzenli aralıklarla yenilememiz saldırganların işini zorlaştıracak bir önlem olacaktır. Aynı anahtarla şifrelenmiş çok sayıda şifreli metin üzerinden yapılabilecek saldırılara bir önlem olacaktır bu işlem. Elbette şifreleme yöntemleri sadece anahtar denemesi yapılarak kırılmıyorlar ama konuyu dağıtmamak için bu konuya girmiyorum.

Kimlik kanıtlamada kullanacağımız parolanın yeniden üretilemez, taklit edilemez bir bilgi olması başta çok cazip görünse de pratikte uygulaması oldukça zor. Parmak izimiz, avuç içi izimiz veya retina görüntümüzün taklit edilemediğini biliyoruz, en azından bugünün bilgisiyle böyle kabul ediyoruz. Durum böyle olunca kapıları açmak için anahtar kullanmak yerine retina taraması yaptırmak veya kredi kartı kullanırken parmak izini okutmak çok parlak bir fikir gibi görünüyor çoğunluğa. Benim çevremde bile cep telefonlarının ekran kilitleri için bile 4 karakterli pin girmek veya bir deseni çizmek yerine parmak izini cihaza okutan çok tanıdığım var.

Peki kimlik kanıtlama verilerimiz nasıl saklanıyor? Yıl 2017 oldu ama hala kullanıcı adı ve karşılık gelen parolayı düz metin olarak saklayan çok fazla yer var maalesef. Eğer bir internet adresi 'parolamı unuttum' linkine tıkladığınızda size parolanızı eposta ile gönderebiliyorsa parolanızı düz metin olarak sakladığından emin olarak o adresten arkanıza bakmadan uzaklaşmanız gerektiğini söyleyebiliriz. Aklı başında olanlar kimlik kanıtlamada kullandığımız verileri veritabanlarında gölgelenmiş, şifrelenmiş olarak saklıyorlar. En kötü senaryo olan saldırganların bu bilgilere ulaşması durumunda bile parolalarımızın gölgelenmiş hallerinin ele geçirilebileceği kabul edilerek güvenlik önlemi alınmış oluyor. Saldırganların hesaplarımıza erişmesi için mutlaka bu gölgelenmiş, şifrelenmiş verileri geri döndürmesi de gerekmiyor çoğu durumda. Bir sözlük atağı ile parolamızı belirlemeleri bir çok durumda mümkün oluyor. Kırılamayan şifreleme yöntemi diye bir şeyin olmadığını aklımızda tutarak bu şifrelenmiş parolaları ele geçirenler karşısında sonsuz güvenliğimiz olmadığını kabul edelim.

İnternet sitelerinde ne kadar önlem alınırsa alınsın parolaların bir şekilde ele geçirilebildiğinin haberlerini hepimiz sıklıkla duyuyoruz. Yahoo'dan Sony'ye varana kadar bir çok şirketin kullanıcı bilgilerini çaldırdığı hakkında haberler okumuş olmalısınız. Hatta bütün vatandaşların TC Kimlik bilgilerinin internetten indirilebilir olduğu haberleri de defalarca yapıldı. Bir sitenin parolaları saldırganlarca ele geçirilmişse mümkün olduğunca çabuk parolalarımızı yenilememizi öneren bir epostalar alıyoruz. Burası çok kritik aslında. Böyle bir eposta alınca '12345' olan parolamızı daha güvenli diyerek '123456' ile değiştirebiliyoruz ama ya ele geçirilen şey parmak izimiz, avuçiçi izimiz veya retina bilgimiz olursa ne yapacağız? Onları değiştiremeyecek olduğumuzu biliyoruz. Eğer kırılan şey bize parola üreten cihaz olsa onun yenilenmişini almak veya parola değiştirmek zaten çok kolay bir şeyler ama değiştiremeyeceğimiz biyolojik verilerimiz başkalarının eline geçtiğinde ne yapacağız? Parmak izimiz çalınınca retina taramasına mı geçeceğiz?

Bizi çaresiz bırakacak bir uygulama olan biyolojik verilerin kimlik kanıtlamada kullanılmasının en kısa sürede önüne geçmek gerekir. Böyle kimlik kanıtlaması yapan hizmetleri kullanmamak, varsa diğer yöntemleri denemek en doğru hareket olacaktır. Bunun ilk adımı olarak telefonlarınıza parmak izi bilginizi kesinlikle vermeyin.

Bu blogdaki popüler yayınlar

Bilgisayar mühendisliği öğrencilerine tavsiyeler

Üniversite tercihlerinin pek azı gerçekten bilerek, isteyerek yapıldığından öğrencilerin bölümlerini tanımaları, kendilerine bir yön belirlemeleri bazen bir iki yılı bile bulabiliyor. Elbette bir günlük girdisiyle bu sorunu çözmek mümkün değil ama yolun başındaki genç arkadaşlar için bir kaç önerinin faydalı olacağını düşünüyorum. Aşağıda yazanların benim onbeş yıllık tecrübelerim olduğunu, bunları yapmanın iyi geleceği bünyeler olduğu gibi bunları yapmadan da başarılı/mutlu olanlar olabileceğini bilip öyle okumakta fayda var.
Üniversite hayatını sadece okuldan ibaret görmeyin. Mezun olduktan sonraki hayatınız da sadece işten ibaret olmayacak. En çok kitap okuduğunuz, müzik dinlediğiniz yıllar üniversite yıllarınız olsun. Üniversitelerde bir sürü öğrenci topluluğu var, ilginizi çeken birine katılın. Beğenmezseniz başkasına katılırsınız. Sosyal faaliyetleri, konserleri küçümsemeyin pişman olursunuz sonra.Lisans eğitimi dört yıl ve bu yeterince uzun bir süre. Üniversiteye gelene kadar bi…

SHA1'in kırılması ne anlama geliyor?

İnternette güvenlik, gizlilik, bütünlük gibi konular çoğunlukla bizim üzerinde pek düşünmediğimiz ve kullandığımız yazılımlar tarafından halledilen konular arasında yer alıyor. Örneğin internette bankacılık işlemi yaparken bağlandığımız sunucu gerçekten bağlanmak istediğimiz sunucu mu, gönderip aldığımız verileri araya giren birileri ele geçirip ondan bir anlam çıkartabiliyor mu diye düşünmüyoruz. Bu işlemleri tarayıcımız bizim yerimize yapıyor. O da verilerin şifrelenmesi ve sunucuların doğrulanması gibi işlemleri kriptografik protokolleri kullanarak gerçekleştiriyor. Benzer şekilde kullandığınız programlar güncellemeleri indirdikten sonra onların bozulmadan indiğini kontrol etmek için benzer kriptografik araçları arka planda çalıştırıyorlar.

Kriptografinin diğer kullanım alanlarının yanı sıra veri bütünlüğünün kontrol edilmesi de hepimiz için büyük önem taşıyor. Bu işlem için dosya içeriklerini kontrol etmek yerine onların tek yönlü fonksiyonlar kullanılarak özetleri çıkartılıyor ve…

Yerli yazılım, Milli yazılım

Ülkemizin olabildiğince çok konuda dışa bağımlı olmaması hepimizin isteği. Elbette her şeyi yurt içinde üretemeyiz ama eğer bir ürünün yurt dışından kullanılması ülkenin kaynaklarının dışa aktarılması anlamına geliyorsa veya o ürünü geliştirmek için dışa bağımlı oluyorsak onu kendimizin üretmesi anlamlı olacaktır. Ülke menfaatleri açısından bakıldığında bazen dışarıdan daha ucuza alınabilecek bir ürünü yurt içinde üretmek onun sağlayacağı katma değerler göz önüne alındığında daha faydalı olabilir. Güvenlik, gizlilik gibi konuların yanı sıra bir ülke vatandaşı için kullandığı ürünlerin çoğunun kendi ülkesinde üretildiğini bilmek bile önemlidir.

Uzun zamandır özgür yazılımı anlatmaya gittiğim yerlerde 'neden yabancıların yazılımlarını kullanıyoruz da kendimiz yazmıyoruz' sorusuyla karşılaştığımdan bu konuda kısaca yazayım istiyorum. Bu bahsettiğime çok benzer tepkileri Pardus hakkında da sıklıkla duyuyorduk, 'neden milli çekirdek yok, neden kendi ofis paketimizi yazmıyoruz&#…