[TR] Authentication Zafiyeti

[TR] Authentication Zafiyeti

Öncelikle herkese merhaba , bu yazı da sizlere Authenticationın ne olduğunu neden kullanılması gerektiğini ve Authentication zafiyetinin ne gibi sonuçlar doğurabileceğinden bahsedeceğim.

Authentication
Authentication

Authentication Nedir ?

Günlük hayatımız da önemli sınava , kuruma , işletmeye vb. yerlere girerken o kişinin doğrulanması açısından kimlik belgesini kontrol ederek kimliğini doğrulaması gerekir. Bu sistemin yani “kimlik doğrulama” sisteminin internet ortamındaki haline Authentication denir.
Peki Authentication nedir ? Authentication yani kimlik doğrulama bir sisteme giriş yaparken sisteme giriş yapan kişinin o kişi olup olmadığını kanıtlama işlemidir. Bu işlem şu şekilde gerçekleşir kullanıcı sisteme giriş yaparak kullanıcı adı ve parolasını girdikten sonra kullanıcının gönderdiği bu bilgiler kullanıcı verilerinin tutulduğu veri tabanı veya veri sistemlerine giderek kullanıcı adı ve parolayı karşılaştırdıktan sonra kimlik doğrulama yaparak onay verir. 5 çeşit kimlik doğrulama yöntemi vardır.

  • Tek Faktörlü Kimlik Doğrulama : Bu yöntem en zayıf olan kimlik doğrulama yöntemidir. Yalnızca tek bir kimlik doğrulama yöntemi kullanılır. E-ticaret , banka gibi önemli sistemlerin kullanılması önerilmez.
  • İki Faktörlü Kimlik Doğrulama : Kimlik doğrulama yöntemlerinden iki tanesinin kullanıldığı doğrulama yöntemidir. Örneğin bir online alışveriş yapmak istediğimiz zaman banka uygulamamıza gelen şifre ve ardından mesaj olarak gelen şifre kullanılarak giriş yapılan kimlik doğrulama yöntemleridir.
  • Çok Faktörlü Kimlik Doğrulama : İkiden daha fazla kimlik doğrulama faktörünün kullanıldığı yöntemdir. Bu yöntem çok daha güvenilirdir.
  • Güçlü Kimlik Doğrulama : Gizliliğin çok önemli olduğu veya yasal olarak girilecek olan sistemlerde kullanılan yöntemdir. Sistem yetkilileri tarafından verilecek olan iki veya daha fazla bilginin doğrulanarak girildiği kimlik doğrulama yöntemidir.
  • Devamlı Kimlik Doğrulama : Geleneksel kimlik doğrulama yöntemlerinde ilk girişlerde kimlik doğrulama işlemi yapılır. Devamlı kimlik doğrulama yönteminde ise kullanıcı ilk kimlik doğrulama işlemini yaptıktan sonra gerekli yöntemleri kullanarak kullanıcını takip edilir. En güvenilir kimlik doğrulama yöntemidir.

 

OWASP

OWASP (Open Web Application Security Project) WEB uygulamalarındaki güvenlik açıklarını inceleyen bunların kapatılmasını ve web uygulamalarının korunması için çalışmalar yapan özgür bir topluluktur. OWASP birçok firma ve web uygulamalarını inceledikten sonra bilgiler toplayarak ve bu bilgileri analiz ettikten sonra o yıla ait TOP 10 zafiyet listesini çıkarmaktadır.

Owasp Logo
Owasp Logo

 

Biz bu yazımızda OWASP TOP 10 listesinde 2.sırada yer alan Broken Authentication’u (Kimlik Doğrulama Zafiyetleri) inceleyeceğiz.

Kimlik doğrulama zafiyetleri iki başlık altında incelenir:

  1. Yetersiz Kimlik Doğrulama (Broken Authentication ) : Bu kimlik doğrulama zafiyetinin ortaya çıkma nedeni genellikle kimlik doğrulama yönteminin saldırganın eline geçmesidir. Peki bu saldırıları nasıl yapıyorlar ?
  • Kaba Kuvvet Saldırıları (Brute Force) : Saldırganın internetten çok kolay bir şekilde elde edebileceği sık kullanılan parola listelerini kullanarak yapmış olduğu saldırıdır. Genellikle bu saldıralar belirli toollar kullanılarak gerçekleştirilmektedir. Kaba kuvvet saldırılarından etkilenmemenin yollarından biri zor tahmin edilen çok sık kullanılmayan(doğum tarihi , evcil hayvan adı, art arda aynı harflerin kullanılmaması gerekir) şifreler kullanmaktır.
  • Kullanıcı Bilgileri ile Giriş : İnternette bulunan kullanıcı adı ve parola listelerini alıp çeşitli toollar kullanarak giriş yapma denemesidir. Kullanıcıların aynı kullanıcı adı ve parola kullanma alışkanlıkları sayesinde zaman zaman başarı sağlayabilmektedirler.
  • Oturum Çalma : Sisteme giriş yapan kullanıcıya verilen bir id vardır ve kullanıcı tekrar giriş yapmak istediğinde sisteme kayıt olan bu id sayesinde tekrar giriş yapmasına gerek kalmaz ve kullanıcı sistemden çıkış yaptıktan sonra saldırganın trafiği izleyerek kullanıcının bilgilerini ele geçirmesidir. En yaygın oturum çalma saldırıları:– Oturum bilgisini tahmin etmek,– XSS, zararlı yazılım JavaScript kodları gibi kodlarla istek atarak.– Ortadaki adam saldırısı yaparak
  1. Hatalı Kimlik Doğrulama (Improper Broken ) : Kullanıcı adları ve parolalarının  sistem tarafından güvenle tutulması büyük önem taşır. Bu bilgiler güvenle tutulmadığı zaman saldırganlar tarafından kötü amaçlı kullanabilmektedir.
    Kullanıcı adı ve parolası girildikten sonra sistem kimlik doğrulamayı doğru bir şekilde yapamadığı zaman bu hata ortaya çıkmaktadır. Saldırgan bu yöntemleri kullanarak yetki yükseltme, önemli bilgileri dışarı çıkarma, kod çalıştırma gibi bir çok zararlı aktivite yapabilir. Hatalı kimlik doğrulama yöntemlerinden korunmak için neler yapmalıyız ?
    Web sitemizin veya web uygulamalarımızın bu saldırılarından etkilenmemesi için güçlü parolalar koymalıyız. Sitemizin veya uygulamamıza gerekli bakımları yaparak kimlik doğrulama faktörünü güçlendirerek bu zafiyetin önüne geçebiliriz.

Bu yazımız da Authentication Broken (Kimlik Doğrulama Zafiyetini) gördük bu zafiyetten kurtulmanın en önemli yollarından biri de güçlü parolalar kullanmaktır. Şimdi gelin güçlü parola özelliklerine bakalım :

1. Maksimum Karakter Sayısı en önemlilerinden biridir. Parolamız minimum 8 karaktere sahip olmalıdır. Böylece saldırganlar tarafından tahmin edilmesi çok daha zorlaşacaktır.

2. Şifremizin sadece rakam ve harflerden değil özel karakterler kullanılarak oluşturulması gerekir.

3.Şifremizi oluştururken doğum tarihimiz , adımız, soy adımız gibi kolay tahmin edilebilecek kişisel bilgiler koyulmaması daha sağlıklı olacaktır.

4.Art arda gelen rakam, harf gibi tekrarlanan şifreler kolayca tahmin edildiği için buna dikkat edilmelidir.

 

Sık Kullanılan Kimlik Doğrulama Uygulamaları

Captcha : Google tarafından çok sevilen bu kimlik doğrulama yöntemi giriş yapılan cihazın spam olup olmadığını test ederek kimlik doğrulama yapmaktadır. Böylece en önemlisi kaba kuvvet saldırısı olan birçok saldırı engellenmiş olur. Peki Captcha kaba kuvvet saldırısını nasıl engeller kısaca bahsedelim. Kaba kuvvet saldırısı saldırgan tarafından art arda toollar kullanarak istek gönderilmesidir. Captcha toolların çözemeyeceği soruları yönelterek gelen giriş isteğinin spam olduğunu anlayıp bu saldırıları önlemektedir.

 

Captcha
Captcha

 

Google Authenticator : Google tarafından yapılan bu uygulama giriş yapmak istediğimiz sisteme girdikten sonra mobil uygulamamıza gelen kodu sisteme yazarak kimlik doğrulama yapmaktadır. Çift faktörlü doğrulamaya örnek verilebilmektedir.

Google Authenticator
Google Authenticator

Microsoft Authenticator : Microsoft tarafından sunulan bu uygulama Google Authenticator ile aynı işlevi yapmaktadır. Giriş yaptıktan sonra bize gönderilen kod sayesinde güvenli bir şekilde uygulamamıza girebiliriz . Microsoft Authenticator’de çift faktörlü doğrulamaya örnek olarak verilebilir.

 

Resources