Kimlik Doğrulama ve Yetkilendirme

Kimlik Doğrulama (Authentication):

Kimlik doğrulama, kimlik doğrulama sürecidir ve sistemin güvenliğinden sorumludur. Kullanıcının sistem veya cihazın kendisine ait olup olmadığını kanıtlamak için belirli kimlik doğrulama bilgilerini sağlamasıdır.

Kimlik Doğrulamayı , daha basite indirgemek istersek basit bir kapı giriş kontrolü gibi düşünebiliriz. Düşünelim ki, güvenlikli bir siteye girmek istiyorsunuz. Kapıdaki görevli, sizden bir kimlik bilgisi talep eder. Bu kimlik bilgisi, sizin o siteye ait olup olmadığını kanıtlar.

Kimlik Doğrulama Çeşitleri

1- Kullanıcı adı ve şifre: Basit bir web sitesine giriş yaparken giriş yaparken kullanılan giriş bilgileridir. Genel olarak giriş bilgilerini bilinen bir hesaba herhangi bir cihazdan giriş yapılabilir.
2- Biyometrik veriler: Parmak izi, Yüz tanıma gibi kullanıcının sadece kendisinin giriş yapabileceği güvenli bir kimlik doğrula türüdür.
3- Şifre kartları ve anahtarlar: Genellikle büyük çalışma ofislerinde personellerin yetkileri dahilinde giriş çıkış yapabildikleri bir kimlik doğrulamadır.
4- Çift faktörlü kimlik doğrulama: Bir banka uygulamasına giriş yaparken sadece müşteri numarası ve şifre ile giriş yapmaktan ziyade bu adımı başarıyla geçtikten sonra telefona mobil bankacılıktan gelen doğrulamak kodu ile doğrulamayı iki ayrı faktörde tamamlanmış olunuyor.
5- Sertifikalar ve dijital imzalar: Bir sitenin güvenli bir bağlantı kurulduğunda sitenin SSL/TLS sertifikalarına sahip olup olmadığını kontrol eder.

Kimlik doğrulama çeşitlerine en iyisi dem ek yerine, her biri belirli kullanım alanlarında avantajlar sunar. Örneğin, çok basit bir giriş işlemi için çift faktörlü doğrulamanın gereksiz olabileceği gibi, gizliliğin önemli olduğu bir yerde, örneğin mobil bankacılıkta, sadece kullanıcı adı ve şifre ile giriş yapmak son derece ciddi bir tehdit oluşturabilir.

Yetkilendirme (Authorization):

Kimlik doğrulama sonrasında, kullanıcının veya sürecin belirli kaynaklara erişimine izin verilmesi veya engellenmesi süreci, güvenlik politikalarını uygulayarak ve hassas bilgilere sınırlı erişim sağlayarak gerçekleşir. Her giriş yapan kullanıcının erişim sağlayabileceği kısımlar sınırlı olabileceğinden bu erişim düzenlemeleri bu süreçte yapılır.

Yetkilendirmeyi de daha basite indirirsek yine kimlik doğrulamadaki örneği ele alabiliriz. Site de yaşayan bir kişi aracı varsa otoparka girebilir. Ancak, aracı olmayan biri otoparka giriş yapamaz, çünkü bu alan sadece araç sahiplerine aittir.

Yetkilendirme Çeşitleri

1- Rol Tabanlı Erişim Kontrolü: Kurum içerisinde Yönetici, Personel veya misafir gibi roller belirlenir ve bu yetkilere göre buna göre erişim verilir.
2- Nitelik Tabanlı Erişim Kontrolü : Kullanıcı taşıdığı niteliğe göre yetkilendirir örneğin mali belgelere sadece finans departmanında çalışan biri erişebilir.
3- Kural Tabanlı Erişim Kontrolü: Bir kuruluş tarafından oluşturulmuş kurallardır örneğin belli bir coğrafi bölge içinde şirket kaynaklara erişim veren bir kural oluşturabilir.
4- Zorunlu Erişim Kontrolü: Askeri sistemler kullanılır. Her kullanıcının belirli güvenlik seviyeleri olur ve bu seviyelere göre erişim izinleri belirlenir.
5- Takdiri Erişim Kontrolü: Bir belgesi sahibi olan kullanıcı, o belgenin yetkilendirmesini kendisi yapabilir.
6- Politika Tabanlı Erişim Kontrolü: Bir kurum, belirli bir politikaya uygun olmayan kullanıcıların erişimini kaldıran bir politika oluşturabilir.
7- Geçmiş Tabanlı Erişim Kontrolü: Geçmiş zamanlarda kötü niyetli davranan kullanıcılara belirli bir süre boyunca erişim izinleri kaldırabilir.
8- Rol Tabanlı Dinamik Yetkilendirme: Rol tabanlı erişim kontrolüne benzer olarak kullanıcının iş görevleri ve rolleri değiştikçe gerekli kaynaklara olan erişimleri de güncellenir.