IT Blog

Azure Active Directory Passwordless Authentication Nedir?

25.08.2022
134
Azure Active Directory Passwordless Authentication Nedir?

Günümüzde, kimlik avı dediğimiz kavram ile birçok kuruluşu ve kuruluş içerisinde bulunan kullanıcıların kimlik bilgilerini hedef alan dış tehlikeler bulunmakta. Bu tehlikelere karşılık BT yöneticileri veya herhangi bir BT uzmanı kullanıcıların kimlik bilgilerini koruma altına almak için gerekli güvenlik ilkeleri uyguluyor. Bugüne kadar standartlardan şaşmayıp kullanıcılara güçlü şifreler belirlemelerini veya kendi tarafımızdan birçok özel karakter içeren parola belirlemelerini sağlıyoruz. Fakat her ne olursa olsun bu gibi ilkelerin karşımıza birçok dezavantaj olarak çıktığını görebiliyoruz.

Örnek olarak, kullanıcının bilgisayarını açarken kullandığı uzun ve karmaşık parolası mevcut. Kullanıcı öğle yemeğine çıkarken oturumunu kilitledi ve geldiğinde atması gereken çok önemli bir e-postası var ya da şirket içinde kullanılan uygulamada yapması gereken çok acil bir iş var ve şifresini unuttu. Bu örneğe karşılık hem kullanıcının işinin aksamasını hem de bir BT çalışanının gereksiz yere maliyet veya efor sarf etmesini dezavantaj olarak gösterebiliriz.

Teknoloji ne kadar gelişirse bir saldırganın da elinde bulunan teknolojilerde gelişmektedir. Bu demek oluyor ki, artık kullanıcılarımıza ne kadar karmaşık veya ne kadar uzun parolalar belirlersek belirleyelim, bir saldırgan tarafından bu parola kopyalanabilir. Saldırganlar kullanıcıların kimlik bilgilerini kopyalamakla kalmayıp, birçok kimlik avı türleri ile kuruluş içerisine sızabiliyor. Bu açıklamaya kısa bir örnek göstermek gerekirse, kullanıcı iş esnasında çok tanıdık bir e-posta alıyor ve bu e-postanın içerisinde bir link mevcut. Örnek olarak linki açıklamasında “Şifrenizin süresi dolmuştur. Lütfen aşağıdaki linkten yenileyiniz.” Gibi bir uyarı bulunmakta. Kullanıcı bu uyarıyı BT uzmanları tarafından gönderildiğini zannedip, üzerine tıkladığında bu e-postayı ileten saldırgan kullanıcının kimlik bilgilerine erişebilmesi mümkündür.

Bu gibi bilgilerin ardından kimlik avı türlerinden bahsedelim.

Clone Phising (Kopya Oltalama): Bir saldırgan önceden gönderilen bir e-postayı normal bir ileti olarak gösterip, içerisinde zararlı ek bulunduran farklı bir iletiye kopyalar. Bu ileti ile kullanıcıya daha önceden gönderilen iletinin süresinin dolduğunu iddia ederek yeni ileti üzerinden saldırmaya çalışır.

Spear Phising (Hedefli Oltalama): Hedefli oltalama dediğimiz bu saldırıda, genellikle tanınmış bir kişiye ya da bir kuruluşa belirlenmiştir. Bu saldırı tanınmış bir kişiye veya kuruma gönderildiği için, diğer türlerden daha karışıktır. Saldırgan, saldırıyı hedef aldığı kişi üzerinden özel bilgilere (isim, soy isim, ev adresi vb.) sahip olarak, bu bilgilere esasen hedef aldığı kişiyi zararlı bir linke ziyaret ettirmeye veya zararlı bir dosyayı indirmesine ikna etmeye çalışabilir.

Whaling (Balina Avı): Bu saldırı örneğinde saldırgan, herhangi bir siyasetçiyi veya tanınmış varlıklı bir kimseyi hedef almaktadır.

Reklamlar: Bu tip saldırılarda genelde kullanıcıların yatırım hesaplarıyla alakalı bilgileri ele geçirilmeye çalışılır.  Paralı reklamlar olarak gördüğümüz Phising türünün bir diğer benzeridir. Sizleri bir şey satın almaya zorlayan veya e-postanıza gelen alışveriş siteleri gibi görünen zararlı reklamlar olarak adlandırabiliriz.

Zararlı Uygulamalar: Saldırganlar genelde bu tip saldırıda kripto ve e-ticaret işlemlerine merak saran kişilere saldırırlar.  Bu uygulamalarla kullanıcı tarafına kötü amaçlı yazılım bulaştırmak ve kullanıcının hassas bilgilerini çalmak için kullanabilir.

Watering Hole (Su Kaynağı): Saldırganlar bu saldırılarında, kullanıcının en çok ziyaret ettiği siteyi takip ederler. Bunun sonucunda o sitelere zararlı kodlar yerleştirip, kullanıcı tarafına zarar verebilir.

Yaşadığımız bu dünyada kullandığımız tüm elektronik aletlere dışarıdan erişim sağlanabilir.  Telefonumuza gönderilen bir SMS de bile göndericiye hassas bilgilerimizi farkında olmadan iletmiş bulunabiliriz.

Bu gibi tehlikeli durumlardan kaçınmak için kuruluşumuz içerisinde bulunan kullanıcılara hatta yöneticilere bile tehlikeli durumlarda nasıl hareket edilmesi gerektiği öğretilmesi gerekir. Saldırganların öncelik hedefleri bir kuruluşun yöneticileri olabiliyor. Bir yöneticiye yapılacak saldırının kurtarılması sonucunda, kuruluşun birçok önemli kaynağını kurtartmış oluruz.

Bu açıklamaların ardından kullanıcı adı ve parola olmadan oturum nasıl açılır? Sorusunu sorabilirsiniz. Günümüzde gelişen teknolojiyle beraber artık kullanıcı adı ve parolaya gerek kalmadan kullanıcı istediği uygulamaya veya bilgisayarına erişebilir.

Sizlere Azure Active Directory Passwordless Authentication (Parolasız kimlik doğrulama) kavramından bahsedeceğim.

Microsoft dahil ve diğer dış kaynaklar Azure AD Passwordless Authentication stratejisi ile kullanıcı adı ve parolayı devre dışı bırakıp, güvenli oturum açmak için kullanıcı adı ve parola gereksinimini ortadan kaldırmayı hedefliyor. Aklınıza parola olmadan oturum mu açılır? Sorusu gelebilir.  Bu esnada devreye Azure AD Passwordless Authentication giriyor.

Azure AD Passwordless Authentication, bir kullanıcının herhangi bir kullanıcı adı veya parola gereksinimi duymadan, kullandığı uygulamalara veya bilgisayarında oturum açmasına parolasız kimlik doğrulama diyebiliriz.  Bilgisayarın kamerası desteklediği taktirde yüz okuma veya dış bir cihaz tarafından yüz okuması, telefona indirilen uygulama üzerinden sağlanan kimlik doğrulama yöntemlerine örnek verilebilir.  Bilgisayarın parmak izi özelliği ile veya farklı bir parolasız kimlik doğrulama ile oturum açmak, kullanıcı adı ve parola ile oturum açmaktan daha güvenilirdir.

Azure AD Passwordless Authenticaiton üç farklı Authentication türü sunmaktadır.

Microsoft Authenticator: IOS ve Android işletim sistemlerine sahip telefonların desteklediği bu uygulama üzerinden, kullanıcı kimlik bilgilerini ekleyip oturum açabilir. Bu uygulamanın kullanılış biçimi, kullanıcı Office 365 hesabına erişim sağlarken uygulama üzerine “Oturum açma işlemi onaylansın mı?” sorusu gönderiliyor. Kullanıcı uygulamayı açıp “Onayla” butonuna tıkladığı taktirde erişim sağlanıyor. Kullanıcı, “Parolamı unuttum” gibi dertleri azalmış ve oturum açma işlemi biraz daha hızlanmış oluyor.

FIDO2 Güvenlik Anahtarları: FIDO2 sayesinde kullanıcılar yine kullanıcı adı ve parola olmadan biyometrik, USB ve NFC gibi pratik yollar ile oturum açma işlemi gerçekleştirebilirler. FIDO2 genellikle USB cihazlardır, fakat Bluetooth ve NFC olarak da kullanılabilir. FIDO2 özelliğinin bir avantajı ise, Azure AD üzerinde veya Hibrit Azure AD’ ye katılmış Windows 10 makineler ile bulutta veya şirket içi uygulamalarda çoklu oturum açma hizmeti sorunsuz çalışmaktadır. FIDO2 güvenlik anahtarı satın almak için aşağıda isimlerini belirttiğim sağlayıcılardan ulaşabilirsiniz.

FIDO2 ile USB: Sağlayıcı tarafından elde edilen tıpkı bir USB belleğe benzeyen yapısı ile, bilgisayarımızın USB portuna girişini yaparak, belirli özellikleriyle oturum açabilmemizi sağlayan dış kaynaktır.

FIDO2 ile NFC: NFC, hem akıllı telefonlar hem de bilgisayarlar için ortaya çıkarılmış bir üründür. Bu ürün ile iki cihazı birbirine yakın mesafede tutarak etkileşim sağlanabilir.

FIDO2 ile Bluetooth Biometric: Sağlayıcı tarafından elde edilen cihaz bilgisayara takılır ve bluetooth ile etkileşim sağlanır. Gerekli konfigürasyonlar sağlandıktan sonra cihaz ile yüz tanıma yöntemi ile oturum açma sağlanabilir.

AuthenTrend: https://authentrend.com/about-us/#pg-35-3

Ensurlink: https://www.ensurity.com/contact

Excelsecu: https://www.excelsecu.com/productdetail/esecufido2secu.html

Feian: https://shop.ftsafe.us/pages/microsoft

Fortinet: https://www.fortinet.com

Gotrustıd Inc.: https://www.gotrustid.com/idem-key

Hipersecu: https://www.hypersecu.com/hyperfido

Kensington: https://www.kensington.com/solutions/product-category/why-biometrics/

Yubico: https://www.yubico.com/solutions/passwordless/

Daha fazlasına Microsoft’ un sitesinden ulaşabilirsiniz.

İş İçin Windows Hello: Bir diğer parolasız oturum açma örneklerinden olan Windows Hello ile, kullanıcı tek bir hareket ile veya dış bir cihaz kullanıp, biyometrik, parmak izi ve PIN gibi kimlik doğrulama yöntemleri ile oturum açabilirler. Burada ki öncelikli avantaj, kullanıcı örnek olarak tek bir hareket ile veya yüz tanıma ile oturum açabileceğinden, önceden giriş sağladığı parola girişinden daha hızlı ve daha güvenilir şekilde oturum açabilecektir.

Açıklamaların ardından kısa bir bilgi geçmek gerekirse, bu özellikleri Windows 10 ve Windows 11 makineler karşılayabilmektedir. FIDO2 ve Windows Hello özelliklerini biyometri ve parmak izi gibi özellikleri ile kullanmak istiyorsanız, dış bir cihaza sahip olmanız gerekmektedir.

Not: Passwordless Authentication hizmetlerinden yararlanmak için ek bir ücrete gerek yoktur, fakat bazı önkoşullar için P1 veya P2 lisanslamaya tabi olabilir.

Passwordless Authentication hizmetini Azure portalı üzerinden Azure Active Directory kısmından görebiliriz. Portal’ a giriş yapıp, Azure Active Directory kısmını açıyorum.

Resim-1

Ardından, sol tarafta bulunan pencerede Security tabını açıyorum.

Resim-2

Kullanıcılarım için Authentication Methods (kimlik doğrulama yöntemleri) belirleyeceğim için Authentication Methods ekranına geliyorum.

Resim-3

Gelen ekranda FIDO2 Security Key ve Microsoft Authenticator hizmetlerini göreceksiniz.

Resim-4

Kullanıcı ayarları yapılandırmak için tercihe bağlı işlem yapacağınız Authentication hizmetini seçerek, içeriğinde konfigürasyon yapabilirsiniz. Aşağıdaki ekranda Microsoft Authenticator seçeneğini seçerek ilerledim. Burada hizmeti aktifleştirmek için Enable butonunu Yes olarak işaretlememiz gerekmektedir. Target seçeneğinde ise, dilediğiniz kadar kullanıcı, grup ya da All Users seçeneği ile ortamda bulunan tüm kullanıcılara bu özelliği uygulayabilirsiniz.

Resim-5

Yapılan işlemler tamamıyla lab ortamı gereği deneme amaçlıdır. Kuruluş içerisinde tercihe bağlı ya da ihtiyaca göre hareket edilmelidir. Günümüzde tehlikeli kimlik avı saldırılarından koruma yöntemi olarak Microsoft Azure Active Directory bizlere birçok Authentication hizmeti sunuyor. Kimlik bilgilerinizi koruma altına almak için bu hizmetlerden yararlanabilirsiniz.

BİR YORUM YAZIN

ZİYARETÇİ YORUMLARI - 0 YORUM

Henüz yorum yapılmamış.

Copyright © 2022 Omer DURAN