İnternette kullandığımız parolalar, sanal güvenlik zincirinin en zayıf halkası mı?
24 Aralık 2009 Perşembe, 01:46
İnternette kullandığımız parolalar, bazen çevrimiçi güvenlik zincirinin en zayıf
halkası olurlar. Kullanıcılar sıklıkla kolayca tahmin edilebilecek parolalar kullanırlar ya da parolalar iyi korunmaz. Bunun yanında zorluk seviyesi yüksek parolalarla bile akıllı kart veya parmak izi tanıma gibi ilave uygulamalar kullanmak gerekebilir.
ABD’de yeni kurulan Delfigo Güvenlik şirketi, parola güvenliğini basit bir
yöntemle güçlendirecek bir çözüm üretti. Şirketin geliştirdiği yazılım, kullanıcının her tuşa nasıl bastığı gibi, bazı ipuçlarını kaydederek ilave bir
işlem yapılmaksızın parola güvenliğine yeni bir güvenlik katmanı ekliyor.
DSGateway adı verilen yazılım, var olan bir kimlik doğrulama sistemiyle
kolayca birleştirebiliyor. Kullanıcı, adını ve parolasını girince, yazılım kullanıcının parolasını nasıl girdiği, kullandığı sistem konfigürasyonu ve coğrafi konumu gibi bazı bilgileri kaydediyor. Onaylama tuşuna basıldığında, tüm bilgiler web sunucusuna gönderiliyor, parola ve kullanıcı adı doğruysa, sunucu diğer bilgileri Delfigo’ya gönderiyor. Şirketin yazılımı gelen bilgilerin kullanıcının kalıplarına ne kadar uyduğunu hesaplıyor. Yazılım kısa bir veri toplama süreci sonucunda her kullanıcı için 14 farklı değişkeni içeren kayıtlar tutuyor. Şirketin başkanı Ralph Rodriguez, yazılımın ana algoritmalarını Massachusetts Teknoloji Enstitüsü’nde araştırmacı olarak çalışırken
geliştirmiş. Rodriguez geliştirdiği bu yöntemde çeşitli değişkenlerin
kaydedilmesinin kullanılabilirlik kaybedilmeden güvenliğinin sağlanması
için çok önemli olduğunu söylüyor.
Örneğin kullanıcı bir elinde kahve tutarken parolasını tek eliyle yazdığında,
sistem diğer değişkenlere bakarak yorum yapabilecek. Eğer kullanıcı bunu her sabah yapıyorsa, sistem onun günün bu saatinde parolasını bu şekilde yazdığını öğrenerek daha sonraki girişlerde bu davranışı normal olarak kabul edecek. Rodriguez, bir parolanın ya doğru ya da yanlış olarak görülmesinin, artık geçerliliği olmayan bir durum olduğunu söylüyor. Sistem parola doğru olduğu halde girilişinde herhangi bir tuhaflık saptarsa, o seferlik bir güvenilirlik seviyesi belirleyip erişim imkânlarını buna göre ayarlayabilir.
Örneğin, kullanıcı her zaman bağlandığından farklı bir yerden banka hesabına bağlanmaya çalışırsa, sistem kullanıcının güvenilirlik seviyesini azaltır ve sadece hesaptaki toplam parayı görmesine izin verir. Hesaptan para aktarma gibi işlemler ise kısıtlanarak güvenilirlik seviyesini yükseltebilir.
Forrester Araştırma Şirketi’nde güvenlik ve risk yönetimi analisti olan Bill Nagel, kullanıcıların alışkanlıklarını değiştirmeden kimlik doğrulama sistemlerinin güçlendirilmesinin gelecek vaat eden bir yaklaşım olduğunu
söylüyor. Nagel, insanların kolay kullanım ve yüksek güvenliği aynı anda
istediklerini ancak bunun tutturulması zor bir denge olduğunu belirtiyor.
Burak Kale - Tübitak Biltek
24 Aralık 2009 Perşembe, 01:46
İnternette kullandığımız parolalar, bazen çevrimiçi güvenlik zincirinin en zayıf
halkası olurlar. Kullanıcılar sıklıkla kolayca tahmin edilebilecek parolalar kullanırlar ya da parolalar iyi korunmaz. Bunun yanında zorluk seviyesi yüksek parolalarla bile akıllı kart veya parmak izi tanıma gibi ilave uygulamalar kullanmak gerekebilir.
ABD’de yeni kurulan Delfigo Güvenlik şirketi, parola güvenliğini basit bir
yöntemle güçlendirecek bir çözüm üretti. Şirketin geliştirdiği yazılım, kullanıcının her tuşa nasıl bastığı gibi, bazı ipuçlarını kaydederek ilave bir
işlem yapılmaksızın parola güvenliğine yeni bir güvenlik katmanı ekliyor.
DSGateway adı verilen yazılım, var olan bir kimlik doğrulama sistemiyle
kolayca birleştirebiliyor. Kullanıcı, adını ve parolasını girince, yazılım kullanıcının parolasını nasıl girdiği, kullandığı sistem konfigürasyonu ve coğrafi konumu gibi bazı bilgileri kaydediyor. Onaylama tuşuna basıldığında, tüm bilgiler web sunucusuna gönderiliyor, parola ve kullanıcı adı doğruysa, sunucu diğer bilgileri Delfigo’ya gönderiyor. Şirketin yazılımı gelen bilgilerin kullanıcının kalıplarına ne kadar uyduğunu hesaplıyor. Yazılım kısa bir veri toplama süreci sonucunda her kullanıcı için 14 farklı değişkeni içeren kayıtlar tutuyor. Şirketin başkanı Ralph Rodriguez, yazılımın ana algoritmalarını Massachusetts Teknoloji Enstitüsü’nde araştırmacı olarak çalışırken
geliştirmiş. Rodriguez geliştirdiği bu yöntemde çeşitli değişkenlerin
kaydedilmesinin kullanılabilirlik kaybedilmeden güvenliğinin sağlanması
için çok önemli olduğunu söylüyor.
Örneğin kullanıcı bir elinde kahve tutarken parolasını tek eliyle yazdığında,
sistem diğer değişkenlere bakarak yorum yapabilecek. Eğer kullanıcı bunu her sabah yapıyorsa, sistem onun günün bu saatinde parolasını bu şekilde yazdığını öğrenerek daha sonraki girişlerde bu davranışı normal olarak kabul edecek. Rodriguez, bir parolanın ya doğru ya da yanlış olarak görülmesinin, artık geçerliliği olmayan bir durum olduğunu söylüyor. Sistem parola doğru olduğu halde girilişinde herhangi bir tuhaflık saptarsa, o seferlik bir güvenilirlik seviyesi belirleyip erişim imkânlarını buna göre ayarlayabilir.
Örneğin, kullanıcı her zaman bağlandığından farklı bir yerden banka hesabına bağlanmaya çalışırsa, sistem kullanıcının güvenilirlik seviyesini azaltır ve sadece hesaptaki toplam parayı görmesine izin verir. Hesaptan para aktarma gibi işlemler ise kısıtlanarak güvenilirlik seviyesini yükseltebilir.
Forrester Araştırma Şirketi’nde güvenlik ve risk yönetimi analisti olan Bill Nagel, kullanıcıların alışkanlıklarını değiştirmeden kimlik doğrulama sistemlerinin güçlendirilmesinin gelecek vaat eden bir yaklaşım olduğunu
söylüyor. Nagel, insanların kolay kullanım ve yüksek güvenliği aynı anda
istediklerini ancak bunun tutturulması zor bir denge olduğunu belirtiyor.
Burak Kale - Tübitak Biltek