Bunlar her gün hepimizin yaşadığı prosedürler. Çeşitli sistemler tarafından sürekli olarak kimliğimiz tanımlanır, doğrulanır ve yetkilendiriliriz. Ancak birçok kişi, aslında kimlik doğrulamadan bahsederken genellikle kimlik tanımlama veya yetkilendirme terimlerini kullanarak bu kelimelerin anlamlarını karıştırır.
Günlük bir konuşma sırasında, iki tarafın da ne hakkında konuştuklarını anladığı sürece bunun çok da önemi yoktur. Kullandığınız kelimelerin anlamını bilmek her zaman daha iyidir, ancak er ya da geç, yetkilendirme mi yoksa kimlik doğrulama mı, az mı çok mu, o mu bu mu gibi sorularla her şeyi netleştirmek isteyen, sizi çılgına çevirecek bir bilgisayar kurdu ile karşılaşırsınız.
Peki, kimlik tanımlama, kimlik doğrulama ve yetkilendirme terimleri ne anlama geliyor, süreçler birbirinden nasıl ayrılıyor? İlk önce Wikipedia’ya danışıyoruz:
- “Kimlik tanımlama, bir kişinin veya nesnenin kimliğini belirtme eylemidir.”
- “Kimlik doğrulama, bir bilgisayar sistemi kullanıcısının […] kimliğini kanıtlama eylemidir” (örneğin, girilen şifre veritabanında saklanan şifre ile karşılaştırılarak).
- “Yetkilendirme, kaynaklara erişim haklarını/ayrıcalıklarını belirleme işlevidir.”
Kavramlara çok aşina olmayan insanların, onları neden karıştırabileceğini anlayabilirsiniz.
Kimlik tanımlama, kimlik doğrulama ve yetkilendirmeyi açıklamak için rakunları kullanmak
Şimdi, daha biraz daha basitleştirmek için bir örnek kullanalım. Bir kullanıcının Google hesabına giriş yapmak istediğini varsayalım. Google iyi bir örnektir çünkü hesaba giriş süreci düzgün birkaç temel adıma bölünmüştür. Süreç şu şekilde ilerler:
- İlk olarak, sistem bir kullanıcı girmenizi ister. Kullanıcı, bir giriş yapar ve sistem bunu gerçek bir giriş olarak tanır. Bu, kimlik tanımlamadır.
- Google daha sonra bir şifre ister. Kullanıcı, şifreyi girer ve girilen şifre saklanan şifreyle eşleşirse, sistem kullanıcının gerçek göründüğünü de kabul eder. Bu, kimlik doğrulamadır.
- Çoğu durumda Google, sürecin devamında kısa mesaj veya kimlik doğrulama uygulamasından tek kullanımlık doğrulama kodu girilmesini ister. Kullanıcı, bunu da doğru bir şekilde girerse, sistem sonunda hesabın gerçek sahibi olduğunu kabul eder. Bu, iki faktörlü kimlik doğrulamadır.
- Son olarak sistem, kullanıcıya gelen kutusu ve diğer klasördeki e-postaları okuma hakkı verir. Bu, yetkilendirmedir.
Öncesine tanımlama yapılmadan kimlik doğrulama bir anlam ifade etmez; sistemin kimin gerçekliğini doğrulayacağını bilmeden kontrol etmeye başlamasının bir anlamı olmaz. Önce kendini tanıtmak gerekir.
Aynı şekilde, kimlik doğrulama olmadan kimlik tanımlama da aptalca olurdu. Veri tabanında bulunan herhangi bir oturum açma bilgisini herkes girebilir — sistemin parolaya ihtiyacı olacaktır. Ancak birisi şifrenize göz ucuyla bakabilir ya da sadece tahmin edebilir. Tek seferlik doğrulama kodu gibi, yalnızca gerçek kullanıcının sahip olabileceği kanıt istemek daha iyidir.
Bunun aksine, bırakın kimliğin tanımlanmadan doğrulamasını, kimliksiz yetkilendirme de oldukça mümkündür. Örneğin, Google Drive’daki belgelerinize herkesin ulaşabilmesi için herkese açık erişim verebilirsiniz. Bu durumda, belgenizin anonim rakun tarafından görüntülendiğini belirten bir bildirim görebilirsiniz. Rakun anonim olsa da, sistem buna izin verdi — yani, belgeyi görüntüleme hakkı verdi.
Bununla birlikte yalnızca belirli kullanıcılara salt okunur şekilde yetki vermiş olsaydınız, rakunun okuma hakkı elde etmesi için kimliği tanımlanmalı (kullanıcı adı girişini yaparak), ardından doğrulanmalı (şifre ve bir kerelik doğrulama kodu sağlayarak) sonrasında belgeyi okumak için yetki verilmeli (yetkilendirme).
Posta kutunuzun içeriğini okumak söz konusu olduğunda, Google hiçbir zaman anonim bir rakuna mesajlarınızı okuma yetkisi vermez. Rakun, kullanıcı bilgileriniz ve şifrenizle kendini siz gibi tanıtmak zorunda kalacak ve bu noktada artık anonim bir rakun olmayacaktır; Google girişi yapanın siz olduğunuzu belirler.
Artık kimlik tanımlamanın, kimlik doğrulama ve yetkilendirmeden farklı olduğunu biliyorsunuz. Önemli bir nokta daha: Hesabınızın güvenliği açısından belki de en kilit süreç kimlik doğrulamadır. Kimlik doğrulama için zayıf bir şifre kullanıyorsanız, bir rakun hesabınızı ele geçirebilir. Bu nedenle:
- Tüm hesaplarınız için güçlü ve benzersiz şifreler oluşturun.
- Şifrelerinizi hatırlamakta sorun yaşıyorsanız, bir şifre yöneticisine güvenin. Aynı zamanda şifre oluşturmada da size yardımcı olabilir.
- Destekleyen her hizmet için kısa mesajlardaki tek seferlik doğrulama kodlarıyla veya bir kimlik doğrulama uygulamasıyla yapılan iki faktörlü kimlik doğrulamasını etkinleştirin. Aksi takdirde, şifrenizde pençeleri olan bazı anonim rakunlar, gizli yazışmalarınızı okuyabilir veya daha kötü şeyler yapabilir.