Çok Faktörlü Kimlik Doğrulama (MFA) Nedir?

Anıl Nevzat Solmaz (Satış ve Pazarlama Yöneticisi)

Çok Faktörlü Kimlik Doğrulama (MFA), Kimlik ve Erişim Yönetiminin önemli bir bileşeni olmakla birlikte, ülkemizde birkaç organizasyonun vizyoner çalışmaları dışında maalesef kurak kalmış durumda. Oysa istatistikler açıkça ortaya koyuyor ki; küresel anlamda yatırımlar network güvenlik cihazlarından farklı olarak bulut güvenlik çözümleri ve kimlik ve erişim yönetimi çözümlerine kayıyor. Hepimiz her gün çok faktörlü kimlik doğrulama vasıtası ile mülkiyetimizi korumaktayız. Peki bu yöntemi tanıyor muyuz?

Yoğun bir iş günü sonrası evinize döndüğünüzü varsayalım. Kendinizi rahat ve güvende hissettiğiniz, siz ve bilginiz dahilinde olan kişiler dışında kimsenin evinize, özel alanınıza girmesini istemezsiniz değil mi? Apartman veya bloğunuzun kapısından anahtar veya parolanızı kullanarak giriş yaptınız, daha sonrasında evinizin kapısına ulaştınız. Binaya girerken o gitmek istediğiniz daireye giriş izininiz ve yetkiniz olduğuna dair ilk kanıtı sundunuz. Ancak dairenin kapısına vardığınızda içeri girmek için ikinci bir anahtar kullanmak zorundasınız. İşte Çok Faktörlü Kimlik Doğrulama çözümleri de bu uygulamaya benzer politikalar işletmektedir.

Kimlik doğrulama, bir kişi ve nesne herhangi bir kaynakta (ağ, cihaz, uygulama vb.) oturum açmaya çalıştığında gerçekleşir. Kullanıcıdan, kaynak tarafından bilinen kimliği ve kullanıcının bu kimliğe yönelik iddiasının gerçekliğinin kanıtını sağlaması istenir. Basit kimlik doğrulama, yalnızca bir kanıt (faktör), genellikle sadece bir parola ile çalışır. Ek güvenlik için, kaynak birden fazla faktör isteyebilir — çok faktörlü kimlik doğrulama veya tam olarak iki kanıt ile çalışan iki faktörlü doğrulama gibi. Bu sayede herhangi bir servis veya uygulamaya erişim, isteği yapan kişinin gerçekten erişim yetkisi bulunan kişi olduğuna dair en az 2 kanıt sunulduktan sonra gerçekleşir. Özetle çok faktörlü kimlik doğrulama mekanizması şu şekilde çalışır: Bir kişinin herhangi bir mülkiyete (Banka Hesabı, Kişisel Bilgiler, Veriler) erişim isteği sırasında, kendisi tarafından bilinen veya sahip olunan, bir istismar ile ele geçirilmesi muhtemel olan banka kartı, anahtar, parola vb. vasıtasıyla o kişinin ilk kimlik doğrulaması yapılır, ardından ikinci bir doğrulama ve onay mekanizması çalışır. Örnek verecek olursak bir cep telefonu uygulaması üzerinden verilecek bir onay, yüz tanıma verisi, parmak izi verisi veya kişinin davranışsal analizleri erişim isteğinde yetkili kişinin kanıtları olarak kullanılabilir. Bu sayede kişinin birincil faktörünü (parolasını) ele geçirmiş olan bir saldırganın servislere erişimi engellenmiş ve detaylı raporlama mekanizması ile bu yetkisiz erişim isteği izlenebilir hale gelmiş olur.

Peki yerli bir üretici olarak SecurifyID ürünümüz ile sizlere neler sunuyoruz?

Bireysel kullanım için tasarlanmış çözümlerden farklı olarak kurumsal organizasyonlarda Kimlik ve Erişim Yönetimi adına büyük kullanım kolaylıkları sağlıyoruz. Yurtdışı rakiplerinden farklı olarak SecurifyID, hem tamamen On-Prem hem de Bulut ortamında çalışma seçeneği, Beyaz-Kutu Kriptoğrafi gibi gelişmiş güvenlik mekanizmaları sunuyor. Yedekli ve genişletilebilir yapıya olanak sağlayarak, kritik uygulamalarınızın sekteye uğramasını önlüyor. Geniş entegrasyon kabiliyeti sayesinde OWA, CRM, ERP gibi kurumsal uygulamalarınızdan, VPN/SSH/RDP gibi uzaktan erişim sistemlerinize, sosyal medya uygulamalarınızdan, Google, Office 365, Azure gibi bulut uygulamalarınıza, Windows ve Domain doğrulamasından, ağ cihazları loginlerine kadar  farklı uygulama ve sistemlerinize entegre olarak adaptif bir şekilde çok faktörlü kimlik doğrulama (MFA) yapmanıza olanak sağlıyor. Kullanıcılara, gruplara, domain ve ağlara özel kurallar tanımlamanıza,  tüm erişim ve oturum aktivitelerinin kayıtlarını tutup, kullanıcı engelleme, kısıtlama, 3. parti bir güvenlik çözümünü tetikleme gibi otomatize aksiyonlar almanıza imkan veriyor.

Bütün bunlara ek olarak Securify, Davranış Analitiği ve Risk Bazlı Kimlik Doğrulama alanlarında yaptığı özgün çalışmaları çözümüne entegre ederek, siber ihlallerin tespit edilmesi ve gereken güvenlik aksiyonlarının alınması anlamında rakipleri ile arasında fark yaratmıştır. Siz de SecurifyID’yi kurumsal uygulamalarınızda denemek istiyorsanız bizimle iletişime geçebilirsiniz.