Security Blog

Çok Faktörlü Kimlik Doğrulama ve Voodoo ilişkisi

voodoo-bebegiFantasik bilim kurgu hikayeleri için Howard Phillips Lovercraft, birçok farklı kültür ve folklörden öğeleri kullandı. Bunlardan bir tanesi de karanlık ritüellerde kullanılan voodoo büyüsü. Bir voodoo bebeği meydana getirmek için bir takım maddelere ihtiyaç vardır. The Secret of Monkey Island 2’deki voodoocu kadının dediğine göre bunlar:

  • İplikten bir parça
  • Kafadan bir parça
  • Ölüden bir parça
  • Vücuttan bir parça

Ancak bu dört öğe bir araya geldiğinde kötü adamları (ruhları) kovabilecek bir büyü ortaya çıkıyor. Benzer öğeler, PCI DSS v3.2 sürümündeki 8.2 maddesine göre Cardholder Data Environment (Kartsahibi Veri Ortamı – CDE) için de geçerli.

Tekil bir ID atamaya ek olarak, tüm sistem bileşenlerindeki tüketici olmayan kullanıcılar ve yöneticiler için doğru kullanıcı kimlik doğrulama yönetimine sahip olduğunuzdan emin olun. Bunu sağlamak için aşağıdaki yöntemlerden en az birini kullanmanız gerekir:

  • Bildiğiniz bir parola
  • Sahip olduğunuz bir token cihazı ya da akıllı kart
  • Ya da sizin olan bir biometrik bilgi

8.3’te ise CDE’ye erişim sağlayan tüm konsolsuz yönetimsel erişimler ve uzaktan erişimleri çok faktörlü kimlik doğrulama kullanarak güvenli hale getirin.

Not: Çok faktörlü kimlik doğrulama toplam üç adet olan kimlik doğrulama yöntemlerinden en az ikisini kullanmak zorundadır (kimlik doğrulama yöntemlerine ait tanımlar için Gereksinim 8.2’ye bakınız). Bir faktörün iki kere kullanılması (örneğin iki farklı parola kullanımı) çok faktörlü kimli doğrulama olarak kabul edilmemektedir.

Şubat 2017’de PCI SSC Çok faktörlü kimlik doğrulama ile ilgili destek niteliğinde bir belge yayınlamıştı. Peki nedir bu çok faktörlü kimlik doğrulama?

Çok faktörlü kimlik doğrulama, bir şeylere erişmek için kullanılan farklı faktörlerdir. Bizim konumuzda ise CDE içerisinde yer alan bir sisteme erişim için kullanılıyor.

Bu faktörler şu şekilde olabilir:

  • Bildiğiniz bir şey
  • Sahip olduğunuz bir şey
  • Olduğunuz bir şey

Bu faktörler, kombinlendiği zaman CDE’ye erişim için kullanılabilir. Aynı faktörü iki defa (ya da daha fazla kullanmak Çok Faktörlü Kimlik Doğrulama olarak kabul edilmez. Ayrıca standart kabul edilen güvenlik gereksinimlerini de karşılamaz.

Yukarıda anlattığımız üzere, faktörlerin kendi bütünlüklerinin ve dolayısıyla da CDE’nin bütünlüğünün sağlanması için korunması gerekir.

  • Parolalar ve diğer “bildiğiniz bir şeyler” tahmin edilmesi zor ve brute-force kullanarak elde edilemeyecek şekilde olmalıdır. Böylelikle yetkisiz kişilerin erişimi engellenmiş olacaktır.
  • Bitometrikler ve diğer “olduğunuz bir şeyler” yetkisiz replikasyonlara karşı korunmalıdır. Böylelikle bu kişilerin verilerin bulunduğu cihazlara erişimi engellenlecektir.
  • Akıllı kartlar, yazılım sertifikaları ve diğer “sahip olduğunuz bir şeyler” paylaşılmamalı ve replikasyonlarına karşı korunarak yetkisiz kişilerin değişiklik yapmasının önüne geçilmelidir.

“Sahip olduğunuz bir şeyler” kapsamı altında, her ne kadar halen NIST kimlik doğrulama mekanizmalarını yönetiyor olsa da NIST SP 800-63B çatısı altında belirtildiği gibi yakın bir gelecekte bu durum ortadan kalkabilir.

Çok Faktörlü Kimlik doğrulama, kötü adamları CDE’den uzak tutmak için hayati bir öneme sahip. Gerekli korumayı sağlamak için de masaların üstünde parolaların yazılı olduğu post-it’ler ile akıllı kartlar, kimlik doğrulama aygıtları ve akıllı telefonları etrafta bırakmayın. Bunlara sizden başka kimsenin erişimi olmasın; kimsenin!

Eğer siz de sisteminizde güvenlik açığı taraması yapmak, herhangi bir zafiyet olup olmadığını öğrenmek istiyorsanız bizimle temasa geçebilirsiniz. Bilginin korunması için gerekli standartları, uzmanlarımız sizin için kısa bir sürede oluşturabilirler.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com