Erciyes Anadolu Holding Bilgi Teknolojileri Operasyon Direktörü Mert Çakar, Fintechtime Eylül sayısı için yazdı “Parolasız Kimlik Doğrulama: Dijital Kimliğin Yeni Paradigması”.
“Makalemde parolasız kimlik doğrulamanın, dijital dünyanın güvenlik ihtiyaçlarına verdiği en güncel ve güçlü yanıttan bahsediyorum. Her gün kullandığımız onlarca parolayı hatırlamanın zorluğu ve bu sistemlerin saldırılara giderek daha açık hale gelmesi, artık yeni bir yaklaşımı zorunlu kılıyor. Parmak izi, yüz tanıma, donanımsal anahtarlar ya da mobil cihazlar üzerinden anlık onaylarla kimliğimizi doğrulamak hem daha güvenli hem de çok daha kolay bir deneyim sunuyor. Özellikle finansal hizmetlerde tercih değil, bir zorunluluk haline gelen bu yöntemlerin yaygınlaşması için altyapıların uyumlu hale gelmesi, kullanıcıların bilinçlendirilmesi ve regülasyonların destekleyici yönde gelişmesi büyük önem taşıyor. Geleceğe baktığımızda ise parolasız doğrulamanın yalnızca güvenliği artırmakla kalmayıp, dijital ekosistemlerde daha akıcı ve keyifli bir kullanıcı deneyiminin kapılarını araladığını görüyoruz.”
Parolasız Kimlik Doğrulama: Dijital Kimliğin Yeni Paradigması
Günümüzde, halihazırda kullanılmakta olan klasik parola bazlı doğrulama bileşenlerinin, kişinin/kurumun kimlik güvenliğinin sağlanabilmesi hususunda çaresiz kaldığı ve daha uygulanabilir yöntemler ile kullanıcı doğrulama alternatiflerinin geliştirilmesi ihtiyacı hasıl olmuştur. Kişinin/kurumun sayısı her geçen gün artan dijital servis kullanımı nedeniyle, çok fazla sayıda farklı parolaya ihtiyaç duyması ve bunları belirli aralıklar ile değiştirme ihtiyacı sonucu bu süreç yönetilemez bir noktaya evrilmiştir. İşte bu zorunlulukların birçoğundan bizleri kurtaran ve gerçekten uygulanabilir olan, aynı zamanda yeni nesil kimlik doğrulama felsefelerinin başında gelen parolasız kimlik doğrulama metodolojilerine olan ilgi her geçen gün artmaktadır.
Geleneksel parola tabanlı doğrulama yapılarının yerini almakta olan parolasız kimlik doğrulama (Passwordless Authentication) yöntemlerini kullanmak, kullanıcı deneyimini iyileştirirken bir yandan da siber güvenlik risklerini azaltmaktadır. Bu yazıda; finansal sektörde parolasız kimlik doğrulama metodolojisinin bir tercih olmak yerine, artık zorunlu bir fonksiyonalite olduğu ele alınmakla birlikte neden kritik hale geldiğini, hangi teknolojilerin kullanıldığını ve bu kullanım senaryolarının gerçek hayatta ne şekilde ürünlere adaptif edilebileceği aktarılmaya çalışılacaktır.
Tabi her yazımda olduğu gibi bu yazımda da ilk önce kavramın anlaşılması adına Passwordless Authentication yaklaşımının tam olarak ne olduğu ile başlayıp, neden ihtiyaç haline geldiği ile devam edeceğiz.
Parolalar aslında bizim çok uzun sürelerdir kullandığımız ve bizim ilgili sistemleri kullanırken gerçekten biz olduğunu doğrulayan, bunu ispatlayan ve kayıt altına alınabilmesini sağlayan kimlik doğrulama süreçlerinde en önemli iki bileşenden birisidir. Diğeri ise hepinizin bildiği üzere Kullanıcı Kimliği’dir. Bu ikili tabiri yerindeyse, uzun süredir siber saldırganlara karşı koymak adına önemli mücadeleler sonrasında zayıf düştüler. Zira karşılarında entegrasyona tabi servisler ile sunulan hizmetler, bu hizmetleri kullanan son kullanıcılar ve değerli olan bilgileri ele geçirmeye çalışan saldırgan siloları bulunmaktadır.
Bu süreçte galip gelmek adına ilk etapta kullanılan parola bazlı doğrulama altyapılarında sıkılaştırmalar yapıp, güçlü ve karmaşık parola oluşturma standartları geliştirseler de saldırganlar tarafından işletilen sosyal mühendislik girişimleri & tahmin etme algoritmaları ve en sonunda ele geçirilme girişimlerine neredeyse mağlup oldular. Neredeyse diyorum zira tümü için bu bahsi yapamayız, işinin ehli ve çok katmanlı mimariler ile bu savunmayı halen başarılı şekilde yapabilen örnekler olsa da bunun genel kullanımdaki oranının düşük olduğunu söyleyebiliriz.
Parola çalma girişimlerinin en başından beri uyguladığı yöntemler olan sosyal mühendislik girişimleri & tahmin etme algoritmaları artık bilinen ortak riskler olduğu için, bundan ziyade daha fazla ele geçirilebilme/çalınma risklerine kısaca değinmek bu aşamada yeterli olacaktır. Ele geçirilebilme/çalınma riskleri sadece uygulamaların kendisi ile ilgili olmayan, bir nevi kimlik sahibinin parola oluşturma ve saklama sınırlarının zorlanmasından hareketle farklı platformlarda aynı kimlik ve parola bileşenini kullanması nedeniyle bu risk her geçen gün artmaktadır. Bu noktada, zafiyete uğrayan platformların herhangi birinde bulunan ve yetkisiz kimselerin eline geçen kimlik ve parola bilgileri, aynı anda birçok farklı platformdaki hassas verileri açığa çıkarabilmektedir.
Parola Temelli Doğrulama Yöntemlerinin Sonu Geliyor
Hizmetlerin dijital ortamlarda sunulmaya başladığı dönemlerden beri süre gelen parola temelli doğrulama metotlarının, birçok benzer kapsamlı servis tarafından kullanılmaya başlaması ile birlikte benzeşen doğrulama teknikleri saldırganların dikkatini çekmeye başlamıştır. Önceleri farklı platformların farklı altyapılarında bulunan zafiyetleri sömürebilmek adına harcanması gereken eforların maliyetleri yüksek iken, benzeri platformların keşfedilmesi ile beraber benzer eforlar ile daha fazla paha eden hassas/değerli veriye erişmek imkanlı hale geldiği için, saldırı motivasyonlarında önemli bir artış olmuştur. Bu sebeple son dönemlerde eskiye oranla çok fazla güvenlik vakası ve zafiyet duyurusu yapılmaya başladığına şahitlik ediyoruz. Bu durum aslında mevcut doğrulama tekniklerinin artık yeterli olmadığını net olarak bizlere göstermektedir. Tabi kullanılan dijital servis sayısı arttıkça kullanıcıların sahip olduğu parola sayılarının artması ölçüsünde dikkatlerinin azaldığını, aynı veya benzeşen parola kullanımlarının arttığını gözlemliyoruz. Bu parolaların tekrar eden karakterlerin yer aldığı ve kolay tahmin edilebilirliği artıran tercihler ile oluşturulmaya başlandığı bir yapıya evrildiği de dikkatlerden kaçmayan diğer önemli faktörlerden biridir. Tabi parola kullanımındaki en büyük problemlerin başında olan parolaların hafızada tutulması gereksiniminden ötürü unutulabilmesi, sıklıkla sıfırlanma ihtiyacının ortaya çıkması ve çok istenmese de elden ele gezmesi problemleri nedeniyle, parolaların sahip olduğu güvenlik düzeyini gitgide düşürmektedir.
Önemli güvenlik firmalarının 2025 içerisinde yayınladıkları gerçekleşen veri ihlali raporları dikkate alındığında, veri ihlallerinin neredeyse 2/3 oranında doğrudan parola tabanlı erişim sistemlerindeki zafiyetlerden kaynaklandığı analiz edilmektedir. Bu durum ise, parola tabanlı doğrulama sistemlerinin artık sürdürülebilir bir güvenlik çözümü sunmakta zorlandığını net olarak göstermektedir.
Parolasız Kimlik Doğrulama Yöntemleri
Parolasız kimlik doğrulama, kullanıcıların kimliğini doğrulamak için parola kullanımı yerine kopyalanması veya çalınması çok mümkün olmayan, fiziksel özellikler içeren daha güvenli ve kullanıcı dostu yöntemlerin kullanılması olarak özetlenebilir. Konuya uygulanabilirlik açısından yaklaşıldığında ise, bu yöntemler daha ziyade ek bir bileşen kullanmanın zahmetsiz olması ve/veya taşıma/barındırma problemleri yaratmaması hususları dikkate alındığında, kanaatimce mümkün olduğunca aşağıdaki doğrulama bileşenleri tercih edilebilecektir. Tabi erişilen sistemlerin kritikliği baz alınarak bunların kendi içerisinde kombinasyonları da kimlik doğrulama tekniği olarak belirlenebilir. Bu noktada kullanılacak doğrulama tekniğini oluşturacak unsurun benzersiz/eşsiz (unique) olmasına dikkat edilmelidir.
Biyometrik Veriler İle Doğrulama : Parmak izi, yüz tanıma, iris taraması ve benzeri gibi fiziksel biyometrik verilerin/özelliklerin kullanılması ile doğrulamanın yapılmasıdır.
Donanımsal Anahtarlar : Mümkün Olduğunca FIDO2 ve Benzeri Uluslararası Standart Uyumlu USB Token, NFC, RFID Cihazları ile doğrulamanın yapılmasıdır.
Sertifikalar : Dijital sertifikalar, geleneksel parolalara ihtiyaç duyulmadan kullanıcının kimliğini doğrulamayı sağlayabilir. Bu noktada kullanıcının istemci cihazının özel bir anahtara sahip olmasından hareketle, sunulan hizmet için oluşturulmuş genel anahtarın bütünleşmesiyle güvenli kimlik doğrulaması yapılabilmektedir.
Cihaz Temelli Doğrulama : Mobil cihazlar üzerinden gönderilen anlık ileti bildirimlerin (Push Notifications) iletilmesi ve belirli standartlar nispetinde güvenli cihaz olarak kabul edilen terminaller üzerinden doğrulamanın yapılmasıdır.
Kimlik Doğrulama Servis Hizmetleri : Uluslararası standartlar dahilinde oluşturdukları yapı üzerinden kimlik doğrulama hizmeti sunan genel kabul görmüş servis sağlayıcıların kimlik doğrulama kapsamında kullandırdığı metodolojidir. Bahsi edilen Authenticator uygulamaları, büyük dijital platformların birlikte çalışarak ortaya çıkardıkları doğrulama teknikleri ve altyapısını kullanarak kimlik doğrulama sürecini hizmet olarak kullandırdıkları bir yapı vasıtasıyla sunmaktadırlar.
Zaman Tabanlı Tek Seferlik Parolalar (TOTP – Time-Based One-Time Password) : Gizli olan bir algoritmayla birlikte zaman değerini de girdi olarak kullanarak belirlenmiş kısıt zaman değeri nispetinde değiştirilerek oluşturulan sınırlı süreli geçiş anahtarladır. OTP’den zaman kısıtı olarak ayrıştırıldığı için kimlik doğrulamada TOTP kullanılmasına özen gösterilmelidir.
Davranışsal Biyometri Verisi : Kullanıcıların kişilik yapılarından gelen ve edinim yöntemi ile taklit edilmesi çok mümkün olmayan davranışsal hareket çıktılarının kullanıldığı kimlik doğrulama yöntemidir. (Yazma Hızı, Fare Hareketleri ve Benzeri Alışkanlıklar)
Yukarıda sayılan bu yöntemler, kullanıcı deneyimini iyileştirirken bir yandan da kimlik ele geçirme, devre dışı bırakma ve benzeri saldırılara karşı çok daha fazla korunma imkanı sağlamaktadır.
Parolasız Kimlik Doğrulama Altyapısına Geçiş İçin Gerekli Aksiyonlar
Altyapı Uyumluluğu ve Yapılması Gereken Geliştirmeler
Parolasız doğrulama sistemlerinin uygulanabilmesi için altyapının FIDO2 gibi standartları desteklemesi gerekecektir. Mobil uygulamaların biyometrik kimlik doğrulayan API katmanları ile entegre olması, kullanılmakta olan cihazların uyumluluğu ve güvenli veri saklama mekanizmaları ise diğer kritik temel yapı taşları olacaktır.
Kullanıcı Eğitimleri, Algı Yönetimi ve Yönlendirmeler
Yeni doğrulama yöntemlerine geçiş sürecinde kullanıcıların bilgilendirilmesi ve eğitilmesi önem arz etmektedir. Ayrıca kişisel verilerin çalınamayacağı ve taklit edilemeyeceği yönündeki tatminkar cevapların oluşturulması ve müşterilere doğru şekilde aktarılması için gerekli iletişim yapısının oluşturulmasına özen gösterilmelidir.
Çok Faktörlü Kimlik Doğrulama Geçiş Stratejisinin Oluşturulması
Parolasız kimlik doğrulama, MFA stratejisiyle birlikte kurgulanmalıdır. Geçiş sürecinde hem parola hem de yeni yöntemler birlikte kullanılabilir. Bu hibrit yapı, kullanıcıların alışma sürecini kolaylaştırabilecek ve bir kesit tarihinden sonra zorunlu hale getirilebilecektir.
Regülasyon Uyumu
Sektörel Düzenleyiciler (BDDK, SPK vb.), KVKK, GDPR gibi tabi olunan veri koruma ve kimlik doğrulama mevzuatına uygunluk sağlanmalıdır. Kritik öneme sahip biyometrik verilerin regülasyonlarda tarif edildiği şekilde uygun cihazlarında korunaklı şekilde saklanması ve dışarı çıkarılamaması için gerekli önlemlerin alınması oldukça önemlidir.
Gelecek Artık Geldi : Ekosistemlerin Parolasız Etkileşimi
Parolasız kimlik doğrulama tekniklerinin uygulama sahası olarak her ne kadar ilk etapta sadece son kullanıcılar düşünülse de aslında birbiri ile entegre çalışan tüm sistemlerin birbirleri üzerindeki kimlik doğrulama süreçlerinde de kullanılabilmektedir.
Zira API olarak kısalttığımız Uygulama Programlama Arayüzleri sayesinde, entegre şekilde çalışmakta olan servisler için ekosistemin parçaları olan birçok sistem altyapısı birbirini hızlıca doğrulamakta ve oldukça kritik verileri birbirinin sunduğu ortamda işleyebilmektedir. Sürekli şekilde otonom çalışması gereken ekosistem parçacıkları için parola kullanılmadan, sürtünmesiz ve kusursuz kimlik doğrulama süreçleri oldukça önemli hale gelmiştir. Bu yapıların Yapay Zeka destekli, önleyici kontroller ile beslenmesi önümüzdeki kritik adımlardan olacaktır.
Tabi bu yapılara geçiş için, sektörel düzenleyicilerin proaktif davranarak parolasız kimlik doğrulama konusunda teşvik edici güncellemeler yapması, uygulama örneklerini sektörel paydaşlar ile tartışması ve sektörel paydaşların kendilerini en iyi uygulamalar kapsamında hazırlaması oldukça faydalı olacaktır.
En nihayetinde parolasız kimlik doğrulama mimarisi, dijital hizmetlerde güvenliğin geleceğini şekillendirmekle kalmayacak, kullanıcı deneyimini de önemli ölçüde iyileştirecektir. Bahsi edilen bu dönüşümün bir teknoloji değişimi olarak görmememiz ve kültürel gelişime adapte olmamızı gerektirecektir. Dijital hizmetler ekosisteminde müşteri deneyimi özelinde rekabetçi kalmak isteyen kurumlar için parolasız doğrulama artık bir tercih değil, zorunluluk haline gelecektir.
