KYC

Kimlik Doğrulama Yöntemleri - 5 Farklı Yöntem

Reycan Çetin
Growth Manager @Techsign

Kimlik doğrulama denildiğinde akla genelde finans sektörü geliyor, ancak aslında günlük hayatımızda gerçekleştirdiğimiz birçok eylem içinde kimlik doğrulama süreçlerini barındırıyor. İş yerine girerken kullandığımız akıllı kartlar, toplu taşımada kullandığımız akıllı biletler ya da qr kodları, telefonumuza gelen şifre SMSleri vb… 

Kimlik doğrulama için çok çeşitli yöntemler kullanılıyor. Fiziksel cihazlar, parolalar, biyometrik veriler, vs… Fakat hepsinin avantajlarının yanı sıra bir takım da dezavantajları var. Öyleyse ne yapmak gerekiyor? Siber güvenlik uzmanları en az iki farklı yöntemle oluşturulan çoklu kimlik doğrulamanın en güvenli yol olduğunu belirtiyor. Bu görüş kanun koyucular tarafından da benimsenmiş durumda ve birçok ülkenin uzaktan müşteri edinme ile ilgili getirdiği hukuksal düzenlemeler bunu mecbur kılıyor. Özellikle finans alanında kurallar sıkı ve belirleyici. 

Bu yazıda farklı doğrulama yöntemlerden bahsederek yöntemlerin avantaj ve dezavantajlarını anlattım. Böylece firmalara çoklu kimlik doğrulamada seçeceği yöntemleri seçerken yardımcı olmak ve Techsign’dan hangi hizmetleri alacağı konusunda bilgilendirmek istiyorum. 

  1. Cihaz ile Doğrulama: (Sahip olduğun bir şey) 

Adından da anlaşılacağı üzere bu doğrulama yöntemi için bir cihaz sahipliği gerekiyor. Kimlik doğrulama sahip olduğunuz cihaz ile doğrulama yapacağınız cihaz arasında kurulan fiziksel bir bağlantı kurulması ile yapılır. Akıllı kartlar, token’lar ve kimi zaman cep telefonları bu yöntemde kullanılabilecek cihazlar. 

Bu yöntem kurulum ve işleme alma açısından düşük maliyetli ve hızlı bir yöntem ancak fiziksel cihazlar kaybolma, çalınma ve unutulma risklerine karşı son derece açık. Bu sebeple yalnızca fiziksel cihazlara bağlı kimlik doğrulama yüksek güvenlik gerektiren sektörlerde artık pek de tercih edilmiyor. Hatta yüksek güvenlik gerektirmeyen ancak sirkülasyonun yoğun olduğu alanlarda da alternatiflere gidildiğini görüyoruz. Toplu taşımada ve perakande alışverişlerde ödemeyi yüz tanıma sistemlerine döndüren ülkelerin sayısı artıyor. Cihaz bağımlılığı hem güvenliği artırmak, hem de daha sorunsuz bir müşteri deneyimi sağlamak için birçok farklı sektör tarafından azaltılmaya çalışılıyor. 

  1. Bilgi ile Doğrulama: (Bildiğin bir şey)

Bilgi ile doğrulama, sistemin kişiden kayıt anında aldığı bilgiyi her girişte sorması ve kaydetttiği bilgi ile verilen cevabı kıyaslaması ile olur. Parola sorularak yapılan sistem girişleri buna örnektir. Ancak Kullandığımız Şifreler Yeterince Güvenli mi? Gelecekte Şifre Kullanımı Nasıl Olacak? yazımızda detaylı olarak anlattığımız gibi bilgi doğrulama da birçok güvenlik açığı barındırıyor. Şifrelerin çalınmaya açık olması, kişisel bilgilerin kolay hatırlanabilmesi sebebiyle şifre olarak kullanılması birçok risk yaratıyor. Bu sebeple hemen hiçbir platform bu yöntemi artık tek başına kullanmıyor. Giriş yapılan cihazı kontrol ediyor, yeni cihazdan girişi yapılırken kayıtlı olan telefona SMS göndererek doğrulama faktörünü artırıyor. Fakat SMS gönderimi de aslında cihaz ile doğrulamanın bir başka versiyonu, cihaza yollanan bilginin sisteme girilmesi gerekiyor ki şifre ile birlikte mobil cihaz da çalınabilir. 

  1. Biyometrik ile Doğrulama (Olduğun bir şey)

Tüm dünyanın yavaş yavaş kaydığı yön ise şüphesiz biyometrik doğrulama. Çünkü biyometrik doğrulama, sahip olduğunuz ya da bildiğiniz değil olduğunuz bir şey ile doğrulama yapyor. Biyometrik özelliklerinizle. Biyometrik özelliklerle doğrulama, parmak izi, iris, ses gibi kişide benzersiz olan özellikleri doğrulayarak da yapılabilir. Ancak en çok kullanılan yöntem pratikliği sebebiyle yüz doğrulama. Toplu taşıma girişlerinde ses kullanmanın ortam gürültüsü sebebiyle ne kadar zor olacağını veya iris ile doğrulama için cihaza yaklaşmanın ne kadar hijyenden uzak olacağını düşündüğünüzde yüz doğrulamasının kullanıcı açısından çok daha pratik olacağını fark etmek zor değil. 

Biyometrik doğrulamanın en büyük dezavantajı zor ve yavaş olmasıydı. Dı diyorum çünkü yapay zekanın gelişmesi ile bu zorluk neredeyse tamamen ortadan kalktı. Artık biyometrik doğrulama anında ve çok yüksek başarı oranlarıyla gerçekleştirilebiliyor.

  1. Lokasyon Bazlı Doğrulama (Olduğun Bir Yer) 

Lokasyon bazlı kimlik doğrulama, bir kullanıcının kimliğini doğrulamak için coğrafi konum bilgisini kullanan bir yöntemdir. Bu yöntem genellikle bir kullanıcının cihazının GPS veya IP adresi gibi coğrafi konum verilerini kullanır. Sistem GPS, IP adresi veya GSM hücresi gibi kaynaklardan coğrafi konum bilgilerini alır. Lokasyon verilerini işler. Bu analiz genellikle kullanıcının normal konumu ile mevcut konumunu karşılaştırmayı içerir. Lokasyon bazlı kimlik doğrulama güvenliği artıracak bir ek yöntem olarak faydalı olmakla beraber tek başına çok da güvenilir değildir. Zira kullanıcının konumundaki doğal değişiklikleri algılaması zordur. Ayrıca vpn teknolojileri cihazın konumunu kolayca farklı yerde gösterebilir.

 

  1. Davranış Bazlı Doğrulama (Yaptığın Bir Şey )

Davranış bazlı kimlik doğrulama, bir kullanıcının kimliğini doğrulamak için o kullanıcının normal davranış kalıplarını ve alışkanlıklarını analiz eden bir yöntemdir. Bu yöntem, kullanıcının klavye vuruşları, fare hareketleri, dokunmatik ekran etkileşimleri gibi biyometrik olmayan verileri kullanarak kimlik doğrulama işlemini gerçekleştirir. Davranış bazlı doğrulama biyometrik doğrulamaya oranla daha az kişisel veri içerir ve normal davranışları baz aldığı için kullancıya daha az iş çıkarır. Ancak tıpkı lokasyon bazlı doğrulamada olduğu gibi bu yöntemde de doğal değişiklikleri tespit etmek zordur ve tek başına kullanılması yanlış sonuçlara sebep olabilir. 

Sonuç

Yukarıda sıraladığım yöntemler incelendiğinde en yüksek güvenlik düzeyinin biyometrik doğrulama yönteminde olduğu görülüyor. Biyometrik veriler cihaz kaynaklı kaybolma ve çalınma riskine karşı dirençli, bilgiye dayalı doğrulama yöntemindeki unutma riskini de elimine ediyor.  Ancak yapay zeka teknolojileri, biyometrik doğrulamayı kolaylaştırırken sahtekarların da önünü açıyor. Yapay zeka temelli Deepfake teknoljisini yetkin bir şekilde kullanan sahtekarlar biyometrik verileri de taklit edebiliyorlar. Peki o zaman ne yapmalı? Cevap aslında oldukça basit: çok faktörlü kimlik doğrulama ve yüksek teknoloji ürünleri sunan firmalardan hizmet alma. 

Bu iki önlemi biraz daha detaylandıralım. İlki kanun koyucuların da üstünde durduğu gibi en az iki farklı yöntem kullanark kullanıcı kimliği doğrulama. Burada bu yöntemlerden birinin biyometrik özelliklerle doğrulama olmasının güvenlik seviyesini artıracağını ekleyelim. Ikincisi ise hangi yöntem seçilirse seçilsin konuyla ilgili en yüksek teknoloji ürünlerini sunan firmalarla çalışma. Zira sahtekarların vesikalık fotoğrafla yüz tanımayı geçtiği bir biyometrik doğrulamanın faydasızlığını tartışmaya bile gerek yok. 

Techsign olarak biz kimlik doğrulama çözümlerinde en çok biyometrik verilerle doğrulamaya güveniyoruz ve teknolojimizi bu alanda geliştriyoruz. NIST skorlama sistemine soktuğumuz çözümlerimizin başarı oranları da bu bağlamda yüksek ve tatmin edici. Ancak sahtekarların gösterdiği gelişmeleri de yakından takip ediyoruz ve ek güvenlik önlemlerini de ihmal etmiyoruz. Cihaz ve lokasyon bilgilerinin takip edilip yorumlanması, gerektiğinde SMS OTP’nin eklenmesi gibi ek yöntemlerle sistemimizi çok daha güçlü hale getiriyoruz. 

Siz de bu fırsatlardan yararlanmak için, bize hemen ulaşın!

info@techsign.com.tr 

KYC
Reycan Çetin
Researching, writing and petting all the cats in the world!

İhtiyacınız olan çözümü gelin,
birlikte bulalım.

Firmanızın sektörüne, büyüklüğüne ve coğrafi bölgesine uygun çözümler için bizimle iletişime geçin.