Teknoloji dünyasındaki en önemli konulardan biride güvenliktir. Gelişen standartlar ve sanal dünyanın ayak izlerinin takip edilebilir olması nedeniyle güvenlik konusu yazılım başta olmak üzere pek çok teknolojik üründe zorunlu gerekliliklerden biri olmaktadır. Güvenliğin sağlanması, kişisel bilgilerin korunması ve attığımız sanal adımların izlerinin gizlenmesi için geliştiriciler siber dünyada güvenlik konusunu her geçen gün bir basamak daha yukarı taşımaya devam etmektedirler.

Güvenlikten bahsedildiği zaman bilinmesi gereken bazı temel kavramlar vardır. Kullanıcı adı, şifre gibi basit ve alışılagelmiş kavramları artık biliyor olsak da bu güvenliği sağlayan temel mantıktan birçoğumuz haberdar olmayabiliriz. Güvenlik, sanal dünyada iki kavram çevresinde gerçekleştirilir. Bunlar Authentication ve Authorization kavramlarıdır. Şimdi bu kavramların ne anlattığından ve nasıl gerçekleştirildiğinden bahsedebiliriz.

  • Authentication kavramı temel olarak kişinin kendi kimliğini ispat etmesi demektir. Yani o kişinin, gerçekten söylediği kişi mi olduğunu bir şekilde anlatması istenir. Gerçek hayatta bir kuruma gittiğimiz zamanda aynı süreçlerden geçerek kendimizi kanıtlamamız gerektiğini görebiliriz. Örneğin bir devlet dairesinde bizimle ilgili bir işlem yapılacağı zaman kendimizi kanıtlayabilmemiz için TC kimlik numaramızı söylememiz ya da kimliğimizi beyan etmemiz gerekebilir. Sanal dünyada da işler tam olarak böyle yürür. Güvenlik seviyesinde kişinin kendisini kanıtlayabilmesi için bazı eşsiz alanlardan oluşan bilgilere ihtiyacı vardır. Authentication, genellikle kullanıcı adı ve şifre mantığı il gerçekleştirilir. Şifreyi bilen kişinin, o kişi olduğunu kanıtladığını söyleyebiliriz. Bazı durumlarda kullanıcı adı ve şifre yetmeyebilir ya da bu bilgiler bazı kişiler tarafından ele geçirilebilir. Bu durumlarda ise bazı dijital sertifikalar ve daha yüksek güvenlik önlemi gereken yerlerde de parmak izi gibi biyometrik veriler kullanılabilir.

 

  • Authorization kavramı ise kimlik doğrulama kavramının bir adım sonra gelen sürecini ifade eder. Türkçeye çevrildiği zaman Yetkilendirme olarak karşımıza çıkan bu kavramda artık sizin kendinizi kanıtladığınızı düşünerek, size verilen yetkilerin seviyesine bakılmaktadır. Bir olaya, duruma ve bilgiye erişim hakkınızın kontrol edildiği bu aşamada yetki size önceden verilmiştir ve siz bu yetki üzerinde herhangi bir değişiklik yapamazsınız. Bu nedenle bu Authorization işleminin iki aşaması olduğunu söyleyebiliriz. Birinci aşamada sistem yöneticisi sizin erişebileceğiniz kaynaklar üzerinde tanınmanızı sağlar ve izinleri verir. İkinci aşamada ise sizin izinleriniz ve erişim yetkiniz sistem tarafından doğrulanır.

Bu iki kavramın birlikte kullanılması güvenlik seviyesini arttırabileceği gibi bazı durumlarda tek birinin kullanılması da tercih edilebilir. Ancak seviye açısından bakıldığı zaman Authentication işlemi yani kimlik doğrulama, yetkilendirme işleminden daha üst basamaktadır ve yetkilendirmeyi kapsadığı söylenebilir. Bu durumu şu şekilde örnekleyebiliriz. Bir evin dış kapısını açmak istediğiniz zaman o kilide uyan anahtara sahip olmanız gerekir. Eğer dış kapının anahtarına sahipseniz kimlik doğrulamanız geçerli olur ve dış kapıdan içeri girebilirsiniz. Peki evin içerisindeki kapılardan hangilerini açabilirsiniz? İşte bu kavramda Authorization’u tanımlamaktadır. Dış kapıdan girdikten sonra evin içerisinde ulaşabileceğiniz alanları yetkilendirme durumu belirler. Dış kapının hiç olmadığını düşünelim. Yani bir sistemde yalnızca Authorization güvenliği sağlanmış olsun. O zaman sizce dış kapının olması kadar güvenli bir sistem olduğunu söyleyebilir miyiz?

Tüm bu söylediklerimizi özetlemek gerekirse; Authentication size “Sen kimsin?” diye sorar. Authorization ise, “Bu kaynağa erişimin var mı?” sorusunun cevabını sizden bekler. Her yazılım ve teknolojide, temel anlamda bu iki kavramın gerektirdiği güvenlik mantığı sağlanır ve güvenlik gerekçeleri de yine bu kavramlar etrafında çeşitlenerek ihtiyaca göre tasarlanabilir diyebiliriz.