Her geçen gün değişen ve gelişen tehditlere karşı biz
güvenlik uzmanları da sürekli olarak sahip olduğumuz teknolojileri güncel
tutmaya çalışıyor ve ek koruma önlemleri ile özellikle kullanıcı kimlik
bilgilerini daha güvenli bir şekilde yaşatmaya çalışıyoruz.
Microsoft başta olmak üzere gerek bulut sağlayıcıları
gerekse global pazarda servis sağlayıcıları şifresiz bir dünya için
çalışmalarını sürdürüyor. Güvenlik yatırımlarının en zayıf halkası olan
şifrelerin bir şekilde sızdırılması, ele geçirilmesi, tahmin edilmesi gibi
nedenlerden dolayı pek çok kritik sistemde Multi Factor Authentication MFA veya
2FA Two Factor Authentication dediğimiz şifrenin yanında gerçekten kullanıcının
kimliğini doğrulayacak ek parametreler tanımlanabilir. Örneğin en çok bilinen
uygulama yıllardır paralarımızı korumak için internet şubesine girerken
kullandığımız SMS uygulamasıdır. Şifrenizi girersiniz ancak bu şifreyi birisi
çalmış, tahmin etmiş veya siz sızdırmış olabilirsiniz, ancak internet şubesine
giriş için tek bir şifre yeterli olmaz. Telefonunuza gelen sms veya soft token
olarak adlandırdığımız mobil uygulamalardan alacağınız doğrulama kodunu
kullanmanız ek güvenlik önlemi olarak kullanılmaktadır.
Aslında VPN, sistem girişleri, portal girişleri ve
benzeri pek çok örneğini görebileceğimiz MFA – 2FA güvenliğin ön planda olduğu
sistemler için günümüzdeki en iyi alternatiflerden birisidir.
Eğer bu konuda daha görsel bir şeyler görmek
istiyorsanız bu yazıyı okumanızı tavsiye ederim.
https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
YubiKey, Ubico firması tarafından üretilen aslında bir
2FA ürünüdür. Pek çok farlı ürün yelpazesi olmasına karşın benim makaledeki
gündemim Window Hello ile uyumlu olan modelleri olacaktır.
Ürünün web sitesi aşağıdaki gibi olup incelediğiniz
zaman zaten çok etkili bir slogan göreceksiniz;
“Modern two factor authentication” Modern iki faktör
kimlik doğrulama. Evet ürünler gerçekten yeni nesil teknolojiler
barındırmaktadır.
Benim ilgilendiğim modeller Yubikey 4 Series olarak
geçen aşağıdaki modellerdir;
YubiKey 4 (Makale için bu modeli kullandım)
YubiKey 4 Nano
YubiKey 4C
YubiKey 4C Nano
Temelde baktığınız zaman iki tane standart USB, iki
tane USB-C model görüyoruz. Yine kendi içlerinde bir tanesi makine üzerinde uzun
süreli kullanım (örnek uygulama güvenliği için ) için ince tasarlanmış, bir
tanesi ise daha çok logon operasyonlarında kullanılmak üzere daha kolaylıkla
çıkartılıp takılacak hatta anahtarlığa takılacak şekilde
tasarlanmıştır.
Karşılaştırma tablosuna baktığınız zamanda zaten benzer
özelliklerinin olduğunu görüyoruz;
Peki bu ürünü nerelerde kullanabiliriz?
Aslında makalenin de başlığından anlaşılacağı üzere ben
Windows 10 bilgisayarımda oturum açmak için kullanıyorum ancak ürün tabiki
sadece Microsoft sistemleri ile değil Dropbox, Facebook, Google, Twitter başta
olmak üzere pek çok popüler FIDO Alliance üyelerinin ürünleri ile entegredir.
https://fidoalliance.org/participate/members-bringing-together-ecosystem/
Temel olarak makale için kullandığım ürün 4 form
faktörüne sahiptir.
Yani hangi form faktörünü kullanmak istiyorsanız
YubiKey Manager isimli programı indirim ayarlamanız yeterli. Bu aslında ürünün
en beğendiğim özelliklerinden birisi. Yani bir nevi herkesin güvenlik iş
ihtiyaçları için bir çözüm sunuyor olması.
Cihazda iki slot olduğu için ilk slot için Yubico OTP,
ikinci slot için örneğin static password kullanabilirsiniz.
Cihazı kendinize göre yapılandırmak için aşağıdaki
aracı indirmenizi tavsiye ederim
YubiKey Personalization Tools
https://www.yubico.com/products/services-software/download/yubikey-personalization-tools/
Bu aracı indirdikten sonra karşınıza aşağıdaki gibi bir
ekran çıkacaktır;
Tabiki farklı bir USB cihaz kullanıyorsanız bir kısım
değişik olabilir.
Bu program sayesinde 4 faktör içinde yapılandırma
ayarlarını değiştirebiliriz.
Makalemin başında da belirttiğim gibi Facebook,
Dropbox, Google ve benzeri platformlar için kimlik doğrulama faktörü (2FA – MFA)
olarak kullanabilirsiniz.
HOTP anahtarı olarak tanım yapabilirsiniz
Statik Parola tanımı yapabilirsiniz.
Bu size ilginç gelebilir, yani çoklu güvenlik için
aldığımız bir cihazda neden böyle bir statik şifre özelliği var. Bazı program-
uygulamalar da sürekli olarak aynı şifre girişi gerekebilir, bu aslında yine
yukarıda bahsettiğim gibi bize sunulan 4 faktörden birisi ve bunu kullanmak size
kalmış. Gerçekten sürekli aynı şifre girişleri yaptığım uygulamalar için bence
çok kullanışlı. Ek olarak unutmayın ki bunu diğer bir faktör ile aynı anda
kullanabiliyorsunuz. Çünkü aşağıda da görebileceğiniz için iki slot bulunuyor
cihaz üzerinde
Son olarak Challenge Response Mode ayarlarını
yapabilirsiniz.
Bu ve benzeri yapılandırmalar için aşağıdaki görsel
eğitim videolarını izlemenizi tavsiye ederim.
Evet benim odaklandığım özellikler aslında bunlar
olmadığı için temel olarak ürün özelliklerinden bahsetmek istedim. Ancak benim
için önemli olan aslında Windows HELLO uygulaması.
Şimdi gelelim asıl konumuza. Windows 10 bir
bilgisayarınız var ve amacınız bunun logon işlemini daha güvenli bir hale
getirmek. Bu durumda yapmanız gerekenleri sırası ile sizlerle
paylaşıyorum.
YubiKey Windows 10 1607 öncesinde kullanılmak üzere bir
windows uygulaması sunuyordu, ancak 1607 ve sonraki sürümlerde artık bu
uygulamaya gerek kalmadan Windows Store üzerindeki bir uygulama ile logon
süreçlerini yönetebiliyorsunuz.
Windows 10 Store üzerinden aşağıdaki uygulamayı
indirmeniz gerekiyor;
https://www.microsoft.com/en-us/p/yubikey-for-windows-hello/9nblggh511m5
Daha sonra cihazımızı bilgisayarınıza bağlayın ve
uygulamayı açın;
Register butonuna basarak süreci başlatın.
Cihazınız takılı ise devam edebilirsiniz.
Bir isim veriyoruz.
Evet şimdi hesabımız ile bağlamaya hazırız, yine
ilerliyoruz.
Hesabımız ile bağlantı için PIN kullanımı şart, bende
aktif bir PIN olduğu için bunu soruyor, eğer sizde aktif bir PIN yok ise
öncelikle PIN tanımı yapmanızı isteyecektir.
PIN kodumu doğru girmem işlemi tamamlamam için
yeterliydi. Evet artık hazırız. Şimdi sistem nasıl çalışıyor kontrol
edelim.
USB cihazını önce çıkardım ve makinemi lock
ettim.
Not: Makalemin bu bölümünde son kullanıcılar için bir
kullanım örneği paylaşıyorum, ancak siz bu ürünü kurumsal bir domain ortamında
kullanacak iseniz bu durumda SmartCard olarak kullanabilirsiniz. Yani hem login
hem de lock için kullanabilirsiniz.
Bunun için uygun bir vaktimde Smart Card olarak cihazı
kurumsal ortamlarda nasıl kullanacağınıza dair bir makale daha
yazacağım.
Peki şimdi ürünün çalışmasını görelim.
USB dongle’ ı çıkardım ve makinemi lock ettim, lock
ekranı aşağıdaki gibidir;
Herhangi bir tuşa bastığınız zaman yukarıdaki gibi bir
ekran gelir, aslında YubiKey’ i takmanızı bekliyor sistem. Eğer takarsanız
sistem otomatik olarak açılacaktır.
Eğer herhangi bir soru yaşarsanız veya o anda dongle
çalışmaz ise Sign-in options bölümünden pin veya password ile yine giriş
yapabilirsiniz.
Bu aşamada tabiki yine kurumsal bir firma ve smart card
login şart ise giriş yapamazsınız.
Evet bir makalemin daha sonuna geldim, umarım faydalı
bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.
Kaynak