Kimlik Doğrulama Bildirimi (Push Notification)

Sistemlere ve kullanılan uygulamalara güvenli erişim sağlamak için kurumlar teknik olarak tüm olası alternatifleri düşünse ve önlem alsa dahi bu sistemleri kullanan insan faktörü güvenliğin en zayıf halkasıdır.

Türkiye’de halen sistem girişlerinde 1.5 milyon kişi tarafından kullanılan “123456” parolası ise bunun en açık örneği. Hatırda kalan kolay şifreler kullanarak işimizi kolaylaştırdığımızı düşünsek de aslında 1 saniyenin altında bir sürede şifre kırabilen hackerların işini kolaylaştırmış oluyoruz. En çok çalınan şifrelerin listesi için tıklayın

Şirket uygulamalarına erişirken insan faktörünün önüne geçmek için kullanıcı adı ve şifresi yeterli olmayabilir. Arada bir güvenlik katmanı olarak çok faktörlü kimlik doğrulama çözümlerinin kullanılması, bu farkındalıkta olan şirketler tarafından alınan önlemlerden biridir.

Çok faktörlü kimlik doğrulama ile ulaşabileceğiniz ve tercih edebileceğiniz bir çok doğrulama yöntemi var: Sms, e-mail, hard token veya mobil uygulamalarda üretilen anlık dinamik şifreler ile kullanıcılarınıza güvenli bir erişim yöntemi sağlamış olursunuz. Bu yöntemler içinde hem güvenlik, hem kullanıcı kolaylığı olarak en çok tercih edilen yöntem ise Kimlik Doğrulama Bildirimi(Push Notification).

Şu anda push notification yöntemini tercih eden kişiler tüm dünyada IoS kullanıcıların %51’i; Android kullanıcıların ise %81’i oranındadır. İstatistiklere göz atmak isterseniz linkten faydalanabilirsiniz.

Kimlik Doğrulama Bildirimi (Push Notification) Nedir?

Peki anlık bildirim (push notification) erişim güvenliği için ne anlama geliyor? Sistemlere daha güvenli erişim sağlamak için kullanıcı adı ve parola doğrulaması sonrasında, mobil cihazlardan authenticator uygulaması yüklenerek erişimin onaylanabileceği ya da reddedilebileceği ikinci aşama doğrulama yöntemidir.

Push Notification Neden Tercih Edilir?

Push notification tercih edilme sebeplerinden en önemlilerini aşağıda sıraladık.

1. Güvenlik

   Kilitli bir telefon ekranında kod içeren bir bildirimin görülebildiği tek seferlik SMS şifrelerinin aksine, push bildirimleri cihazın kilidi açılmadan çalışmaz. Bir kullanıcının akıllı telefonu yanlış ellere geçse bile cihazın PIN kodu, FaceID veya TouchID yetkisiz erişime karşı koruma sağlar.

2. Kullanıcı Kolaylığı

   Hızlı ve kullanımı kolaydır; kullanıcıların tek yaptığı, anında erişim elde etmek için bir parmak dokunuşuyla bildirimi onaylamaktır. Yazma, kopyalama veya herhangi bir şeyi hatırlama zorunluluğu yoktur.

3. Düşük Maliyet ve Yönetim Kolaylığı

   Push Notification (kimlik doğrulama bildirimi), kullanıcıların mevcut akıllı telefonlarından yararlanarak, yönetilmesi gereken herhangi bir donanıma sahip olmayan güvenlik için daha düşük maliyetli bir seçim olmasını sağlar.Yönetim kolaylığı ise başka bir avantajdır. Kullanıcılar, uygulamayı BT yardımı olmadan akıllı telefonlarına indirip yükleyebilir ve uygulama otomatik olarak güncellenir.

Kimlik Doğrulama Bildiriminin Diğer Yöntemlere Göre Faydaları Nelerdir?

SMS ile Doğrulama

Günümüzde daha yaygın olarak kullanılan kimlik doğrulama biçimlerinden biridir. Bu yöntem, son kullanıcının kimlik bilgilerini gönderdikten sonra telefonuna veya e-postasına bir oturum açma kodu gönderir. Kodu aldıklarında, oturum açmayı tamamlamak için doğru şekilde girmeleri gerekir.

SMS ile kimlik doğrulama, otomatik ve toplu kimlik avı saldırıları için etkili güvenlik sunar ancak özel olarak saldırı hedeflenen hesaplar için daha az etkilidir. Bu güvenlik açığı, üçüncü taraf bir ağın, kodun kaynağı ile son kullanıcı arasında aracı görevi görmesi ihtiyacından kaynaklanmaktadır.

Push Notification (anlık bildiri) ise, bir kimlik doğrulama uygulamasıyla doğrudan kullanıcının akıllı telefonunda oluşturulur ve kullanıcının sayısal bir kod tuşlamasını gerektirmez. Bu sadece daha basit bir kullanıcı deneyimi sağlamakla kalmaz, aynı zamanda çalışanlara zaman kazandırır.

Zaman Bazlı Tek Seferlik Doğrulama (TOTP)

SMS ile kimlik doğrulamaya benzer dinamik oluşturulmuş bir kod kullanılır. Bununla birlikte, SMS’nin aksine, TOTP kodları, bir kimlik doğrulama uygulaması aracılığıyla anında iletme (push notification) bildirimleriyle aynı şekilde oluşturulur. Sayısal kodlar yalnızca 30 saniye gibi belirli bir zaman aralığı için geçerlidir. Kullanıcı, TOTP’yi süre bitmeden önce doğru bir şekilde girmelidir.

TOTP’nin genellikle SMS’ten daha güvenli olduğu kabul edilir. Bazı kullanıcılar kodu zaman sınırı içinde girmeyi zahmetli bir süreç olarak görse de TOTP tercih edilen bir yöntemdir. BT yöneticileri, TOTP’yi yönetmeyi oldukça kolay buluyor.
Push Notification (Kimlik Doğrulama Bildirimi) TOTP’ye çok benzer şekilde çalışır ve daha iyi bir kullanıcı deneyimi ile aynı düzeyde güvenlik sağlar.

Kullanıcı üstündeki etkisi gözetilirse; Dell Technologies’in Brain on Tech raporunda, dünya genelindeki kullanıcılara süre kısıtı konularak bilgisayarlarına erişmeleri için uzun ve zor bir şifre verildiğinde, stres düzeylerinin beş saniye içinde yüzde 31 arttığına ve başarıyla oturum açtıktan sonra bile artmaya devam ettiğine değiniliyor.

Güvenlikte Paroladan Fazlasına İhtiyacınız Var Mı?

Kimlik Doğrulama Bildirimi; parola yazmak, parolaları tekrarlamak veya parolaların başkaları tarafından görülebilir, erişilebilir olmasının önüne geçmek, basit veya yaygın parolalar kullanmak gibi kötü parola alışkanlıklarını ortadan kaldırır. Parolalardan kurtulmanın bir başka yararı da parolaların unutulması ile destek ekiplerinin parola sıfırlama istekleriyle uğraşmaktan kurtulmasını sağlamaktır. Böylece parolalardan kurtulmak zaman ve maliyet tasarrufunu da beraberinde getirmektedir.

“Push Notification” kullanımının gün geçtikçe artması ve önümüzdeki dönemde daha fazla tercih edilebilir bir yöntem olması, sektörel regülatif düzenlemelerle ileride hız kazanacaktır. Hem güvenlik hem kullanıcı kolaylığı hem de operasyonel maliyetler düşünüldüğünde şirketlerin üstündeki önemli bir güvenlik yükünü almaktadır.
SecTrail MFA tarafından sunulan Kimlik Doğrulama Bildirimi(Push Notification) özelliği hakkında bilgi almak için bizimle iletişime geçin.