Bulut Hizmetleri Kimlik Doğrulaması için Çok Boyutlu Parola Oluşturma

İçindekiler

1. Giriş

Bulut bilişim, internet üzerinden yazılım, donanım, altyapı ve veri depolamaya talep üzerine erişim sağlayan dönüştürücü, hizmet tabanlı bir teknoloji olarak ortaya çıkmıştır. Benimsenmesi, iş altyapısını ve performansını iyileştirmeyi amaçlamaktadır. Ancak, bu hizmetlere güvenli erişim, büyük ölçüde sağlam kimlik doğrulama mekanizmalarına dayanarak son derece önemlidir.

Mevcut bulut kimlik doğrulama yöntemleri arasında metinsel parolalar, grafiksel parolalar ve 3B parolalar bulunmaktadır ve her birinin önemli dezavantajları vardır. Metinsel parolalar sözlük ve kaba kuvvet saldırılarına karşı savunmasızdır. Grafiksel parolalar, görsel hafızadan yararlanırken, genellikle daha küçük parola uzaylarından veya yüksek zaman karmaşıklığından muzdariptir. 3B parolalar da belirli sınırlamalar sunmaktadır.

Bu makale, bu zayıflıkları ele almak için bir Çok Boyutlu Parola Oluşturma Tekniği önermektedir. Temel fikir, bulut paradigmasından logolar, görseller, metinsel bilgiler ve imzalar gibi birden fazla girdi parametresini birleştirerek güçlü bir parola oluşturmaktır. Bu yaklaşım, parola uzayını ve karmaşıklığını büyük ölçüde artırmayı ve böylece başarılı kaba kuvvet saldırılarının olasılığını azaltmayı amaçlamaktadır.

2. Önerilen Çok Boyutlu Parola Oluşturma Tekniği

Önerilen teknik, birden fazla boyuttan veya parametreden oluşturulan bir parola kullanarak bulut erişimini doğrular. Bu, tek faktörlü (metin) veya çift faktörlü yaklaşımların ötesine geçerek daha bütünsel, bağlam duyarlı bir kimlik doğrulama modeline yönelir.

2.1 Mimari ve Bileşenler

Sistem mimarisi, parametre girişi için istemci tarafı arayüzü ve parola oluşturma ve doğrulama için sunucu tarafı motorunu içerir. Temel bileşenler şunlardır:

• Parametre Giriş Modülü: Kullanıcıdan çeşitli girdileri toplar (örneğin, seçilen hizmet logosu, kişisel bir görsel parçası, bir metin ifadesi, grafiksel bir imza).
• Birleştirme Motoru: Girdi parametrelerini algoritmik olarak benzersiz, yüksek entropili bir belirtece dönüştürür.
• Kimlik Doğrulama Sunucusu: Oluşturulan çok boyutlu karmayı saklar ve kullanıcı giriş denemelerini doğrular.
• Bulut Hizmeti Ağ Geçidi: Başarılı kimlik doğrulama sonrasında erişim izni verir.

2.2 Sıra Diyagramı ve İş Akışı

Kimlik doğrulama sırası şu adımları izler:

1. Kullanıcı bulut portalına erişir ve girişi başlatır.
2. Sistem çok boyutlu girdi arayüzünü sunar.
3. Kullanıcı gerekli parametreleri sağlar (örneğin, SaaS simgesini seçer, bir desen çizer, bir anahtar kelime girer).
4. İstemci tarafı modülü, parametre setini kimlik doğrulama sunucusuna gönderir.
5. Sunucunun birleştirme motoru girdileri işler, bir karma değer oluşturur ve saklanan kimlik bilgisiyle karşılaştırır.
6. Eşleşirse, talep edilen bulut hizmetine (SaaS, IaaS, PaaS, DSaaS) erişim izni verilir.

2.3 Parola Oluşturma Algoritması

Makale, son parolanın $P_{md}$'nin $n$ girdi parametresinin bir $F$ fonksiyonu olduğu kavramsal bir algoritmayı ana hatlarıyla açıklar: $P_{md} = F(p_1, p_2, p_3, ..., p_n)$. Her $p_i$ parametresi farklı bir boyuta (görsel, metinsel, sembolik) aittir. $F$ fonksiyonu muhtemelen birleştirme, karma oluşturma (örneğin, SHA-256) ve sabit uzunlukta kriptografik bir belirteç üretmek için tuzlama işlemlerini içerir.

3. Detaylı Tasarım ve Uygulama

3.1 Kullanıcı Arayüzü Tasarımı

Önerilen kullanıcı arayüzü, çok panelli bir web formudur. Tipik bir arayüz şunları içerebilir:

• Seçim için bulut hizmet logolarından (SaaS, IaaS, PaaS, DSaaS) oluşan bir ızgara.
• Basit bir imza veya şekil çizmek için bir tuval.
• Bir parola ifadesi girmek için bir metin alanı.
• Kişisel bir fotoğraf için bir görsel yükleme alanı (belirli bir bölge seçmek için kırpma aracı ile).

Bu kombinasyon, kullanıcının oturumuna ve bulut hizmeti bağlamına özgüdür.

3.2 Güvenlik Olasılık Analizi

Önemli bir katkı, saldırı olasılığının teorik analizidir. Geleneksel bir metin parolasının uzay boyutu $S_t$ ise ve eklenen her $i$ boyutunun uzay boyutu $S_i$ ise, çok boyutlu şema için toplam parola uzayı $S_{total} = S_t \times S_1 \times S_2 \times ... \times S_n$ olur.

Başarılı bir kaba kuvvet saldırısının olasılığı $S_{total}$ ile ters orantılıdır: $P_{attack} \approx \frac{1}{S_{total}}$. $S_{total}$'ı astronomik olarak büyük (örneğin, $10^{20}$+) yaparak, önerilen teknik, bulut ortamlarında mümkün olan dağıtık bilgi işlem saldırılarına karşı bile $P_{attack}$'ı ihmal edilebilir bir seviyeye indirmeyi amaçlamaktadır.

4. Sonuç ve Gelecek Çalışmalar

Makale, Çok Boyutlu Parola Oluşturma tekniğinin, bulut paradigmasının çok yönlü doğasından yararlanarak mevcut bulut kimlik doğrulama yöntemlerine göre daha güçlü bir alternatif sunduğu sonucuna varmaktadır. Parola uzayını önemli ölçüde genişleterek, kaba kuvvet saldırılarını hesaplama açısından uygulanamaz hale getirir.

Gelecek çalışmalar arasında tam bir prototip uygulaması, hatırlanabilirlik ve kullanılabilirliği değerlendirmek için kullanıcı çalışmaları yapılması, standart bulut API'leriyle (OAuth 2.0/OpenID Connect gibi) entegrasyon ve kimlik doğrulama sırasında anormal girdi kalıplarını tespit etmek için makine öğreniminin kullanımının araştırılması yer almaktadır.

5. Özgün Analiz ve Uzman Görüşü

Temel İçgörü: Bu 2012 tarihli makale, bulut güvenliğindeki kritik ve kalıcı bir kusuru—zayıf, tek boyutlu kimlik doğrulamaya bağımlılığı—belirlemekte ve kombinatoriyal bir çözüm önermektedir. Öngörüsü takdire şayandır, çünkü günümüz saldırıları kimlik bilgisi doldurma için giderek daha fazla bulut bilgi işlem gücünden yararlanmaktadır. Parola gücünü hizmet ekosisteminin kendisinden türetme anlamındaki "bağlamsal entropi" temel fikri, şimdi her zamankinden daha alakalıdır ve daha sonra uyarlamalı kimlik doğrulamada görülen ilkeleri öngörmektedir.

Mantıksal Akış: Argüman sağlamdır: 1) Bulut benimsemesi patlama yapıyor. 2) Mevcut parolalar kırıldı. 3) Bu nedenle, bir paradigma değişikliğine ihtiyacımız var. Önerilen değişim mantıklıdır: bulut ölçekli saldırılarla bulut bağlamlı sırlarla mücadele edin. Ancak akış, önerilen tekniğin karmaşıklığını o dönemde ortaya çıkan FIDO'nun erken kavramları gibi standartlarla titizlikle karşılaştırmayarak tökezlemektedir; bu standartlar da benzer sorunları çözmek için ilgi görmekteydi.

Güçlü ve Zayıf Yönler: En büyük güçlü yan teorik güvenlik kazancıdır. Bağımsız olasılıkları çarparak, şema zorlu bir bariyer oluşturur. Bu, anahtar uzayının en önemli olduğu kriptografi ilkeleriyle uyumludur. Makalenin zayıf yanı, göze çarpan kullanılabilirlik ihmalidir. Parola oluşturmayı salt bir kriptografi problemi olarak ele alır, insan faktörünü—çoğu güvenlik sisteminin Aşil topuğunu—görmezden gelir. NIST ve SANS Enstitüsü gibi kuruluşların çalışmaları, aşırı karmaşık kimlik doğrulamanın, kullanıcıların geçici çözümlere (parolaları yazmak gibi) başvurmasına yol açarak herhangi bir güvenlik faydasını geçersiz kıldığını tutarlı bir şekilde göstermektedir. Ayrıca, makale, bu çeşitli veri türlerinin nasıl güvenli bir şekilde iletileceği ve karmalanacağı konusunda somut bir tartışmadan yoksundur; bu önemsiz olmayan bir mühendislik zorluğudur.

Uygulanabilir İçgörüler: Modern uygulayıcılar için bu makale bir düşünce başlatıcıdır, bir plan değil. Uygulanabilir içgörü, katmanlı, bağlam duyarlı kimlik doğrulama felsefesini benimsemek ancak bunu modern, kullanıcı merkezli araçlarla uygulamaktır. Özel çok girdili bir kullanıcı arayüzü oluşturmak yerine, kanıtlanmış bir çok faktörlü kimlik doğrulama (MFA) sağlayıcısını entegre edin. Bağlamı (cihaz, konum, zaman) arka planda sessizce dikkate alan risk tabanlı kimlik doğrulamasını (RBA) kullanın. Yüksek değerli erişim için bunu, kullanıcıyı karmaşık çok boyutlu girdileri hatırlama yüküyle karşılaştırmadan kimlik avına dayanıklı güçlü kimlik doğrulama sağlayan donanım güvenlik anahtarları (FIDO2/WebAuthn) ile birleştirin. Gelecek, insanların oluşturması için parolaları daha karmaşık hale getirmekte değil, şeffaf bir şekilde çalışan teknoloji aracılığıyla kimlik doğrulamayı daha sorunsuz ve sağlam hale getirmektedir.

6. Teknik Detaylar ve Matematiksel Formülasyon

Şemanın güvenliği matematiksel olarak modellenebilir. Şöyle olsun:

• $D = \{d_1, d_2, ..., d_n\}$ boyutlar kümesi olsun (örneğin, $d_1$=Logo, $d_2$=Görsel, $d_3$=Metin).
• $V_i$, $d_i$ boyutu için olası değerler kümesi olsun, boyutu $|V_i|$.
• Toplam parola uzayı boyutu: $N = \prod_{i=1}^{n} |V_i|$.

Bir saldırganın saniyede $G$ tahmin yapabildiğini varsayarsak, parolayı kırma için beklenen süre $T$: $T \approx \frac{N}{2G}$ saniyedir. Örneğin, eğer $|V_{logo}|=10$, $|V_{image}|=100$ (seçilebilir bölgeler düşünüldüğünde), $|V_{text}|=10^6$ (6 karakterlik bir metin parolası için) ise, o zaman $N = 10 \times 100 \times 10^6 = 10^9$ olur. Eğer $G=10^9$ tahmin/saniye (agresif bulut tabanlı saldırı) ise, $T \approx 0.5$ saniyedir, bu zayıftır. Bu, her boyutta yüksek entropili girdilerin kritik ihtiyacını göstermektedir. Makale, $N$'yi $10^{20}$ veya daha yükseğe çıkarmak için daha fazla boyut veya daha zengin girdiler (örneğin, $|V_{image}|=10^6$) kullanılmasını önermektedir, böylece $T$ pratik olmayacak kadar büyük olur.

7. Deneysel Sonuçlar ve Grafik Açıklaması

Makale öncelikle kavramsal olmakla birlikte, saldırı olasılığının karşılaştırmalı bir analizini ima etmektedir. Türetilmiş bir grafik, muhtemelen farklı şemalar için Parola Uzayı Boyutu (log ölçek) ile Tahmini Kırma Süresi'ni çizecektir.

• Çizgi 1 (Metin Parolası): Düşük bir plato gösterir. $10^{10}$ olasılıkla bile, bulut bilişimle dakikalar/saatler içinde kırılabilir.
• Çizgi 2 (Grafiksel Parola): Orta düzeyde bir artış gösterir, ancak genellikle pratik ızgara boyutlarıyla sınırlıdır (örneğin, tıklama noktaları için 10x10 ızgara).
• Çizgi 3 (Önerilen Çok Boyutlu): Dik, üstel bir tırmanış gösterir. Boyutlar (n) 2'den 4'e çıktıkça, parola uzayı birkaç büyüklük sırası atlar (örneğin, $10^{12}$'den $10^{24}$'e), tahmini kırma süresini aşırı saldırı senaryolarında bile günlerden milyarlarca yıla iter.

Bu teorik grafik, temel güvenlik önermesini görsel olarak gösterir: çarpımsal karmaşıklık, üstel güvenlik kazanımlarına yol açar.

8. Analiz Çerçevesi: Örnek Vaka

Senaryo: Bir finansal hizmetler şirketi "FinCloud", portföy yönetimi için bir SaaS uygulaması kullanmaktadır. Kimlik bilgisi tabanlı saldırılardan endişe duymaktadırlar.

Çerçevenin Uygulanması:

1. Boyut Eşleme: FinCloud'un girişi için 3 boyut tanımlarız:
   - $D_1$: Hizmet Bağlamı (Kullanıcı, 5 şirket onaylı SaaS simgesinden belirli portföy yönetimi uygulama simgesini seçmelidir).
   - $D_2$: Bilgi Faktörü (Kullanıcı 4 haneli bir PIN girer: $10^4$ olasılık).
   - $D_3$: Özellik Faktörü (Basitleştirilmiş) (Kullanıcı, önceden kayıtlı 4 grafiksel belirteçten birini, belirli bir hisse senedi grafik deseni gibi, seçer).
2. Uzay Hesaplaması: Toplam parola uzayı $N = 5 \times 10^4 \times 4 = 200,000$. Bu hala düşük.
3. Güvenlik Değerlendirmesi: Saf uygulama zayıftır. Gelişmiş Modern Uygulama: $D_2$'yi zaman tabanlı tek kullanımlık parola (bir uygulamadan TOTP, $10^6$ uzay) ile değiştirin. $D_3$'ü davranışsal biyometrik (sessizce analiz edilen yazma ritmi) ile değiştirin. Şimdi, $N$ etkin bir şekilde TOTP uzayı ile biyometrik yanlış kabul oranının çarpımı olur ve kullanıcı dostu, sağlam, çok faktörlü, bağlam duyarlı bir sistem oluşturur.

Bu vaka, makalenin çok boyutlu kavramının nasıl pratik, modern bir kimlik doğrulama stratejisine evrilebileceğini göstermektedir.

9. Gelecek Uygulamalar ve Yönelimler

Çok boyutlu kimlik doğrulama ilkeleri, geleneksel bulut girişinin ötesine uzanır:

• Nesnelerin İnterneti (IoT) Cihaz Onboarding: Yeni bir akıllı cihazın bir bulut platformuna kimlik doğrulaması, bir QR kod taraması (görsel boyut), cihaz tarafından oluşturulan bir nonce (veri boyutu) ve fiziksel bir düğmeye basma (eylem boyutu) kombinasyonunu gerektirebilir.
• Ayrıcalıklı Erişim Yönetimi (PAM): Bulut yönetici konsollarına erişim, bir parola, bir sertifika (makine kimliği boyutu) ve bir coğrafi sınırlama kontrolü (konum boyutu) gerektirebilir.
• Merkezi Olmayan Kimlik (Öz Egemen Kimlik): Çok boyutlu kimlik bilgileri, blok zinciri tabanlı bir kimlik cüzdanında doğrulanabilir talepler olarak temsil edilebilir; burada kimlik doğrulama, ham verileri açığa vurmadan birden fazla talebin (örneğin, işverenden bir kimlik bilgisi, bir devlet kimliği, bir üniversite diploması) sahipliğini kanıtlamayı içerir.
• Yapay Zeka Destekli Uyarlamalı Boyutlar: Gelecekteki sistemler, gerçek zamanlı risk skoruna dayalı olarak hangi boyutlara meydan okuyacağını dinamik olarak seçmek için yapay zeka kullanabilir. Bilinen bir cihazdan düşük riskli bir giriş yalnızca bir boyut gerektirebilirken, yüksek riskli bir deneme, bant dışı doğrulama dahil birden fazla boyutu tetikleyebilir.

Evrim, bu boyutları daha sorunsuz, standartlaştırılmış ve gizliliği koruyucu hale getirmektedir.

10. Kaynaklar

1. Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology, SP 800-145.
2. Buyya, R., Yeo, C. S., Venugopal, S., Broberg, J., & Brandic, I. (2009). Cloud computing and emerging IT platforms: Vision, hype, and reality for delivering computing as the 5th utility. Future Generation computer systems, 25(6), 599-616.
3. SANS Institute. (2020). The Human Element in Security: Behavioral Psychology and Secure Design. InfoSec Reading Room.
4. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP Specifications. https://fidoalliance.org/fido2/
5. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. In 2012 IEEE Symposium on Security and Privacy (pp. 553-567). IEEE.
6. OWASP Foundation. (2021). OWASP Authentication Cheat Sheet. https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html