Bulut Hizmetleri Kimlik Doğrulaması için Çok Boyutlu Parola Oluşturma

İçindekiler

1. Giriş

Bulut bilişim, internet üzerinden talep üzerine hizmetler (SaaS, PaaS, IaaS, DSaaS) sağlar. Bu hizmetlere güvenli erişim, sağlam kimlik doğrulamaya dayanır. Metinsel, grafiksel ve 3B parolalar gibi geleneksel yöntemlerin önemli dezavantajları vardır: sözlük/kaba kuvvet saldırılarına karşı savunmasızlık (metinsel), zaman karmaşıklığı ve sınırlı parola uzayı (grafiksel) ve diğer sınırlamalar (3B). Bu makale, bulut paradigmasından gelen birden fazla girdi parametresini birleştirerek bulut hizmetleri için daha güçlü kimlik doğrulama oluşturmak amacıyla bir Çok Boyutlu Parola Oluşturma Tekniği önermektedir.

2. Önerilen Çok Boyutlu Parola Oluşturma Tekniği

Temel fikir, birden fazla parametreden (boyut) oluşturulan bir parola kullanarak bulut erişimini doğrulamaktır. Bu parametreler metinsel bilgi, görüntüler, logolar, imzalar ve diğer buluta özgü unsurları içerebilir. Bu çok yönlü yaklaşım, parola uzayını ve karmaşıklığını katlanarak artırmayı ve böylece başarılı kaba kuvvet saldırılarının olasılığını azaltmayı amaçlamaktadır.

2.1 Mimari & Sıra Diyagramı

Önerilen sistem mimarisi, bir istemci arayüzü, bir kimlik doğrulama sunucusu ve bulut hizmetlerini içerir. İşlem sırası şu şekildedir: 1) Kullanıcı, özel bir arayüz aracılığıyla farklı boyutlarda birden fazla parametre girer. 2) Sistem, bu girdileri tanımlanmış bir algoritma kullanarak işler ve birleştirerek benzersiz, çok boyutlu bir parola özeti veya belirteci oluşturur. 3) Oluşturulan bu kimlik bilgisi, doğrulama için kimlik doğrulama sunucusuna gönderilir. 4) Başarılı doğrulama sonrasında, talep edilen bulut hizmetine erişim izni verilir. Mimari, parola oluşturma mantığını temel bulut hizmetlerinden ayırmayı vurgulamaktadır.

2.2 Detaylı Tasarım & Algoritma

Tasarım, çok boyutlu girdileri yakalamak için kullanıcı arayüzünü ve parola oluşturma için arka uç algoritmasını detaylandırır. Algoritma muhtemelen farklı girdi türlerini normalleştirme (örneğin, bir görüntüyü özellik vektörüne dönüştürme, metni özetleme), bunları bir fonksiyon kullanarak birleştirme (örneğin, birleştirme ve ardından kriptografik özet) ve nihai güvenli bir belirteç oluşturma adımlarını içerir. Makale, bu algoritmayı ve görüntü seçimi, metin giriş alanları ve imza pedlerini gösteren tipik UI taslaklarını sunmaktadır.

3. Güvenlik Analizi & Kırılma Olasılığı

Önemli bir katkı, kimlik doğrulama sisteminin kırılma olasılığının türetilmesidir. Geleneksel bir metin parolasının uzay boyutu $S_t$ ise ve eklenen her boyut (örneğin, $n$ görüntüden oluşan bir kümeden görüntü seçimi) $S_i$ uzayı ekliyorsa, $k$ boyut için toplam parola uzayı yaklaşık olarak $S_{total} = S_t \times \prod_{i=1}^{k} S_i$ olur. Kaba kuvvet saldırı hızının $R$ olduğunu varsayarsak, parolayı kırma süresi $S_{total} / R$ ile ölçeklenir. Makale, $k$ ve her bir $S_i$ artırılarak $S_{total}$'ın çarpımsal olarak büyüdüğünü ve kaba kuvvet saldırılarını hesaplama açısından uygulanamaz hale getirdiğini savunmaktadır. Örneğin, 8 karakterlik bir metin (~$2^{53}$ olasılık), 100 görüntüden bir seçim, grafiksel bir hareket dizisi ve bir imza özetini birleştiren 4 boyutlu bir parola, $2^{200}$'ü aşan bir arama uzayı oluşturabilir ki bu, öngörülebilir hesaplama gücüne karşı güvenli kabul edilir.

4. Sonuç & Gelecek Çalışmalar

Makale, çok boyutlu parola tekniğinin, bulut paradigmasının geniş parametre uzayından yararlanarak bulut kimlik doğrulaması için daha güçlü bir alternatif sunduğu sonucuna varmaktadır. Tek boyutlu yöntemlerin zayıflıklarını hafifletir. Önerilen gelecek çalışmalar arasında bir prototip uygulama, akılda kalıcılık ve kullanılabilirlik üzerine kullanıcı çalışmaları yapma, kullanıcı davranışına dayalı uyarlanabilir kimlik doğrulama için makine öğrenimini keşfetme ve tekniği OAuth 2.0 veya OpenID Connect gibi mevcut standartlarla entegre etme yer almaktadır.

5. Özgün Analiz & Uzman Yorumu

Temel İçgörü: Makalenin temel önermesi—güvenliğin, kimlik doğrulama faktörü uzayını toplamsal olarak değil çarpımsal olarak genişleterek güçlendirilebileceği—teoride sağlamdır ancak pratikte meşhur bir şekilde zorludur. Tek faktörlü yöntemlerin entropi tavanını doğru bir şekilde tanımlar ancak insan faktörü darboğazlarını hafife alır. Yaklaşım, kullanılabilirlik sorunları nedeniyle benimsemede zorluk çeken 90'ların sonlarındaki "bilişsel parola" kavramlarını anımsatmaktadır.

Mantıksal Akış: Argüman klasik bir akademik yapıyı izler: problem tanımı (zayıf mevcut yöntemler), hipotez (çok boyutlu girdiler güvenliği artırır) ve teorik doğrulama (olasılık analizi). Ancak, daha büyük teorik parola uzayından pratik güvenliğe atlanan mantıksal sıçrama önemlidir. Kimlik avı (tüm çok boyutlu girişi atlayacak), girdileri gerçek zamanlı olarak yakalayan kötü amaçlı yazılımlar veya oluşturma algoritmasının kendisine yönelik yan kanal saldırıları gibi kritik tehdit modellerini üstünkörü geçmektedir. NIST'in Dijital Kimlik Kılavuzları'nda (SP 800-63B) belirtildiği gibi, gizli karmaşıklık yalnızca bir dayanaktır; yakalanmaya, tekrarlamaya ve kimlik avına direnç eşit derecede hayatidir.

Güçlü & Zayıf Yönler: Birincil gücü, kombinatoryal karmaşıklığı artırmak için zarif matematiksel temelidir. Kimlik bilgisi uzayını genişletmede zekice bir akademik alıştırmadır. Büyük zayıflığı pratik miyopluğudur. İlk olarak, kullanılabilirlik muhtemelen zayıftır. Birden fazla farklı unsuru (bir ifade, belirli bir görüntü, bir imza) hatırlamak ve doğru bir şekilde yeniden üretmek yüksek bir bilişsel yük getirir, bu da kullanıcı hayal kırıklığına, artan oturum açma sürelerine ve nihayetinde kimlik bilgilerini yazmak gibi güvensiz kullanıcı davranışlarına yol açar. İkinci olarak, potansiyel olarak saldırı yüzeyini artırır. Her yeni girdi boyutu (örneğin, bir imza yakalama bileşeni), yakalama veya işleme kodunda yeni potansiyel güvenlik açıkları getirir. Üçüncüsü, FIDO Alliance tarafından desteklenen ve açık anahtar kriptografisi kullanan WebAuthn gibi modern, belirteç tabanlı, kimlik avına dirençli kimlik doğrulama akışlarıyla birlikte çalışabilirliği yoktur.

Uygulanabilir İçgörüler: Bulut güvenlik mimarları için bu makale, bir plan olmaktan ziyade bir düşünce başlatıcı olarak hizmet eder. Uygulanabilir çıkarım, bu spesifik şemayı uygulamak değil, onun temel ilkesini benimsemektir: katmanlı, bağlam duyarlı kimlik doğrulama. Her oturum açmada birden fazla girdiyi zorlamak yerine, daha uygulanabilir bir yol uyarlanabilir kimlik doğrulamadır. Bir güçlü faktörü (WebAuthn aracılığıyla bir donanım güvenlik anahtarı gibi) temel olarak kullanın ve sistem tarafından şeffaf bir şekilde yönetilen ek, düşük sürtünmeli bağlam kontrollerini (cihaz parmak izi, davranışsal biyometrikler, coğrafi konum) katmanlayın. Bu, kullanıcıyı yormadan yüksek güvenlik sağlar. Google'ın ve Microsoft'un sıfır güven uygulamalarında görüldüğü gibi gelecek, giderek karmaşıklaşan statik parolalarda—hatta çok boyutlu olanlarda—değil, sürekli, risk tabanlı değerlendirmededir. Araştırma çabaları, daha fazla boyutla parola tekerleğini yeniden icat etmektense, kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) standartlarının kullanılabilirliğini ve dağıtımını iyileştirmeye harcanmalıdır.

6. Teknik Detaylar & Matematiksel Temel

Güvenlik, parola uzayının boyutu ile ölçülür. Şöyle olsun:

• $D = \{d_1, d_2, ..., d_k\}$, $k$ boyutun kümesi olsun.
• $|d_i|$, $i$ boyutu için olası farklı değer/seçim sayısını temsil etsin.

Olası benzersiz çok boyutlu parolaların toplam sayısı ($N$): $$N = \prod_{i=1}^{k} |d_i|$$ Eğer bir kaba kuvvet saldırısı saniyede $A$ parola deneyebiliyorsa, rastgele ve düzgün bir şekilde bir parolayı tahmin etmek için beklenen süre $T$: $$T \approx \frac{N}{2A} \text{ saniye}$$ Örneğin:

• Metin (8 karakter, karakter başına 94 seçenek): $|d_1| \approx 94^8 \approx 6.1 \times 10^{15}$
• 100 görüntüden seçim: $|d_2| = 100$
• 4 haneli PIN: $|d_3| = 10^4 = 10000$

O zaman $N \approx 6.1 \times 10^{15} \times 10^2 \times 10^4 = 6.1 \times 10^{21}$. $A = 10^9$ deneme/saniye ile, $T \approx 3.05 \times 10^{12}$ saniye ≈ 96.000 yıl. Bu, teorik gücü göstermektedir.

7. Analiz Çerçevesi & Kavramsal Örnek

Senaryo: Bulut tabanlı bir finansal panele (SaaS) güvenli erişim. Çerçeve Uygulaması:

1. Boyut Tanımı: Hizmet ve kullanıcı ile ilgili boyutları seçin.
   • D1: Bilgi Tabanlı: Bir parola ifadesi (ör. "BlueSky@2024").
   • D2: Görüntü Tabanlı: Bir ızgarada sunulan 50 soyut desenden oluşan bir kümeden kişisel bir "güvenlik görüntüsü" seçimi.
   • D3: Hareket Tabanlı: Dokunmatik bir arayüzde önceden tanımlanmış basit bir sürükleme hareketi (ör. belirli bir sırayla üç noktayı birleştirme).
2. Kimlik Bilgisi Oluşturma: Sistem, parola ifadesinin SHA-256 özetini alır, bunu seçilen görüntünün benzersiz kimliği ve hareket yolunun vektör temsili ile birleştirir ve birleştirilmiş dizenin özetini alarak nihai bir kimlik doğrulama belirteci üretir: $Token = Hash(Hash(Text) || Image_{ID} || Gesture_{Vector})$.
3. Kimlik Doğrulama Akışı: Kullanıcı şu şekilde oturum açar: 1) Parola ifadesini girer, 2) Kayıtlı görüntüsünü rastgele düzenlenmiş bir ızgaradan seçer (ekran görüntüsü saldırılarına karşı koymak için), 3) Sürükleme hareketini gerçekleştirir. Sistem belirteci yeniden oluşturur ve saklanan değerle karşılaştırır.
4. Güvenlik Değerlendirmesi: Bir saldırgan artık üç unsuru da doğru ve sırayla tahmin etmeli/yakalamalıdır. Bir tuş kaydedici yalnızca parola ifadesini alır. Omuz sörfü yapan biri görüntüyü ve hareketi görebilir ancak parola ifadesini göremez. Birleşik entropi yüksektir.
5. Kullanılabilirlik Dengesi: Oturum açma süresi artar. Kullanıcılar hangi görüntüyü veya hareketi seçtiklerini unutabilir, bu da hesap kilitlenmelerine ve yardım masası maliyetlerine yol açar. Yönetilmesi gereken kritik denge budur.

8. Gelecek Uygulamalar & Araştırma Yönleri

Uygulamalar:

• Yüksek Değerli Bulut İşlemleri: Finans veya sağlık bulutlarında büyük fon transferlerini veya hassas veri erişimini yetkilendirmek için, ek oturum açma sürtünmesinin kabul edilebilir olduğu durumlarda.
• Ayrıcalıklı Erişim Yönetimi (PAM): Bulut altyapısına (IaaS) erişen yöneticiler için ek bir katman olarak.
• Nesnelerin İnterneti (IoT) Bulut Ağ Geçitleri: Bir bulut platformuna bağlanan IoT cihazlarının güvenli, ilk sağlama ve yönetimi için.

Araştırma Yönleri:

• Kullanılabilirlik Odaklı Tasarım: Araştırmalar, çok boyutlu kimlik doğrulamayı sezgisel hale getirmeye odaklanmalıdır. Boyutlar, rutin sürtünmeyi azaltmak için kullanıcı bağlamına (cihaz, konum) dayalı olarak uyarlanabilir şekilde seçilebilir mi?
• Davranışsal Biyometriklerle Entegrasyon: Açık boyutlar yerine, oturum açma sürecindeki yazma ritmi, fare hareketleri veya dokunmatik ekran etkileşim kalıpları gibi örtük boyutlar, sürekli, şeffaf bir boyut oluşturmak için analiz edilebilir.
• Kuantum Sonrası Düşünceler: Çok boyutlu belirteç oluşturma algoritmasının, kuantum sonrası kriptografik özetler kullanılarak kuantum bilgisayar saldırılarına nasıl dirençli hale getirilebileceğini keşfetmek.
• Standardizasyon: Büyük bir engel standart eksikliğidir. Gelecek çalışmalar, FIDO2/WebAuthn ile birlikte çalışabilen, birlikte çalışabilir çok boyutlu kimlik bilgisi formatları için bir çerçeve önerebilir.

9. Kaynaklar

1. Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology, SP 800-145.
2. NIST. (2020). Digital Identity Guidelines: Authentication and Lifecycle Management. National Institute of Standards and Technology, SP 800-63B.
3. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP Specifications. Erişim adresi: https://fidoalliance.org/fido2/
4. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. IEEE Symposium on Security and Privacy.
5. Wang, D., Cheng, H., Wang, P., Huang, X., & Jian, G. (2017). A Survey on Graphical Password Schemes. IEEE Transactions on Dependable and Secure Computing.
6. Google Cloud. (2023). BeyondCorp Enterprise: A zero trust security model. Erişim adresi: https://cloud.google.com/beyondcorp-enterprise