Her geçen gün değişen ve gelişen tehditlere karşı biz güvenlik uzmanları da sürekli olarak sahip olduğumuz teknolojileri güncel tutmaya çalışıyor ve ek koruma önlemleri ile özellikle kullanıcı kimlik bilgilerini daha güvenli bir şekilde yaşatmaya çalışıyoruz.
Microsoft başta olmak üzere gerek bulut sağlayıcıları gerekse global pazarda servis sağlayıcıları şifresiz bir dünya için çalışmalarını sürdürüyor. Güvenlik yatırımlarının en zayıf halkası olan şifrelerin bir şekilde sızdırılması, ele geçirilmesi, tahmin edilmesi gibi nedenlerden dolayı pek çok kritik sistemde Multi Factor Authentication MFA veya 2FA Two Factor Authentication dediğimiz şifrenin yanında gerçekten kullanıcının kimliğini doğrulayacak ek parametreler tanımlanabilir. Örneğin en çok bilinen uygulama yıllardır paralarımızı korumak için internet şubesine girerken kullandığımız SMS uygulamasıdır. Şifrenizi girersiniz ancak bu şifreyi birisi çalmış, tahmin etmiş veya siz sızdırmış olabilirsiniz, ancak internet şubesine giriş için tek bir şifre yeterli olmaz. Telefonunuza gelen sms veya soft token olarak adlandırdığımız mobil uygulamalardan alacağınız doğrulama kodunu kullanmanız ek güvenlik önlemi olarak kullanılmaktadır.
Aslında VPN, sistem girişleri, portal girişleri ve benzeri pek çok örneğini görebileceğimiz MFA – 2FA güvenliğin ön planda olduğu sistemler için günümüzdeki en iyi alternatiflerden birisidir.
Eğer bu konuda daha görsel bir şeyler görmek istiyorsanız bu yazıyı okumanızı tavsiye ederim.
https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
YubiKey, Ubico firması tarafından üretilen aslında bir 2FA ürünüdür. Pek çok farlı ürün yelpazesi olmasına karşın benim makaledeki gündemim Window Hello ile uyumlu olan modelleri olacaktır.
Ürünün web sitesi aşağıdaki gibi olup incelediğiniz zaman zaten çok etkili bir slogan göreceksiniz;
“Modern two factor authentication” Modern iki faktör kimlik doğrulama. Evet ürünler gerçekten yeni nesil teknolojiler barındırmaktadır.
Benim ilgilendiğim modeller Yubikey 4 Series olarak geçen aşağıdaki modellerdir;
YubiKey 4 (Makale için bu modeli kullandım)
YubiKey 4 Nano
YubiKey 4C
YubiKey 4C Nano
Temelde baktığınız zaman iki tane standart USB, iki tane USB-C model görüyoruz. Yine kendi içlerinde bir tanesi makine üzerinde uzun süreli kullanım (örnek uygulama güvenliği için ) için ince tasarlanmış, bir tanesi ise daha çok logon operasyonlarında kullanılmak üzere daha kolaylıkla çıkartılıp takılacak hatta anahtarlığa takılacak şekilde tasarlanmıştır.
Karşılaştırma tablosuna baktığınız zamanda zaten benzer özelliklerinin olduğunu görüyoruz;
Peki bu ürünü nerelerde kullanabiliriz?
Aslında makalenin de başlığından anlaşılacağı üzere ben Windows 10 bilgisayarımda oturum açmak için kullanıyorum ancak ürün tabiki sadece Microsoft sistemleri ile değil Dropbox, Facebook, Google, Twitter başta olmak üzere pek çok popüler FIDO Alliance üyelerinin ürünleri ile entegredir.
https://fidoalliance.org/participate/members-bringing-together-ecosystem/
Temel olarak makale için kullandığım ürün 4 form faktörüne sahiptir.
Yani hangi form faktörünü kullanmak istiyorsanız YubiKey Manager isimli programı indirim ayarlamanız yeterli. Bu aslında ürünün en beğendiğim özelliklerinden birisi. Yani bir nevi herkesin güvenlik iş ihtiyaçları için bir çözüm sunuyor olması.
Cihazda iki slot olduğu için ilk slot için Yubico OTP, ikinci slot için örneğin static password kullanabilirsiniz.
Cihazı kendinize göre yapılandırmak için aşağıdaki aracı indirmenizi tavsiye ederim
YubiKey Personalization Tools
https://www.yubico.com/products/services-software/download/yubikey-personalization-tools/
Bu aracı indirdikten sonra karşınıza aşağıdaki gibi bir ekran çıkacaktır;
Tabiki farklı bir USB cihaz kullanıyorsanız bir kısım değişik olabilir.
Bu program sayesinde 4 faktör içinde yapılandırma ayarlarını değiştirebiliriz.
Makalemin başında da belirttiğim gibi Facebook, Dropbox, Google ve benzeri platformlar için kimlik doğrulama faktörü (2FA – MFA) olarak kullanabilirsiniz.
HOTP anahtarı olarak tanım yapabilirsiniz
Statik Parola tanımı yapabilirsiniz.
Bu size ilginç gelebilir, yani çoklu güvenlik için aldığımız bir cihazda neden böyle bir statik şifre özelliği var. Bazı program- uygulamalar da sürekli olarak aynı şifre girişi gerekebilir, bu aslında yine yukarıda bahsettiğim gibi bize sunulan 4 faktörden birisi ve bunu kullanmak size kalmış. Gerçekten sürekli aynı şifre girişleri yaptığım uygulamalar için bence çok kullanışlı. Ek olarak unutmayın ki bunu diğer bir faktör ile aynı anda kullanabiliyorsunuz. Çünkü aşağıda da görebileceğiniz için iki slot bulunuyor cihaz üzerinde
Son olarak Challenge Response Mode ayarlarını yapabilirsiniz.
Bu ve benzeri yapılandırmalar için aşağıdaki görsel eğitim videolarını izlemenizi tavsiye ederim.
Evet benim odaklandığım özellikler aslında bunlar olmadığı için temel olarak ürün özelliklerinden bahsetmek istedim. Ancak benim için önemli olan aslında Windows HELLO uygulaması.
Şimdi gelelim asıl konumuza. Windows 10 bir bilgisayarınız var ve amacınız bunun logon işlemini daha güvenli bir hale getirmek. Bu durumda yapmanız gerekenleri sırası ile sizlerle paylaşıyorum.
YubiKey Windows 10 1607 öncesinde kullanılmak üzere bir windows uygulaması sunuyordu, ancak 1607 ve sonraki sürümlerde artık bu uygulamaya gerek kalmadan Windows Store üzerindeki bir uygulama ile logon süreçlerini yönetebiliyorsunuz.
Windows 10 Store üzerinden aşağıdaki uygulamayı indirmeniz gerekiyor;
https://www.microsoft.com/en-us/p/yubikey-for-windows-hello/9nblggh511m5
Daha sonra cihazımızı bilgisayarınıza bağlayın ve uygulamayı açın;
Register butonuna basarak süreci başlatın.
Cihazınız takılı ise devam edebilirsiniz.
Bir isim veriyoruz.
Evet şimdi hesabımız ile bağlamaya hazırız, yine ilerliyoruz.
Hesabımız ile bağlantı için PIN kullanımı şart, bende aktif bir PIN olduğu için bunu soruyor, eğer sizde aktif bir PIN yok ise öncelikle PIN tanımı yapmanızı isteyecektir.
PIN kodumu doğru girmem işlemi tamamlamam için yeterliydi. Evet artık hazırız. Şimdi sistem nasıl çalışıyor kontrol edelim.
USB cihazını önce çıkardım ve makinemi lock ettim.
Not: Makalemin bu bölümünde son kullanıcılar için bir kullanım örneği paylaşıyorum, ancak siz bu ürünü kurumsal bir domain ortamında kullanacak iseniz bu durumda SmartCard olarak kullanabilirsiniz. Yani hem login hem de lock için kullanabilirsiniz.
Bunun için uygun bir vaktimde Smart Card olarak cihazı kurumsal ortamlarda nasıl kullanacağınıza dair bir makale daha yazacağım.
Peki şimdi ürünün çalışmasını görelim.
USB dongle’ ı çıkardım ve makinemi lock ettim, lock ekranı aşağıdaki gibidir;
Herhangi bir tuşa bastığınız zaman yukarıdaki gibi bir ekran gelir, aslında YubiKey’ i takmanızı bekliyor sistem. Eğer takarsanız sistem otomatik olarak açılacaktır.
Eğer herhangi bir soru yaşarsanız veya o anda dongle çalışmaz ise Sign-in options bölümünden pin veya password ile yine giriş yapabilirsiniz.
Bu aşamada tabiki yine kurumsal bir firma ve smart card login şart ise giriş yapamazsınız.
Evet bir makalemin daha sonuna geldim, umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.
