1. Ana Sayfa
  2. Blog
  3. Güvenlik
  4. Kimlik Doğrulama ve Yetkilendirme arasındaki fark nedir?
Kimlik Doğrulama ve Yetkilendirme arasındaki fark nedir?

Kimlik Doğrulama ve Yetkilendirme arasındaki fark nedir?

Okumak 16 dakika
03 03 2023

Kimlik doğrulama ve yetkilendirme arasındaki farkları anlamanıza yardımcı olmak için bu kapsamlı kılavuzu hazırladık. Kimlik doğrulama ve yetkilendirme arasındaki farkı bilmek, verilerini ve sistemlerini güvende tutmak isteyen işletmeler için çok önemlidir. Bu kılavuzda, kimlik doğrulama ve yetkilendirmenin ne olduğunu, aralarındaki farkları açıklayacak ve verilerinizi güvende tutmak için en iyi uygulamaları paylaşacağız.

Giriş

Kimlik doğrulama ve yetkilendirme bilgisayar güvenliğinde iki önemli kavramdır. Kimlik doğrulama, bir kullanıcının, cihazın veya hizmetin kimliğini doğrulama işlemidir. Yetkilendirme ise, kimliği doğrulanmış kullanıcının izinlerine dayalı olarak bir kaynağa erişim izni verme veya reddetme işlemidir. Bu iki kavram, verilerinizi ve sistemlerinizi güvende tutmak için birlikte çalışır.

Kimlik Doğrulama

Kimlik Doğrulama Nedir?

Kimlik doğrulama, hassas bilgilere veya sistemlere yetkili erişime izin veren bir kullanıcının veya cihazın kimliğini doğrulama sürecini ifade eder. Siber güvenliğin hayati bir yönüdür ve güvenli erişimi sağlamak için farklı kimlik doğrulama türleri ve teknikleri vardır.

Kimlik doğrulama türleri

Kimlik doğrulama faktörleri (türleri), bir sisteme veya uygulamaya erişim izni vermeden önce bir kullanıcının kimliğini doğrulama yollarıdır. Üç ana kimlik doğrulama türü vardır:

1. Bildiğiniz bir şey: Bu kimlik doğrulama türü, parola, PIN veya bir güvenlik sorusunun yanıtı gibi bir sırrın bilinmesine dayalı olarak bir kullanıcının kimliğinin doğrulanmasını içerir.

    2. Sahip olduğunuz bir şey: Bu kimlik doğrulama türü, kullanıcının kimliğinin akıllı kart, token veya mobil cihaz gibi fiziksel bir nesneye sahip olması temelinde doğrulanmasını içerir.

    3. Olduğunuz bir şey: Bu kimlik doğrulama türü, parmak izi, yüz tanıma veya retina taraması gibi fiziksel özelliklere dayalı olarak kullanıcının kimliğinin doğrulanmasını içerir.

    Kimlik doğrulama faktörleri, Kullanıcı Kimliği parolası, kullanıcı adı parolası ve kullanıcı adı parola kombinasyonu dahil olmak üzere bir kullanıcının kimliğini doğrulamak için kullanılan farklı bilgi parçalarını veya kimlik bilgilerini ifade eder.

    Kimlik doğrulama teknikleri:

    Parola tabanlı kimlik doğrulama, kullanıcının bir sisteme veya uygulamaya erişmek için bir kullanıcı adı veya e-posta ve bir parola sağladığı basit ve yaygın olarak kullanılan bir tekniktir. Parola, kullanıcının sisteme erişim yetkisi olup olmadığını doğrulamak için sistemde önceden saklanan bir karma değerle karşılaştırılır.

    Parolasız kimlik doğrulama, kullanıcıların bir parola girmeden bir sisteme veya uygulamaya erişmelerini sağlayarak karmaşık parolalar oluşturma ve hatırlama ihtiyacını ortadan kaldırır. Bunun yerine, kullanıcının kimliği biyometrik kimlik doğrulama, belirteçler veya akıllı kartlar gibi başka araçlar kullanılarak doğrulanır.

    • 2FA/MFA (iki faktörlü/çok faktörlü kimlik doğrulama), kullanıcıların bir sisteme veya uygulamaya erişmek için iki veya daha fazla kimlik doğrulama biçimi sağlamasını gerektiren bir tekniktir. Bu, bir parola ve parmak izi taramasını içerebilir.
    • Tek oturum açma (SSO) , kullanıcıların tek biroturum açma kimlik bilgisi seti ile birden fazla uygulamaya veya sisteme erişmesine olanak tanır. Bu teknik, kullanıcıların birden fazla parolayı hatırlama ihtiyacını azaltır ve oturum açma sürecini basitleştirir. SSO genellikle çalışanların çeşitli sistemlere ve uygulamalara erişmesi gereken kurumsal ortamlarda kullanılır.
    • Sosyal kimlik doğrulama, kullanıcıların Facebook veya Google hesapları gibi sosyal medya oturum açma kimlik bilgilerini kullanarak bir sisteme veya uygulamaya erişmelerini sağlar. Bu teknik, kullanıcılar için kimlik doğrulama sürecini basitleştirir ve sosyal medya platformları genellikle gelişmiş güvenlik önlemlerine sahip olduğundan parola tabanlı kimlik doğrulamadan daha güvenli olabilir.

    Güvenli erişim sağlamak için, kullanıcı kimliğini doğrulamak ve hassas veri ve sistemlere erişim kontrolünü yönetmek üzere bir kimlik doğrulama sunucusuna veya kimlik doğrulama hizmetine sahip olmak çok önemlidir. Siber tehditlere karşı koruma sağlamak için sunucu kimlik doğrulaması ve kullanıcı adı-şifre kombinasyonu gibi uygun kimlik doğrulama protokolleri gereklidir.

    Yetkilendirme

    Yetkilendirme Nedir?

    Yetkilendirme, bir kullanıcının veya cihazın belirli bir kaynağa erişmek için gerekli izinlere sahip olup olmadığını belirleme işlemidir. Hassas bilgilerin ve sistemlerin yetkisiz erişime karşı korunmasına yardımcı olur.

    Yetkilendirmeyi tanımlamak gerekirse, kullanıcının veya cihazın kimlik doğrulama ve yetkilendirme durumuna göre belirli bir kaynağa erişim izni vermek veya reddetmek anlamına gelir. Kullanıcı yetkilendirme işlemi, kullanıcının kimlik doğrulama durumunu kontrol etmeyi, kimlik bilgilerini doğrulamayı ve ardından hangi kaynaklara erişmesine izin verildiğini belirlemek için yetkilendirme durumunu kontrol etmeyi içerir.

    İstemci Kimliği, bir kaynağa erişim yetkisi olan bir istemci uygulamasına atanan benzersiz bir tanımlayıcıdır. Kimlik doğrulama ve yetkilendirme sürecinde, istemci uygulamanın istenen kaynağa erişmek için gerekli izinlere sahip olduğundan emin olmak için kullanılır.

    Yetkilendirme türleri

    Her birinin kendine özgü güçlü ve zayıf yönleri olan farklı yetkilendirme türleri vardır.

    • Rol Tabanlı Erişim Kontrolü (RBAC): Bu yetkilendirme türü, bir kullanıcının kuruluş içindeki rolüne göre kaynaklara erişim izni verir.
    • Öznitelik Tabanlı Erişim Kontrolü (ABAC): Bu yetkilendirme türü, bir kullanıcının iş unvanı, departmanı veya konumu gibi özniteliklerine dayalı olarak kaynaklara erişim izni verir.
    • Zorunlu Erişim Kontrolü (MAC): Bu tür yetkilendirme, hangi kullanıcıların veya süreçlerin belirli kaynaklara erişebileceğini belirleyen sistem genelindeki ilkelere dayanır.
    • İsteğeBağlı Erişim Kontrolü (DAC): Bu yetkilendirme türü, bireysel kullanıcıların sahip oldukları veya kontrol ettikleri kaynaklara erişimi kontrol etmelerine olanak tanır.
    • Kural Tabanlı Erişim Kontrolü (RBAC): Bu tür yetkilendirme, yöneticiler veya kullanıcıların kendileri tarafından oluşturulabilen önceden tanımlanmış bir dizi kurala dayalı olarak kaynaklara erişim izni verir.

    Yetkilendirme teknikleri

    • Rol tabanlı erişim kontrolü (RBAC), kullanıcıları bir kuruluş veya sistem içindeki belirli rollere atayan ve bu rollere dayalı izinler veren bir tekniktir. Bu teknik, kullanıcı izinlerinin yönetimini basitleştirir ve hassas verilere yetkisiz erişim riskini azaltır.
    • JSON web belirteci (JWT), taraflar arasında veri iletmek için kompakt ve güvenli bir yoldur. Genellikle web uygulamalarındaki kullanıcıların kimliklerini doğrulamak ve yetkilendirmek için kullanılır. JWT'ler bağımsızdır ve gerekli tüm bilgileri içerir, böylece bir kullanıcı her erişim istediğinde kullanıcının verilerini bir veritabanında arama ihtiyacını ortadan kaldırır.
    • Security Assertion Markup Language (SAML), taraflar arasında kimlik doğrulama ve yetkilendirme verilerinin alışverişi için XML tabanlı bir protokoldür. Genellikle birden fazla sistem ve uygulama arasında çoklu oturum açma (SSO) kimlik doğrulaması için kullanılır. SAML, kullanıcı kimlik doğrulama ve yetkilendirme bilgilerinin farklı etki alanları ve uygulamalar arasında aktarılmasını sağlar.
    • OpenID yetkilendirmesi, kullanıcıların tek bir kimlik bilgisi seti kullanarak birden fazla web sitesinde oturum açmasına olanak tanıyan bir kimlik doğrulama protokolüdür. OpenID, kullanıcının her bir siteye şifresini vermesini gerektirmeden kimliğini doğrulayan merkezi olmayan bir kimlik doğrulama sistemi kullanır. Bu teknik, kullanıcıların birden fazla oturum açma kimlik bilgisi setini hatırlamak zorunda kalmadan birden fazla sisteme ve uygulamaya erişmesini kolaylaştırır.
    • OAuth, uygulamaların başka bir hizmet üzerindeki kullanıcı kaynaklarına erişmesini sağlayan bir yetkilendirme çerçevesidir. Kullanıcıların oturum açma kimlik bilgilerini paylaşmadan üçüncü taraf uygulamalara erişim izni vermelerini sağlar. OAuth, sosyal medya platformları tarafından yaygın olarak kullanılır ve kullanıcıların sosyal medya hesaplarıyla üçüncü taraf uygulamalara giriş yapmalarına olanak tanır. Hem kullanıcı hem de hizmet sağlayıcı için ek bir güvenlik katmanı sağlar.

    Kimlik Doğrulama VS Yetkilendirme

    Kimlik Doğrulama ve Yetkilendirme Arasındaki Farklar

    Kimlik doğrulama ve yetkilendirme benzer görünse de, aslında kaynaklara güvenli erişim sağlamada farklı amaçlara hizmet eden farklı süreçlerdir. Kimlik doğrulama, bir kullanıcının kimliğini doğrulamakla ilgiliyken yetkilendirme, kimliği doğrulandıktan sonra o kullanıcının ne yapmasına izin verildiğini belirlemekle ilgilidir.

    Başka bir deyişle, kimlik doğrulama güven oluşturmakla ilgiliyken, yetkilendirme bu güveni yönetmekle ilgilidir. Örneğin, bir web sitesinde oturum açmak için kullanıcı adınızı ve şifrenizi girdiğinizde, bir kimlik doğrulama sürecinden geçersiniz. Giriş yaptıktan sonra web sitesi, belirli sayfaları görüntüleme veya bir form gönderme gibi hangi eylemleri gerçekleştirmenize izin verildiğini belirlemek için yetkilendirmeyi kullanır.

    Bunlar birbiriyle yakından ilişkili kavramlardır, ancak aralarında bazı temel farklar vardır. İşte en önemli farklardan bazıları:

    Kategori
    Kimlik Doğrulama
    Yetkilendirme
    Tanım
    Bir sisteme veya kaynağa erişim izni vermek için bir kullanıcının kimliğini doğrulama süreci
    Bir kullanıcının belirli bir kaynağa erişim veya belirli bir eylemi gerçekleştirme iznine sahip olup olmadığını belirleme süreci
    Amaç
    Bir sisteme veya kaynağa yalnızca yetkili kullanıcıların erişebilmesini sağlamak için
    Yetkili kullanıcıların kaynaklara uygun erişim düzeyine sahip olmasını sağlamak
    Türleri
    Şifre tabanlı, şifresiz, çok faktörlü, token tabanlı, biyometrik tabanlı, sosyal.
    Rol tabanlı, öznitelik tabanlı, zorunlu erişim kontrolü, isteğe bağlı erişim kontrolü.
    Teknikler
    Parolalar, belirteçler, akıllı kartlar, biyometri, SSO, sosyal kimlik doğrulama.
    ACL, RBAC, ABAC, SAML, OAuth.
    Doğrulama
    Kullanıcının kimliğini doğrular
    Kullanıcının izinlerini doğrular
    Sipariş
    Yetkilendirmeden önce gerçekleştirilir
    Kimlik doğrulamasından sonra gerçekleştirilir
    Gerekli Bilgiler
    Kullanıcı giriş bilgileri (kullanıcı adı ve şifre)
    Kullanıcının ayrıcalığı veya güvenlik seviyesi
    Sağlanan Veriler
    Belirteç Kimlikleri
    Erişim belirteçleri
    Değişiklikler
    Kullanıcılar kimlik doğrulama bilgilerini kısmen değiştirebilir
    Kullanıcılar yetkilendirme izinlerini değiştiremez, yalnızca sistem sahibi değiştirebilir
    Protokol
    OpenID Connect kimlik doğrulama protokolüdür
    OAuth 2.0 yetkilendirme protokolüdür
    Örnek
    Bir banka hesabına erişmek için oturum açma kimlik bilgilerinin girilmesi
    Bir çalışana iş unvanına göre belirli dosyalara erişim izni verilmesi

    Kimlik doğrulama ve yetkilendirme birlikte nasıl çalışır?

    Kimlik doğrulama ve yetkilendirmenin birlikte çalıştığı durumlar şunlardır:

    Telefonunuzun kilidini açmak için parmak izinizi kullandığınızda (kimlik doğrulama), telefonunuz daha sonra kullanıcı profilinize göre hangi uygulamalara ve verilere erişmenize izin verildiğini belirlemek için yetkilendirmeyi kullanır.

    Bir çevrimiçi bankacılık web sitesinde oturum açtığınızda (kimlik doğrulama), web sitesi hesap ayarlarınıza göre hangi işlemleri yapmaya yetkili olduğunuzu belirlemek için yetkilendirmeyi kullanır.

    Kimlik doğrulama ve yetkilendirme birlikte çalışsa da, genellikle karıştırılır veya birbirlerinin yerine kullanılırlar. Örneğin, bir kişi belirli bir dosyaya erişimini "doğrulaması" gerektiğini söylerken aslında erişimini "yetkilendirmesi" gerektiğini kastetmektedir.

    Doğru Kimlik Doğrulama ve Yetkilendirmenin Önemi

    Erişim kontrolleri, kimlik doğrulama ve yetkilendirme süreçlerinin temel bir bileşenidir. Yalnızca yetkili kullanıcıların kaynaklara erişebilmesini ve bu kullanıcıların yalnızca kullanma yetkisine sahip oldukları kaynaklara erişebilmesini sağlarlar. Erişim kontrolleri uygulanırken kimlik doğrulama ve yetkilendirme arasındaki farkın anlaşılması çok önemlidir. Kimlik doğrulama kullanıcı kimliğini doğrularken, yetkilendirme kimlik doğrulaması yapıldıktan sonra hangi eylemleri gerçekleştirmelerine izin verildiğini tanımlar.

    Bilgi güvenliği, kimlik doğrulama ve yetkilendirmenin bir diğer kritik yönüdür. Sağlam kimlik doğrulama ve yetkilendirme protokolleri bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaya yardımcı olur. Uygun kimlik doğrulama ve yetkilendirme protokolleri, hassas verileri ve sistemleri siber tehditlerden koruyarak veri ihlallerini ve diğer güvenlik olaylarını önlemeye yardımcı olabilir.

    Yetersiz kimlik doğrulama veya yetkilendirmenin sonuçları ciddi olabilir. Uygun kimlik doğrulama ve yetkilendirme olmadan, yetkisiz kullanıcılar hassas verilere veya sistemlere erişim sağlayarak veri ihlallerine veya sistem arızalarına yol açabilir. Bu olaylar mali kayıplara, itibar kaybına ve yasal yükümlülüklere neden olabilir.

    Bu sonuçlardan kaçınmak için güçlü kimlik doğrulama ve yetkilendirme protokollerinin uygulanması çok önemlidir. Bu protokoller parolalar, biyometrikler veya belirteçler gibi birden fazla kimlik doğrulama faktörü içermelidir. Ayrıca, erişim kontrolleri, kullanıcıların yalnızca işleri için gerekli olan kaynaklara erişebilmelerini sağlayan en az ayrıcalık ilkesine dayanmalıdır.

    Kimlik Doğrulama ve Yetkilendirme için En İyi Uygulamalar

    Bilgilerin güvenliğini garanti altına almak için, kuruluşların kimlik doğrulama ve yetkilendirme için en iyi uygulamalara uyması çok önemlidir. Aşağıda kuruluşların yapması gereken en iyi uygulamalardan bazıları yer almaktadır:

    • Kullanıcıların, sistemlerin ve cihazların kimliklerini doğrulamak için çok faktörlü veya iki faktörlü kimlik doğrulama gibi sağlam kimlik doğrulama mekanizmaları kullanın.
    • Kullanıcıların yalnızca gerekli kaynaklara erişebilmelerini ve yapmaya yetkili oldukları gerekli eylemleri gerçekleştirebilmelerini sağlamak için RBAC veya ABAC gibi erişim kontrol mekanizmaları uygulayın.
    • Etkili ve güncel olduklarından emin olmak için erişim kontrol mekanizmalarını düzenli olarak değerlendirin ve güncelleyin.
    • Kullanıcıların büyük ve küçük harf, rakam ve sembol kombinasyonu gibi teknikler kullanarak güçlü parolalar oluşturmasını gerektiren parola politikaları uygulayın.
    • Özellikle üçüncü taraf API yönetimi ve bulut bilişim platformlarında güvenlik olaylarını zamanında tespit etmek ve bunlara müdahale etmek için güvenlik olaylarına müdahale planları uygulayın.
    • Özellikle hassas verilerle uğraşırken, verileri hem aktarım sırasında hem de beklemede korumak için şifreleme kullanın.
    • Çalışanları, sağlam parolaların nasıl oluşturulacağı ve kimlik avı girişimlerinin nasıl fark edileceği de dahil olmak üzere kimlik doğrulama ve yetkilendirme için en iyi uygulamalar konusunda düzenli olarak eğitin.
    • Güvenlik açıklarını tespit etmek ve özellikle popüler platformlarda ve bulut bilişim ortamlarında güvenlik önlemlerinin etkili olduğundan emin olmak için düzenli güvenlik denetimleri gerçekleştirin.

    Sonuç

    Sonuç olarak, kimlik doğrulama ve yetkilendirme bilgisayar güvenliğinde iki önemli kavramdır. Kimlik doğrulama, bir kullanıcının veya cihazın kimliğini doğrulama sürecidir; yetkilendirme ise kimliği doğrulanmış kullanıcının izinlerine dayalı olarak bir kaynağa erişim izni verme veya reddetme sürecidir. Bu iki kavram, verilerinizi ve sistemlerinizi güvende tutmak için birlikte çalışır.

    Güçlü kimlik doğrulama ve yetkilendirme politikaları uygulayarak sistemlerinizi ve verilerinizi yetkisiz erişime karşı korumaya yardımcı olabilirsiniz. Bunların kapsamlı bir güvenlik stratejisinin birçok bileşeninden sadece ikisi olduğunu unutmamak önemlidir, ancak verilerinizin bütünlüğünü ve gizliliğini sağlamak için gereklidirler.

    VPSServerEN

    facebook Path telegram telegram-1 linkedin Shape
    Nataliya
    Nataliya Oteir
    Copywriter

    Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
    She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.

    Content

    1. Kimlik Doğrulama
      1. Kimlik doğrulama teknikleri:
  • Yetkilendirme
    1. Yetkilendirme Nedir?
      1. Yetkilendirme teknikleri
  • Kimlik Doğrulama VS Yetkilendirme
    1. Kimlik Doğrulama ve Yetkilendirme Arasındaki Farklar
  • Doğru Kimlik Doğrulama ve Yetkilendirmenin Önemi
  • Kimlik Doğrulama ve Yetkilendirme için En İyi Uygulamalar
  • Sonuç
    • Yeni iletiler
    Açık kaynak daha fazlasını yapabilir. Uzak altyapı için yönlendirici işletim sistemi alternatifi
    29.02.2024
    Uzaktan Erişim - Ev Ofis
    13.09.2023
    Günümüzde Küçük İşletmelerin Karşılaştığı En Önemli 10 Siber Güvenlik Tehdidi
    31.08.2023
    TOP 30 Linux Güvenlik Araçları
    30.08.2023
    Uzaktan Erişim İçin VPN Alternatifleri
    28.08.2023
    Bulut Güvenliği Nedir ve Avantajları
    20.07.2023
    Kaba Kuvvet Saldırılarını Önlemek için En İyi 5 Araç
    07.06.2023
    SSH Protokolü: Nedir? Nasıl Çalışır?
    22.05.2023
    Sunucu Kesintisi: Çevrimiçi Kalmak İçin Her İşletmenin Bilmesi Gerekenler
    25.04.2023
    Hacklendiniz: Tekrar saldırıya uğramamak için ne yapmalısınız?
    29.03.2023
    Daha fazla göster
    TOP 30 Linux Güvenlik Araçları
    TOP 30 Linux Güvenlik Araçları
    29 dakika
    30.08.2023
    Dağıtılmış hizmet reddi (DDoS) saldırısı nedir ve sunucu için nasıl bir tehlike oluşturur?
    Dağıtılmış hizmet reddi (DDoS) saldırısı nedir ve sunucu için nasıl bir tehlike oluşturur?
    15 dakika
    19.03.2021
    Kimlik Doğrulama ve Yetkilendirme arasındaki fark nedir?
    Kimlik Doğrulama ve Yetkilendirme arasındaki fark nedir?
    16 dakika
    03.03.2023
    Dijital Güvenlik ve Tek Kullanımlık Şifre Algoritmaları
    Dijital Güvenlik ve Tek Kullanımlık Şifre Algoritmaları
    19 dakika
    14.03.2023
    Veri yedekleme için temel teknolojiler
    Veri yedekleme için temel teknolojiler
    5 dakika
    06.03.2018
    Kaba Kuvvet Saldırılarını Önlemek için En İyi 5 Araç
    Kaba Kuvvet Saldırılarını Önlemek için En İyi 5 Araç
    32 dakika
    07.06.2023
    Açık kaynak daha fazlasını yapabilir. Uzak altyapı için yönlendirici işletim sistemi alternatifi
    Açık kaynak daha fazlasını yapabilir. Uzak altyapı için yönlendirici işletim sistemi alternatifi
    5 dakika
    29.02.2024
    Açık kaynak daha fazlasını yapabilir. Uzak altyapı için yönlendirici işletim sistemi alternatifi
    29.02.2024
    Uzaktan Erişim - Ev Ofis
    13.09.2023
    Günümüzde Küçük İşletmelerin Karşılaştığı En Önemli 10 Siber Güvenlik Tehdidi
    31.08.2023
    TOP 30 Linux Güvenlik Araçları
    30.08.2023
    Uzaktan Erişim İçin VPN Alternatifleri
    28.08.2023
    Bulut Güvenliği Nedir ve Avantajları
    20.07.2023
    Kaba Kuvvet Saldırılarını Önlemek için En İyi 5 Araç
    07.06.2023
    SSH Protokolü: Nedir? Nasıl Çalışır?
    22.05.2023
    Sunucu Kesintisi: Çevrimiçi Kalmak İçin Her İşletmenin Bilmesi Gerekenler
    25.04.2023
    Hacklendiniz: Tekrar saldırıya uğramamak için ne yapmalısınız?
    29.03.2023