This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Choosing and Using Security Questions Cheat Sheet tr

From OWASP
Revision as of 14:15, 31 May 2013 by Adil Hafa (talk | contribs)

Jump to: navigation, search

Güvenlik Sorularının Seçilmesi ve Kullanılması Referans Belgesi

Giriş: Bu referans dökümanı, çok genel bir web uygulaması olan “Şifremi unuttum” özelliğinin uygulanması için hangi güvenlik sorularının seçilmesi ve kullanılması gerektiğine dair uygulanmış ve başarılı olmuş örnekleri yazılım geliştiricilere sunmaktadır.

Problem: Kullanıcılara veya geliştiricilere “Şifremi Unuttum” özelliği için rehber olacak şekilde belirlenmiş bir endüstri standartı (biçimi) bulunmamaktadır. Bunun sonucunca uygulama geliştiriciler genellikle şüpheli/belirsiz/kesin olmayan soruları seçerek bunları güvenliksiz bir şekilde bu uygulamaya entegre ediyorlar. Geliştiriciler bunu uygularken, sadece kullanıcılarını riske atarak değil, aynı zamanda (potansiyel sorumluluk sorunları nedeniyle) kurumlarını da riske atarak yapmaktadırlar. Ideal olarak, çok faktörlü yetkilendirme mekanizmalarından sadece birini kullandıklarında şifreler ölü yada daha az önemli olurdu.Fakat gerçek şu ki, şifrelerle muhtemelen sıkışmış durumdayız aynen Cobol da sıkışmış olduğumuz gibi.

(Burada Cobol ile sıkışmışlık konusunu biraz açıklamak faydalı olacaktır: Bilgisayar dünyasında “Cobol bizden uzun yaşayacak” mottosuna dair eski bir espri var, Yazılım ve Donanım arasında ki fark nedir? diye. Cevap şöyle: Eğer donanımı yeterince uzun bir süre kullanırsanız, kırılır. Eğer yazılımı yeterince uzun bir süre kullanırsanız,çalışır/çalışmaya devam eder. Bunun ortaya çıkışının ardındaki temel sebep ise onlarca yıllık yaşına rağmen (ki Cobol 1959-1960 larda ortaya çıkmıştı) Cobol günümüzde halen bankalarda ve büyük şirketlerde kritik uygulamaları / sistemleri yönetmektedir. 1980 ve 90 larda Cobol u değiştirmek, yerine başka teknolojileri uygulama çabaları da sonuçsuz kaldı. Ve bizler şu anda yaşlı Cobol ile önceden görülebilir bir gelecek konusunda sıkışmış durumdayız ve bu kodları yazanların çoğunun 2.dünya savaşı öncesi doğmuş ve çoktan emekli olmaya başlamış insanlar olduklarını düşünürsek sanırım durum daha da açıklanabilir bir hale geliyor.)

Açıklamadan sonra o halde, “Şifremi Unuttum” sorununun makul bir çözümü için bizler neler yapabiliriz?

Güvenlik Sorularının Seçimi ve/veya Kimlik Verisi:

Çoğumuz, kötü bir “güvenlik sorusu” ile karşılaştığımızda anında anlarız. Bunların anlamlarını çok rahatça anlarsınız. “Favori renginiz hangisidir?” gibi bir soru açıkça kötü bir güvenlik sorusudur. Fakat (http://goodsecurityquestions.com/) sitesini de de belirtildiği üzere “Esasen ortada mevcut İYİ bir güvenlik sorusu yoktur; sadece açık veya kötü olanı vardır.”

Birçok kurum/şirket veya organizasyon için kullanıcıların unutlulan şifreleri yeniden oluşturmasına izin vermesinde ki sebep sadece güvenlik değildir, kendi giderlerini azaltmaktan da ziyade, kendi müşteri destek hatlarının aranmasında ki hacimi düşürmektir. Bu klasik olarak uygunluk/kolaylık ve Güvenlik takasıdır ve bu durumda, uygunluk/kolaylık (her ikisi de organizasyon açısından giderlerin azaltılması için ve kullanıcı açısından basit olması için, self-servis) hemen hemen herzaman kazanır.

Retrieved from "https://wiki.owasp.org/index.php?title=Choosing_and_Using_Security_Questions_Cheat_Sheet_tr&oldid=152599"