Sık sık yeniden kimlik doğrulamak güvenliği daha fazla artırmaz

 (tailscale.com)
25 puan yazan GN⁺ 2025-06-13 | 4 yorum | WhatsApp'ta paylaş
  • Sık kimlik doğrulama isteme politikaları, pratikte güvenliği artırmadan yalnızca kullanıcıya zorluk çıkarır
  • MFA yorgunluğu saldırıları gibi güncel güvenlik tehditleri arttıkça, tekrarlanan kimlik doğrulama tersine bir zafiyet haline gelebilir
  • İşletim sisteminin ekran kilidi özelliği ve erişim politikalarının gerçek zamanlı güncellenmesi daha etkili koruma araçlarıdır
  • Ek doğrulama yalnızca hassas işlemlerden hemen önce gerekli olmalı; rastgele kısa oturum açma süreleri gereksizdir
  • Modern erişim kontrol yöntemleri, kullanıcıyı rahatsız etmeden politikaları otomatik ve hızlı biçimde uygular

Sık kimlik doğrulamanın güvenliği artırmamasının nedenleri

Tekrarlanan kimlik doğrulamanın yol açtığı sorunlar

  • İş akışı sırasında oturumun sona ermesi ve sık sık parola ile MFA (çok faktörlü kimlik doğrulama) yeniden girilmesi, verimlilik kaybına yol açar
  • Başlangıçta yalnızca parolanın yeniden girilmesi yeterliyken, MFA adımı eklendikten sonra zaman kaybı ve kullanıcı memnuniyetsizliği arttı
  • MFA isteklerinin sıklığı arttıkça, MFA yorgunluğu saldırılarının (MFA fatigue attacks) başarılı olma ihtimali de yükselir
  • Geçmişte parolaları sık değiştirmek veya kısa oturum sonlandırma süreleri etkili güvenlik önlemleri sayılıyordu; ancak güncel kılavuzlar artık bunları ters etki yaratan uygulamalar olarak değerlendiriyor
  • Güvenlik, oturum açma döngüsüne değil; erişim yetkilerinin yönetimi ve politika değişikliklerinin ne kadar hızlı yansıtıldığına bağlıdır

Kimlik doğrulama yönteminin özü

  • Kimlik doğrulama çoğunlukla şu iki şeyden birini kanıtlar
    • Cihaz sahipliğinin kanıtı: Windows Hello PIN, YubiKey, akıllı kart gibi araçlarla cihazın fiziksel olarak elde olup olmadığının doğrulanması
    • Kullanıcının kendisinin kanıtı: parola, Face ID, Touch ID gibi yöntemlerle kişinin ilgili kullanıcı olduğunun belirlenmesi
  • Identity Provider (IdP) esas olarak kimliği doğrulamaya odaklanır
  • Face ID, Touch ID, Windows Hello gibi sistemler, cihaz sahipliği kanıtı ile kullanıcı doğrulamasını aynı anda yapan entegre çözümler olduğu için daha güvenlidir
  • Yöneticiler, politika değişikliklerinin anında uygulanmayacağına dair kaygı nedeniyle oturum sürelerini gereğinden kısa ayarlayabiliyor

Gerçek güvenlik tehditleri ve kimlik doğrulamanın rolü

  • Saldırganların çoğu uzaktan phishing yoluyla saldırmaya çalışır ve parola ele geçirmek oldukça kolaydır
  • Uzaktan saldırılara karşı ikinci faktör doğrulama (ör. YubiKey) önemli bir savunma aracıdır
  • Cihaz kaybı, hırsızlık gibi fiziksel saldırılar söz konusu olduğunda, çoğu zaman ekran zaten kilitlidir
  • Aksine, ne kadar sık giriş yapılırsa saldırganın kimlik bilgisi çalma fırsatı o kadar artar ve bu da güvenliği olumsuz etkiler

İşletim sistemi ve web servislerinin rolü

  • Modern işletim sistemleri, ekran kilidi özelliğiyle kullanıcı yerinden ayrıldığında sistemi otomatik olarak korur
  • Ek doğrulama sıklığını artırmak gibi kullanıcıyı zorlayan yaklaşımlar yerine otomatik kilitleme politikalarının uygulanması daha uygundur
  • Paylaşılan bir bilgisayar kullanılmıyorsa, kısa web oturumu sonlandırma süreleri eski internet kafe döneminden kalma bir alışkanlıktan ibarettir
  • Hassas servisler (ör. internet bankacılığı) dışında, uygunsuz oturum zaman aşımı politikaları hem güvenliği hem kullanılabilirliği düşürür

Verimli ve kullanıcı dostu bir güvenlik modeli

  • Hassas işlemlerden önce anında kimlik doğrulama (on-demand authentication) ideal yaklaşımdır
  • Tailscale SSH'nin check modu, Slack Accessbot gibi araçlar gerektiğinde anında kullanıcı doğrulaması sağlar
  • İşletim sisteminde ekran kilidinin zorunlu tutulması ile birlikte kullanıldığında güvenlik ve kullanım kolaylığı arasında denge kurulabilir
  • Sürekli güvenlik durumu denetimi (device posture check) ve gerçek zamanlı erişim kontrolü, kullanıcının davranışından bağımsız olarak otomatik şekilde çalışır
  • Örnekler:
    • Cihaz çevrimdışıysa, kaybolduysa veya güvenlik denetiminden geçemediyse erişim yetkisinin anında geri çekilmesi
    • Rol değişikliği gibi kimlik durumları değiştiğinde erişim politikasının otomatik güncellenmesi
  • Kullanıcıyı tekrar tekrar doğrulamaya zorlayan yaklaşımlar yerine gerçek zamanlı otomasyon çok daha akıllı ve güvenlidir

Sonuç

  • Sık oturum açmak, güvenliği etkili biçimde artırmaz; aksine parola tekrar kullanımı, phishing ve MFA yorgunluğu gibi sorunlara yol açabilir
  • Sessiz ve otomatikleştirilmiş güvenlik sistemi en iyi korumayı sağlar
  • Tailscale, uyarlanabilir, akıllı ve gerçekten faydalı güvenlik yaklaşımını benimser
  • Kullanıcının oturum açma sıklığını kendisinin ayarlamasına gerek kalmadan, yalnızca gerektiği anda minimum kimlik doğrulama sürtünmesi oluşacak şekilde tasarlanır
  • Tailscale'in gerçek zamanlı güvenlik denetimi özellikleri diğer uygulamalara da genişletilerek legacy sistemler dahil güvenli koruma sağlayabilir

Referans bağlantıları

İlgili okumalar

4 yorum

 
rtyu1120 2025-06-13

HN yorumlarında da değinildiği gibi, hızla değişen BT ortamına kıyasla katı ve eski standartlara dayanan güvenlik denetimleri/düzenlemeleri çoğu zaman ayağa dolanıyor. Sahada olanların zaten çok iyi bildiği bir konu olabilir... haha
 
ndrgrd 2025-06-13

Kore'deki sayısız hizmet, 30 günde bir parolayı sıfırlamanızı isteyen can sıkıcı bildirimler gösteriyor.
 
devsepnine 2025-06-13

Kişisel veri güvenliği yükümlülüğü nedeniyle yıllardır zorunlu tutulan bir şey olduğu için gerçekten çok can sıkıcı... hıçkırık
 
GN⁺ 2025-06-13
Hacker News görüşü

  • Zorunlu periyodik parola değiştirme ya da parola süresi dolma politikalarının daha büyük bir sorun olduğunu düşünüyorum; bu tür politikalar insanları sık sık hesaplarının kilitlenmesine yol açıyor (ör. tatildeyken parolanın süresi dolarsa) ve ardından doğrudan IT ekibine gitmek, saatlerce telefonla IT’ye ulaşıp sıfırlama istemek ya da hesabı kilitlenmemiş bir iş arkadaşı üzerinden haber göndermek gibi zahmetler çıkıyor
    Birçok (çoğu?) şirket hâlâ bu politikaları uyguluyor ama NIST artık rastgele parola değişikliklerini önermiyor
    NIST resmî belgesi
    Microsoft da parola süresinin dolmasının daha zararlı olduğunu söyleyerek bunu önermiyor
    Microsoft resmî belgesi
    Buna rağmen IT ya da güvenlik tarafında bu tür tavsiyeler yeterince ‘otoriter’ kabul edilmiyor gibi görünüyor; üstelik hâlâ bu politikaları öneren rehberler de var

    • Bazen rastgele bir siteye giriş yaparken zorunlu parola sıfırlama isteği çıkınca, bunun zaman bazlı süre dolmasından değil de hesabın sızdırılmış ya da ele geçirilmiş olmasından kaynaklanabileceğini düşünüyorum
      Site yöneticisi belirli hesapların veri sızıntısı listelerinde yer aldığını biliyorsa, bir sonraki girişte zorunlu parola değişikliği istemek bana mantıklı bir yanıt gibi geliyor

    • Bunu siber güvenlik sorumlusuna anlattığımda, PCI standartlarının periyodik parola değişikliği istediğini, bu yüzden hangi denetimi daha önemli gördüğüne göre kararın değiştiğini söyledi

    • Eskiden bu politika o kadar sinir bozucuydu ki, her seferinde parolanın sonuna sırayla a~z arasında bir harf ekleyerek geçiştirirdim
      Neyse ki şu an çalıştığım şirkette aynı parolayı 3 yıldır kullanıyorum, bundan memnunum

    • Parolam sızdırılmadığı hâlde sağlayıcıların düzenli olarak değiştirmemi istemesi bana anlamsız geliyor
      Bunun hâlâ resmî standartmış gibi uygulanıyor olması saçma

    • Sonunda tüm hesaplarımda sadece 1234abcd@ deseni kullanır oldum

  • Apple ürünleri yüzünden bunu gerçekten çok can sıkıcı buluyorum
    Bu desenin tüm Apple ürünlerinde geçerli olduğunu fark ettim
    Mac’te TouchID ayarlayıp App Store’da Apple hesabıyla oturum açtıktan sonra uygulama yüklemeye çalışınca sürekli parola isteyen pencereler çıkıyor; TouchID ile doğrulama yapılabilecekken her seferinde parola istiyor
    Ücretsiz uygulama yüklerken de aynı şey oluyor; bana tamamen gereksiz bir adım gibi geliyor
    Bu desen bazen eşimin iPhone’unda da ortaya çıkıyor
    Telefonu sıfırlayıp yeniden kurarken özellikle Apple parolasını tekrar tekrar istemesi çok oluyor
    TouchID ile zaten yeterince güvenli bir durumdayken bile böyle devam etmesi çok yorucu

    • Apple servislerine Apple olmayan bir cihazdan erişince rahatsızlık daha da artıyor
      icloud.com’a her girişimde “bu cihaza güven” seçeneğine bassam da ertesi gün yine parola + tek kullanımlık kodla 2FA sürecini baştan yaşıyorum
      Face ID ödeme ya da uygulama kurulumu sırasında başarısız olursa PIN’e dönmüyor, illa tüm Apple hesap parolasını girmemi istiyor; üstelik parola yöneticisi uygulamasını da açamıyorsun
      Kasada böyle bir şey yaşamak gerçekten çok kötü bir deneyim

    • Satın alma onayı için TouchID kullanımının etkin olduğundan kesin olarak emin olmak gerekiyor
      (Settings > Touch ID & Password bölümünden ayarlamak gerekiyor)
      Bunu açmadıysan parola istemeye devam edebilir
      Benim deneyimimde yeniden başlatmadan sonra en fazla bir kez doğrulama gerekiyor, ondan sonra çoğu doğrulamayı TouchID ile yapabiliyorsun

    • iPhone’u Mac’e bağlayıp her senkronizasyonda hem Mac’te hem iPhone’da “bu cihaza güveniyor musunuz?” penceresi çıkıyor; her seferinde “evet” desem de bir sonraki bağlantıda yeniden soruyor

    • sudo yetkisi gereken işlerde yeniden doğrulama istenmesini doğal buluyorum
      Böyle durumlarda ilgili işleri gruplayıp tek seferde doğrulama istemek, yeniden doğrulama sayısını azaltabilir

    • Çocuğum çok eski bir iPad kullanıyor; iOS 10.3 çalıştırıyor, bu yüzden parola yöneticisi uygulamaları çalışmıyor ve tarayıcı da 32 bit uygulama olduğu için modern siteleri bile düzgün açamıyor
      Bu yüzden App Store’u her kullanışımda 50 karakterden uzun parolayı her seferinde elle girmek zorunda kalıyorum; çok can sıkıcı

  • Bu tür yazıları okuması gerekenlerin güvenlik denetimi yapan denetçiler olduğunu düşünüyorum
    Bu insanların beklediği kriterler değişmedikçe, birçok şirket sektör standardı diyerek gerçekte aptalca olan politikaları uygulamak zorunda kalıyor
    Özellikle belirli alanlardaki küçük şirketler de güvenlik denetiminden yüksek puan almak zorunda oldukları için işe yaramaz pek çok güvenlik prosedürünü benimsiyor
    Gerçekte etkisiz olduğunu bildiğimiz en az 6 güvenlik önlemi zorla uygulanıyor; denetçiler ise hâlâ kolay kolay fikrini değiştirmiyor

    • SOC2 denetimi alırken sürekli NIST yönergelerini gösterdim
      Bağlantıyı gösterince çoğu sonunda NIST standardını kabul ediyor

    • Hem Apple hem Microsoft, şirket güvenlik ekiplerinin “beni hatırla”, “bu cihaza güven” seçeneklerini devre dışı bırakmasına izin veren kurumsal ayarları destekliyor
      Denetçiler ya da CISO’lar tamamen kontrol listesi mantığıyla hareket ettiği için, güvenliğin gerçekten artıp artmadığı değil denetimden onay almak önemli oluyor
      Bu ayarlar sadece kullanıcı sıkıntısını artırıyor ve pratikte gerçek güvenliği daha da kötüleştiriyor

  • Microsoft’un PC oyunlarını da bu şekilde mahvettiğini düşünüyorum
    Minecraft ya da Master Chief Collection gibi oyunları her çalıştırışımda aniden yeniden doğrulama penceresi çıkacağını bildiğim için erteleyip duruyorum
    Bu rahatsızlık yüzünden hesapta 2FA’yı bile kapattım
    Bu sadece bir oyun; banka hesabı doğrulaması değil, lütfen bırakın insanlar keyifle oyun oynasın

    • Xbox’ta da rastgele oluşturulmuş bir parolayla her seferinde yeniden doğrulama istemesi son derece tuhaf geliyor
      Son zamanlarda QR kod tarayarak doğrulama yapma özelliği gelmiş diyorlar ama bunu tasarlayan kişinin gerçek kullanıcı deneyiminden çok kopuk olduğunu düşünüyorum

  • Yazıda neredeyse hiç değinilmeyen bir nokta var
    UX kötü olduğunda bunun başlı başına bir güvenlik açığı olabileceğini düşünüyorum
    Sistem normalde mantıksız davranıyorsa, gerçekten bir sorun olduğunda kullanıcıların değişimi ya da anormalliği fark etme ihtimali azalır
    Örneğin parola istemi çok sık çıkıyorsa insanlar bunu refleks olarak girmeye başlar ve böylece phishing gibi riskleri ayırt etmek zorlaşır
    Ayrıca OS tarafında başlangıç programları ya da arka planda çalışan şüpheli kodlar düzgün yönetilmiyorsa kötüye kullanım da kolaylaşır
    Sıradan güvenlik uzmanlarının ‘insan psikolojisini’ önemli bir değişken olarak neredeyse hiç hesaba katmaması da sorun; her şey kontrol listesi mantığıyla ya da şirket bakış açısından tasarlanıyor
    Aslında iyi ürün tasarımıyla önlenebilecek hatalar bunlar ama ürün ve hizmet sağlayıcıları düzenleme değişiklikleri konusunda tüketicilerden çok daha agresif davrandığı için iyileştirme pek olmuyor
    Bu yüzden gerçekte daha sıkı düzenlemenin güvenlik performansına yardımcı olacağını düşünsem de şirketler kendi ürün ve hizmetlerine yönelik düzenlemeyi kimsenin istememesi gibi tuhaf bir durum yaratıyor

  • Sık yeniden doğrulama isteyen sistemler pratikte güvenliği artırmıyor (çok uzun süreli son kullanımlar bunun kısmi istisnası olabilir)
    İyi bir kimlik doğrulama sisteminde asıl önemli olan, oturum süresi dolması ya da açık oturum yönetimi yoluyla yetkiyi anında geri çekebilme kabiliyetidir
    Gerçekte, bir oturumun yetkisi iptal edildiğinde o oturumun hızlı şekilde tamamen sonlanıp tüm erişimini kaybetmesine kadar geçen ‘gecikme’, yeniden doğrulama aralığından çok daha önemlidir
    Bu da kimlik doğrulama yapısına ve entegre sistem sayısı arttıkça daha karmaşık hâle geliyor

    • Bu yüzden refresh token gerekiyor
      Asıl token’lar düzenli olarak sona eriyor ama istemciye yeni token alma fırsatı ayrıca veriliyor
      Token iptali de yeni token üretilmesini engelleyerek kontrol ediliyor

    • Ben de benzer düşünüyorum
      Şirkette iki aşamalı bir doğrulama düzeni kullanıyoruz
      Günde bir ya da iki kez ADFS + MFA ile keycloak’a giriş yapıyorum; sistemlerin çoğu keycloak’ı OIDC provider olarak kullanıyor ve token’lar 10-15 dakikada bir yenileniyor
      Bu sayede genelde günde sadece bir kez zahmetli doğrulamadan geçiyorum ve gerektiğinde VPN üzerinden erişilen servislerin tamamına 15 dakika içinde erişimi kesebiliyoruz
      Normal kullanımda ise bu değişim neredeyse hiç fark edilmiyor; avantajı da bu

    • Mesele yeniden kimlik doğrulama değil, mevcut token’ın düzenli yenilenmesi
      auth süresinin dolmasıyla authorization süresinin dolmasını ayırmak daha doğru olur

    • İnsanları sık yeniden doğrulamaya zorlarsan bu kez etrafından dolaşmanın yollarını bulurlar
      Parolaları kâğıda yazmak, Google Docs’a koymak, Yubikey’e Arduino + servo motor bağlamak, SMS’leri e-postaya yönlendirmek ya da TOTP kodlarını Wechat üzerinden göndermek gibi her türlü ‘hile’ ortaya çıkıyor

    • Sonuçta ne kadar rahatsız edici kimlik doğrulama politikası uygulanırsa, insanlar bilgisayarı biraz olsun istedikleri gibi kullanabilmek için o kadar güvensiz geçici çözümler arıyor

  • Yazıda “artık çoğu OS’ta parmak izi/yüz doğrulamasıyla kilit açılabildiği için masadan kalkarken ekranı kilitlememek için bir neden yok” gibi bir ifade var ama bu pratikte workstation’lar (masaüstü PC’ler) için çok sınırlı ölçüde geçerli
    30 yıllık saha desteği deneyimimde parmak izi okuyuculu sadece 1 masaüstü gördüm
    Kamera da neredeyse hiç yok; şu an yönettiğim 5 lokasyondaki PC’lerin %2’sinden azında kamera var
    Yüz tanıma ayrıca kullanıcı için rahatsız edici başka bir unsur daha getiriyor
    Zaten rızasız ve gizlice yapılan yüz tanıma uygulamaları (güvenlik kameraları, okul/iş yeri/polis vb.) yüzünden ciddi bir güvensizlik oluştu; bunun yarattığı rahatsızlığın haklı olduğunu düşünüyorum
    Donanım bana ait olsa bile yazılım şirketleri gerçekte ahlaki sınır gözetmeden yetkilerimi aşacak şekilde tasarım yapıyor
    Bu yüzden güvenlik anahtarlarının workstation’lar için daha uygun olduğunu düşünüyorum

  • Sektördeki IT güvenlik politikaları, “IBM satın alan kimse işten atılmaz” anlayışı gibi; herkes sadece başkalarının yaptığını takip ediyor
    Sistemin gerçekten bozuk olup olmaması önemli değil, önemli olan ‘kitapta yazdığı gibi’ yapmış olmak
    Ama bu kitap (standart) 30 yıl önce yazılmış son derece kötü bir kitap
    Bu yüzden bilgi güvenliği sorumlusunu, parolaları 3 ayda bir değiştirmenin gerekli olmadığına ikna etmek inanılmaz enerji istiyor

    • En azından periyodik parola değişikliği konusunda artık güncel NIST tavsiyelerini gösterip direnebilmek güzel

  • Müşterilerimizden birinde tüm sistemlerde 30 dakikalık oturum sınırı var
    Zaten Jira’dan hoşlanmıyordum; şimdi bir bilete her bakmak istediğimde yeniden giriş yapmak zorunda kalınca iyice çekilmez oldu
    İş yapmak yerine gidip Hacker News okuyorum

    • 30 dakika boyunca bir şeyler yazıp tam gönderdiğin anda oturumun kapanması kadar moral bozucu bir şey yok
      Neyse ki bugünlerde çoğu servis en azından yaptığım işi önbellekte tutuyor

  • Adı SSO, yani ‘SINGLE sign on’, ama gerçekte durmadan yeniden kimlik doğrulama istiyor
    Neden günde yüzlerce kez SSO doğrulama mesajı görmek zorundayım anlamıyorum

    • Cep telefonları kaybolma/çalınma riski taşıdığı için bir yere kadar anlıyorum ama masaüstü bilgisayarlarda insanlar hâlâ ortak kullanılan makinelerde (ör. kütüphane) çıkış yapmadan kalkabiliyor; birçok kullanıcı bunun farkında değil

    • Benim hatırladığım kadarıyla SSO, birçok sisteme tek bir kimlikle giriş yapmak demekti; giriş işlemini yalnızca bir kez yapmak anlamına gelmiyordu