Davranışsal Biyometri ve Blokzincir
Kullanıcı doğrulama süreçleri kimlik hırsızlığını önlemek için fizyolojik ve davranışsal biyometri sayesinde yeni bir işleyişe sahip olacak. Kimliğimizin en mahrem iki parçası ne kadar güvende?
Dijital adaptasyon sürecinin hızlandığı bugünlerde internet kullanıcı sayısısının artışı beraberinde dijital kimlik odaklı siber saldırıların da çoğalmasına sebep oluyor. Bugün internet dünyasında her bir bireyin ortalama 190 adet çevrimiçi hesabı bulunuyor. Dijital ayak izlerinin bu kadar fazla olduğu bir dünyada, siber saldırganlar için kimlik verilerini ortaya çıkarmak bir hayli kolay hale geliyor. Bu nedenle eposta, şifre ikilisi yerini iki faktörlü doğrulama (2FA), tek seferlik parola (OTP) ve biyometrik veri gibi yeni yaklaşımlara bırakmış durumda. Ancak kullanıcı ihmalleri ve dijital okur yazarlığın düşük seviyelerde olması, sosyal mühendislik ve benzeri dolandırıcılık yöntemlerinin sonuç almasına neden oluyor.
Güvenlik uzmanlarına göre sadece ABD’de her yıl -her 15 kişiden biri- kimlik hırsızlığına maruz kalıyor. Kaynak: Bilgi Güvende
Fizyolojik Biyometri ile Tanışın
Fizyolojik biyometri yaklaşımı ile bir bireye ait parmak izi, damar izi, el, iris, yüz ve DNA gibi bilgiler, kişinin kimlik doğrulama süreçlerinde kullanılabilir.
Apple 2013 yılında iPhone 5S modelini tanıttığında beraberinde parmak izi doğrulamasına imkan sağlayan TouchID teknolojisini tanıttı. Kullanıcıların ekran kilidini açmalarını ve uygulama mağazası içerisinde alışverişlerini gerçekleştirmelerini sağlayan bu teknoloji, kısa sürede Android ekosistemi, dizüstü bilgisayar üreticileri ve uygulama sağlayıcıları tarafından benimsendi. İşlemlerini tek “tık” ile gerçekleştiren kullanıcılar ise sürecin pratikliğinden oldukça memnundu. Pasaport başvuruları gibi ivedi işlemler için istenen ve kolluk kuvvetleri tarafından alınan bu bilgi, teknoloji firmalarına oldukça kolay bir şekilde verildi. Bu süreç, iris tarama, yüz tanıma gibi farklı fizyolojik biyometri verilerinin kullanıcı kimliklerine doğrulama yöntemi olarak eklenmesiyle devam etti.
Davranışsal Biyometri ile Tanışın
Fizyolojik biyometrinin aksine davranışsal biyometri yaklaşımı, insanların fizyolojik özelliklerinin dışında kalan çevrimiçi/dış dünya davranışlarına ve faaliyetlerine ait verileri toplar, işler ve bunlardan biricik tanımlar oluşturur. Bir işlemin sizin tarafınızdan yapıldığını doğrulamak için izlediğiniz yolun, daha önceki seferlerde izlediğiniz yol uyumlu olması beklenir. Davranışsal biyometri yaklaşımı hangi verileri toplar dereseniz liste oldukça kalabalık ve ürkütücü. Ürkütücü diyorum çünkü bu verilerin güvenliğinin sağlanamaması durumunda çok daha büyük bir kriz ortaya çıkabilir. Tuş vuruş dinamikleri, yürüyüş analizi, ses kimliği, fare kullanım karakteristikleri ve imza analizleri öne çıkan davranışsal biyometri verileri olarak gösterilebilir.
Aslına bakarsanız 2007 yılından bu yana davranışsal biyometri sürecine dahil oluyorsunuz. “Nasıl?” derseniz eminim ki aşağıdaki görseller size tanıdık gelecektir.
Problem: Verilerim Çalınırsa?
Fizyolojik biyometri ve davranışsal biyometri… Dijital dünyada kendi kimliğinizi ispat emeniz için gereken en önemli iki veri, üçüncü kişilerlerle paylaşılarak işlenebilir ve saklanabilir hale geliyor. Bu kritik öneme sahip veriler her ne kadar anonimleştirilmiş olurslarsa olsunlar, merkezi bir yapıda saklanmaları durumunda siber saldırganlar için net bir hedef olarak görülecektir. Robotik süreç otomasyonu (RPA) ve Deepfake algoritması gibi teknolojik gelişmeler, olası bir veri sızıntısı sonucunda makina öğrenmesi ve yapay zeka tabanlı sahte kimlik saldırılarının gündemi oldukça meşgul edeceğini işaret ediyor. Ayrıca bu veriler, kullanıcıların özüne ait parametreleri de kapsadığı için yeniden oluşturulması/kullanılması işi içinden çıkılmaz bir hale getirebilir.
Çözüm: Blokzincir ve İnsanlık Kanıtı (Proof of Humanity)
Blokzincir, bir ağ içerisindeki şifrelenmiş mesajlaşmaları dağıtık ve senkronize bir şekilde kaydeden dağıtık bir veri tabanı teknolojisidir. Çözüme ulaşmak için ilk başta merkeziyetsiz ve dağıtık bir kayıt yapısı gerekiyor. Blokzincirin temelindeki matematik ve kriptoloji sayesinde her türlü kayıt; geri döndürülemez, inkâr edilemez ve değiştirilemez bir şekilde bu dağıtık yapıda saklanabiliyor. Anonimleştirilmiş verilerin, makina öğrenmesi ve yapay zeka destekli “taklit” algoritmaları tarafından kötüye kullanımını engellemek için ise blokzincir tabanlı dijital kimlik araştırmalarının çok fazla tartışılmayan ancak büyük önem taşıyan bir bileşeni, insanlık kanıtını kullanmak gerekiyor.
İnsanlık Kanıtı (Proof of Humanity) Nedir?
Proof of Humanity veya bir diğer adıyla Proof of Person, dijital bir dünyada karşınızdaki kişinin gerçek bir insan olup olmadığını ispat etmeye yarayan bir mutabakat yapısıdır. Bu mutabakat sürecini başarılı olarak işletebilmek için yine insanların dürüst tercihlerine ve zekâsına ihtiyaç duyulmaktadır.
Bu konu üzerine kafa yoran ve iki farklı yöntemle hayata geçirilmiş BrightID ve Idena adlı iki blokzincir uygulaması bulunuyor. BrightID, insanlık kanıtını doğrulama yöntemi için iki veya daha fazla kişinin fiziksel olarak yan yana bulunmasını ve uygulamaları üzerindeki kare kodu okutmasına ihtiyaç duyuyor. Idena ise, belirli zamanlarda düzenlediği doğrulama oturumlarıyla, katılımcılarına insanların çözebileceği ve sürekli güncellenen bulmacalar çözdürüyor.
Blokzincir üzerinde yaygın kullanıma sahip bir dijital kimlik uygulaması henüz bulunmuyor. Geniş kitleler tarafından kullanılacak blokzincir tabanlı dijital kimlik uygulaması için gerekli standart ve altyapıya hâlen oluşturulmuş değil. Dijital kimlik blokzincir üzerinde kaydedildiğinde, kimlik odaklı siber saldırıların kendini nasıl konumlandıracağı oldukça önemli olacak.