Parolasız koruma çözümlerini konuşmuş olduğumuz eğitim serimizde OTP çözümlerine giriş yapmış ve bu ek güvenlik korumasını niçin kullanmalıyız buna cevaplar vermiştik.
Bilgi işlem varlıklarımız çok çeşitli ve her şirketin sahip olduğu bilgi işlem varlıkları da tek düzey değil. Bu çeşitlilik sektörde çok farklı güvenlik çözümlerin doğmasına neden oldu ve uzmanların seçim yapmasını da zorlaştırdı.
OTP seçimini yapmadan önce daha doğrusu bilgi işlem varlıklarımıza bir yatırım yapmadan önce mevcut BT varlıkları iyi incelenmeli ve bu incelemeler sonrasında doğru güvenlik çözümlerine yatırım yapılmalıdır.
BT varlıkları arasında sunucu, uygulama ve servis sunucularımız olduğu gibi son kullanıcı erişim cihazları da bulunmakta ve bu cihazlar da BT varlıkları arasındadır ve OTP güvenlik çözümü seçerken son kullanıcı erişim cihazları da kritik öneme sahiptir ve bu çalışmamız da OTP Client bağımlılıklarını konuşuyoruz.
OTP Korumasını konuşmuş olduğumuz çalışmamız da OTP nedir ve niçin kullanmalıyız sorusuna cevaplar verdik.
Microsoft Exchange Server ve Microsoft Eko sisteminde bulunan uygulama ve hizmetler için örnek senaryoları sunduk ve belirli bir ekosistem de çalışıyorsanız seçimin daha kolay olacağını belirttik.
Veri merkezi içinde bulunan uygulama ve sunucular tek bir eko sistem de çalışıyorsa eğer birden fazla OTP cihazı almadan güvenliği sıkılaştırabiliriz. Microsoft Exchange Server, RDS Server, Web Server, SQL Server gibi sunucu ve uygulamalar, Microsoft Eco sisteminde bulunmakta ve tek bir OTP cihazı ile güvenlik çözümüne sahip olabiliriz.
Fakat bu OTP seçimi, uygulama ve servislere bağımlı olduğu gibi ikinci doğrulamayı yapacak olan clientlara da bağımlıdır ve aygıtlar da bu çözümün bir parçasıdır.
Günümüz OTP çözümleri SMS göndermekte, Akıllı telefonlara bildirim göndermekte, telefon araması yapmakta yada e-posta gönderebilmekte. Aygıtlarımız da çok çeşitli olduğu için, kimi aygıt IOS eko sisteminde, kimi aygıt microsoft ekosisteminde kimi aygıt ise Android eko sisteminde çalışmakta. Bazı aygıtlar ise bunlardan tamamen bağımsız ve sadece sms alabilimekte.
Bu çeşitlilik nedeniyle veri merkezi içinde bulunan uygulama ve servislere bağımlı olduğumuz gibi erişimi destekleyecek aygıtlara da bağımlıyız. OTP Seçimini yaparken uygulama ve servisleri masaya yatırdığımız gibi ikinci doğrulama kodunu alacak olan aygıtlara da bağımlıyız.
Bir çok üretici kendi OTP çözümleri için uygulamalar yazmakta ve bu uygulamaları Apple market, Android market üzerinden de yayınlamakta. Bazı üreticilerse google authenticator gibi evrensel uygulamaları kullanmakta ve google authenticator üzerinden ikinci doğrulamayı yapmakta. Üreticilerin yapmış olduğu bu seçimlerin artıları ve eksileri de bulunmakta.
Günümüzde bir çok uygulama sürekli olarak yenilenmekte ve yama yönetimi de as a service modeline geçiş yaptı. Android işletim sistemi, Ios işletim sistemi sürekli olarak güncelleniyor. Üreticilerin yazmış olduğu uygulamalar da bazen bu hıza yetişemiyor ve aygıt güncellemesi sonrasında uygulamalar çalışmıyor, üreticinin yapacak olduğu güncelleme işlemini bekliyor. OTP çözümlerinde ki en kritik problemlerden bir tanesi de şimdilik güncelleme yönetimi diyebiliriz ki bunun da çözümü bulunmakta.
Akıllı telefonlarımızda yada ikinci doğrulamayı yapan cihaz yada uygulamalarda bir hata oluştuğu zaman alternatif doğrulamayı hızlı bir şekilde sunmalıyız. Kullanıcılar, OTP parolasını alamadıkları zaman SMS doğrulaması, telefon araması yada e-posta ile ikinci doğrulamayı hızlı bir şekilde talep etmeli ve uygulama uyumsuzluğundan etkilenmemelidir.
Uygulama bazlı yada seçmiş olduğunuz bildirim ayarlarının da yedekli olması önemlidir. Uygulama problemlerinden bağımsız başka bir örnek daha verelim. İkinci doğrulamayı yapması için e-posta sisteminizi planladınız ve OTP şifresini gönderecek olan e-posta sistemi de problemli. Kullanıcı ise, erişim talebini Uzak masa üstü hizmetine yapmak istedi. Uzak masa üstü hizmetine erişimek için ikinci doğrulamaya ihtiyacı var ve e-posta sistemi problemli olduğu için ikinci doğrulamayı alamayacak ve uzak masa üstü erişimi yapamayacak.
Bu tür problemler de kullanıcı hızlı bir şekilde alternatif doğrulamayı seçmelidir. Sms seçimine, telefon aramasına yada uygulama ile şifre üretme adımına geçmeli ve e-posta sisteminde oluşan problem, uzak masaüstü kullanımına etki etmemeli. Birden fazla doğrulama yöntemi de OTP seçiminde en kritik konulardan bir tanesidir ve yaygn hizmet seçeneği olan güvenlik çözümleri tercih edilmelidir.
Konuyu özetleyelim ve OTP çözümü seçimi için dikkat edilmesi gereken iki başlığı belirtelim. Birincisi OTP aygıt desteği ve desteklemiş olduğu ekosistemler. İkinci önemli başlık ise doğtulama yöntemi ve alternatif doğrulama yöntemine yapmış oldığı hızlı geçiş desteği diyebiliriz.
Her bir OTP güvenlik çözümü IOS, Android ve Microsoft ürünlerini desteklemeli ve bu platform desteği de SMS, telefon araması, e-posta gönderilmesi ve uygulama yönetimi ile desteklenmelidir.
