Geri Dön

Two factor authentication security

İki faktörlü kimlik doğrulama

PDF İndir

  1. Tez No: 863637
  2. Yazar: SÜMEYRA KUMBASAR
  3. Danışmanlar: PROF. DR. ENVER ÖZDEMİR
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Bilişim Enstitüsü
  11. Ana Bilim Dalı: Bilişim Uygulamaları Ana Bilim Dalı
  12. Bilim Dalı: Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
  13. Sayfa Sayısı: 47

Özet

Teknolojinin hızla gelişmesi ve mobil uygulamaların hayatımızın her alanında kullanılmaya başlaması siber saldırganların ilgilerini bu yöne çekmeye başladı. Gün geçtikçe bu ortamlara yapılan siber saldırıların boyutları yükseliyor, kurumların itibar ve para kaybına neden oluyor. Bu nedenle kurumlar hassas ve gizli bilgilerini yetkisiz erişimlerden ve bunların olumsuz sonuçlarından korumak için bazı güvenlik tedbirleri almaktadır. Hassas verileri karşı tarafa gönderirken güvenli iletişimi sağlamak için kriptografik algoritmalar kullanılarak şifrelenip gönderilir. Güvenliği sağlamak amacıyla bazı temel güvenlik prensipleri temel alınır. Kritik ve hassas verilerin gizliliğinin ve bütünlüğünün sağlanması için bazı şifreleme yöntemleri kullanılır. Kritik verilere erişim için ayrıca kimlik kontrolü ve kimliği doğrulanan kullanıcılar için yetki kontrolü sağlanmalıdır. Yetkili kullanıcılar bu verilere istedikleri zaman erişebiliyor olmalıdır. Yetkili kullanıcıların yaptıkları eylemler bir yerde tutuluyor olmalıdır. İnternetin hayatımızdaki yerinin artmasıyla kurumlara yapılan saldırıların da sayısı artmaktadır. Bunların en önemlilerinden birisi“Distributes Denial of Services (DDoS)”olarak adlandırılan Dağıtılmış Hizmet Reddi saldırılarıdır. DDoS atakları sistemlere kapasitesinden çok daha fazla istek göndererek çalışmalarını engellemeyi amaçlayan saldırı türüdür. Bu saldırıların amacı kritik ve hassas verilere erişmek, değiştirmek ya da çalmak değil, sistemlerin erişilebilirliğini engellemek, kesintiye uğratmaktır. Verilere doğrudan ya da kalıcı olarak zarar vermezler, ancak kaynakların kullanılabilirliğini tehlikeye atarlar. Tüm dünyada en büyük siber saldırıları türlerinden birisi DDoS saldırılarıdır. Geçmişte yaşanılan birçok DDoS saldırısından pek çok önemli kurum etkilenmiştir. Bu kurumlar dakikalarca, saatlerce hatta günlerce sistemlerine erişimde sorunlar yaşamışlardır. Bu da kurumların ciddi boyurlarda itibar ve maddi kayıplar yaşamasına sebep olmuştur. IoT cihazlarının oluşturduğu güvenlik tehdidinin yakın zamanda öne çıkan bir örneği de Mirai botnetlerdir. Gelişen birçok varyantı da tarihteki en güçlü DDoS saldırılarının bazıları için araç olarak hizmet etmiştir. Siber saldırılara karşı koymanın, sistemleri güvende tutmanın en temel unsurlarından biri kimlik doğrulamadır. Sistemleri yetkisiz erişimlerden korumak için tasarlanan gelişmiş kimlik doğrulama yöntemlerinden olan çift faktörlü kimlik doğrulama ise birçok kurum tarafından güvenliği arttırmak için ek güvenlik katmanı olarak kullanılmaktadır. Ancak bu sistemler erişim güvenliğini arttırmasına rağmen bazı güvenlik açıklıklarına sahipler. Bu yüksek lisans tezinde güvenlik için kullanılan çift faktörlü kimlik doğrulama yönteminin aslında saldırganlar tarafından kötüye kullanılarak servislerin çalışmasını durdurup engel olabilecek hizmet reddi saldırılarına sebep olabileceğini yaptığımız çalışma ile örneklendiriyoruz. Çalışmamızda saldırganın meşru bir kullanıcının kimlik bilgilerini ve uygulama üzerinde oluşturduğu gizli bilgi olan şifresini elde ettiği, bu bilgiler ile birden fazla cihaz üzerinden uygulamaya giriş yaparak birincil kimlik doğrulama adımını tamamlayarak PIN bilgisi beklediği senaryoyu uygulamalı olarak göstereceğiz. Bu aşamada saldırgan birden fazla cihazda kimlik doğrulama işlemi gerçekleştirdiği için PIN bilgisi iletimi her cihaz için ayrı olacaktır. Bu adımda PIN bilgisinin üretilmesi aşamasında kimlik doğrulama sunucusu üzerinde bazı matematiksel işlemler gerçekleştiği için çok fazla istek gelmesi durumunda işlemlerin gerçekleşme hızı yavaşlayacak, uygulama üzerinde Hizmet Reddi saldırısına neden olarak uygulamanın çalışmasına etki edecek, donmasına ya da her isteğe yanıt verememesine neden olacaktır. İki faktörlü kimlik doğrulama işleminde önce kullanıcı, kullanıcı adı ve şifresini kimlik doğrulama sunucusuna iletir. Kimlik doğrulama sunucusu üzerinde iki faktörlü kimlik doğrulama işlemleri iki adımda gerçekleşir. İlk adım kimlik doğrulama sunucusuna aktarılan kullanıcı bilgilerinin doğrulanması aşamasıdır. İkinci adım ise kimlik bilgilerin doğrulanıp ilk adımın geçilmesi durumunda gerçekleşir. Bu adımda kimlik doğrulama sunucusu kullanıcı için ikinci bir doğrulama faktörü olarak bir PIN bilgisi oluşturur ve kullanıcıya gönderir. Bu yüksek lisans tezinde, çift faktörlü kimlik doğrulamanın PIN üretim aşamasında yer alan matematiksel işlemlerden biri örneklendirilerek açıklanacaktır Bu süreci örneklendirmek için Python programla dili ile Visual Studio ortamı kullanarak bir program geliştirdik. Bu programda kimlik doğrulama işlemindeki ikinci faktör olan PIN bilgisinin kimlik doğrulama sunucusu tarafından üretilme aşamasındaki matematiksel işleme örnek olabilecek bir işlem yer alıyor. Mobil bankacılık uygulamasına yapılan her kimlik doğrulama isteğini, programa dışarıdan yapılan bir telnet isteği olarak değerlendirdik. Yapılan her istekte rastgele bir sayı oluşturulup yine programda rastgele oluşturulan 2048 bitlik sayılarla şifrelenir. Bu işlem PIN üretim aşamasını modellemektedir. Programı test aşamasında istekleri gönderirken iki yöntem kullandık: İlk yöntemde istekleri 1 saniye içerisinde gelecek şekilde gönderdik. Windows Powershell'de telnet komutunda tüm isteklerin bir saniyede gelmesi için gerekli komutları girdik. Saniyede 10 istek gönderecek şekilde komut girdiğimizde programımız beklediğimiz gibi sorunsuzca çalıştı ve yanıt verdi. 1 saniyede gönderilen istek sayısını sürekli arttırarak bir gözlem yaptığımızda ise isteklere yanıt verme süresinin arttığını gördük. Programı test aşamasında istekleri gönderirken kullandığımız ikinci yöntemde ise Windows Poweshell'de komutu girerken isteklerin 1 saniyede gitmesi için gerekli komutu girmedik. Yani istekler gönderilecek ancak hepsinin 1 saniye içerisinde gönderilme koşulu olmayacak. Bu yöntemle test ettiğimizde program daha fazla isteği kabul etmeye başladı. Ancak bu yöntemde istekler sırayla gelmeye başladı. Program da bu isteklere sırayla cevap veriyordu. Bu nedenle programın isteklere yanıt verme süresi diğer yönteme göre çok daha fazlaydı. İlk isteklerde sorunsuz çalışan program, beklediğimiz gibi aynı anda birçok istek tarafından çağrıldığında ve saldırganın yasal kullanıcı ile farklı kanallardan mobil xxiii uygulamaya giriş yaptığı aşamayı simüle ettiğimizde, uygulamanın isteklere cevap vermesi için gereken süre önemli ölçüde artar. Talepleri arttırdığımızda bu durum gözle görülür bir yavaşlama olarak karşımıza çıkıyor. Sistemlerin bu işlemi yapma hızı milisaniyeler değerindendir. Ancak saniyede aynı anda gelen istek sayısı arttıkça, 2048 bitlik sayılarla şifreleme işlemi yapmak zorlaşacağı için sunucunun isteklere cevap verme hızında düşme gözlemlenmiştir. Yaptığımız testlerden edindiğimiz sonuçlara göre sunucu, kapasitesini aşacak sayıda istekle karşılaştığında isteklere yanıt verme süresi gözle görülür bir şekilde artıyor ve her isteğe yanıt veremiyor. Az istek gönderdiğimiz senaryolarda program sorunsuz çalışırken istek sayısını arttırdığımızda programın performansında düşüş yaşadığı gözlemlenmiştir. Ayrıca programın çalıştırıldığı bilgisayarın işlevselliğini de etkileyerek donmasına sebep olmuştur. Sonuç olarak gelen istekler bir süre sonra DoS atağı etkisi gösterip, sunucunun performansını olumsuz yönde etkilemiştir. Mobil bankacılık uygulamalarında da aynı anda legal bir kullanıcıdan yapılan kimlik doğrulama isteklerinin gelmesi ile uygulamanın bu şekilde yavaşlayacağını, Hizmet Reddi Saldırısına benzer bir saldırı örneği olacağını ve uygulamanın her isteğe cevap veremeyerek işlevinin azalacağını öngörüyoruz.

Özet (Çeviri)

The rapid advancement of technology and the widespread use of mobile applications in various aspects of our lives have started to attract the attention of cyber attackers. As time passes, the scale of cyber attacks on these platforms is increasing, leading to reputation and financial losses for organizations. Therefore, organizations take certain security measures to protect their sensitive and confidential information from unauthorized access and its adverse consequences. Cryptographic algorithms are used to encrypt and transmit sensitive data securely when sending them to the receiving party.To ensure security, certain fundamental security principles are followed. Encryption methods are utilized to ensure the confidentiality and integrity of critical and sensitive data. Additionally, authenticaiton and authorization control are provided for accessing critical data. Authorized users should have access to these data whenever needed, and the actions performed by authorized users should be logged. With the increasing presence of the internet in our lives, the number of attacks on organizations is also rising. One of the most significant among these is DDoS attacks. DDoS attacks aim to disrupt the functioning of systems by sending far more requests than their capacity. The objective of these attacks is not to access, modify, or steal critical and sensitive data but to block and disrupt the accessibility of systems. One of the fundamental elements of resisting cyber attacks and keeping systems secure is authentication. Two-factor authentication (2FA), which is one of the advanced identity authentication methods designed to protect systems from unauthorized access, is commonly used by many organizations as an additional security layer to enhance security. However, these systems have some security vulnerabilities despite enhancing access security. In this master's thesis, we exemplify how two-factor authentication, commonly used for security, can be exploited by attackers to cause denial-of-service attacks by halting the operation of services. There are two steps in the authentication phase: first is the authentication server verifying the username and password, and second is generating a PIN and sending it to the user. In our study, to exemplify the PIN generation phase during authentication, we randomly assign a number to the server and encrypt it using 2048-bit numbers. The speed at which systems perform this operation is in milliseconds. However, as the number of requests received per second increases, the encryption process with 2048-bit numbers becomes more challenging, resulting in a decrease in the server's response rate. Additionally, freezing and slowing down are observed on the device where the program is executed. As a result, the incoming requests eventually exhibit the effects of a DoS attack, negatively impacting the server's performance. We anticipate that in mobile banking applications, simultaneous authentication requests from legitimate users will slow down the application in a similar manner, resembling a Denial-of-Service attack, causing the application to respond to fewer requests and reducing its functionality.

Benzer Tezler

  1. Tez No

    655199

    Mobil kimlik doğrulama uygulamalarının güvenlik incelemesi

    Security analysis of mobile authenticator applications

    CAN ÖZKAN

    Yüksek Lisans

    Türkçe

    Türkçe

    2021

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolTOBB Ekonomi ve Teknoloji Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. ALİ AYDIN SELÇUK

  2. Tez No

    434060

    Security/privacy analysis of biometric hashing and template protection for fingerprint minutiae

    Biyometrik kıyım için güvenlik/mahremiyet analizi ve parmak izi olay noktaları için şablon koruma

    BERKAY TOPÇU

    Doktora

    İngilizce

    İngilizce

    2016

    Elektrik ve Elektronik MühendisliğiSabancı Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    DOÇ. DR. HAKAN ERDOĞAN

  3. Tez No

    710907

    Biometric cryptosystems: authentication, encryption and signaturefor biometric identities

    Biyometrik şifreleme sistemleri: Biyometrik kimlik denetimi, şifrelemesi ve imzası

    NEYYİRE DENİZ SARIER

    Doktora

    İngilizce

    İngilizce

    2011

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolRheinische Friedrich-Wilhelms-Universität Bonn

    Bilgisayar Bilimleri Ana Bilim Dalı

    PROF. DR. JOACHIM VON ZUR GATHEN

    PROF. DR. PREDA MIHAILESCU

  4. Tez No

    863287

    Dijital doğrulama teknolojilerinin vatandaşlar tarafından kamu hizmetlerinde kullanımını etkileyen faktörler

    Factors affecting the use of digital verification technologies by citizens in public services

    ŞEYMA NUR KONYAR

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    İşletmeGebze Teknik Üniversitesi

    İşletme Ana Bilim Dalı

    DOÇ. DR. FARİD HUSEYNOV

  5. Tez No

    519696

    Distributed single password protocols

    Dağıtılmış Tek Parolalı Protokoller

    DEVRİŞ İŞLER

    Yüksek Lisans

    İngilizce

    İngilizce

    2018

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKoç Üniversitesi

    Bilgisayar Bilimleri ve Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ALPTEKİN KÜPCÜ

Geri Dön