Kimlik doğrulama yöntemlerini açıklama

  • 10 dakika

Kimlik platformunun temel özelliklerinden biri, bir kullanıcı bir cihazda, uygulamada veya hizmette oturum açtığında kimlik bilgilerini doğrulamak veya kimlik doğrulaması yapmaktır. Microsoft Entra ID farklı kimlik doğrulama yöntemleri sunar.

Parolalar

Parolalar en yaygın kimlik doğrulama biçimidir, ancak özellikle tek faktörlü kimlik doğrulamasında kullanıldığında, yalnızca bir kimlik doğrulama biçiminin kullanıldığı birçok sorunla karşılaşırlar. Hatırlaması yeterince kolaysa, korsanların ele geçirmesi de kolaydır. Kolayca ele geçirilemeyen güçlü parolaları hatırlamak zordur ve unutulduğunda kullanıcıların üretkenliğini etkiler.

Parola kullanımı, Microsoft Entra Id'de sağlanan daha güvenli kimlik doğrulama yöntemleriyle desteklenmeli veya değiştirilmelidir.

Parolaların nasıl desteklenmesi veya değiştirilmesi gerektiğini gösteren diyagram. En iyi yaklaşım Parolasız'dır.

Telefon

Microsoft Entra ID, telefon tabanlı kimlik doğrulaması için iki seçeneği destekler.

  • SMS tabanlı kimlik doğrulaması. Mobil cihaz kısa mesaj mesajlaşmasında kullanılan kısa mesaj hizmeti (SMS), birincil kimlik doğrulaması biçimi olarak kullanılabilir. SMS tabanlı oturum açma ile kullanıcıların uygulama ve hizmetlere erişmek için kullanıcı adı ve parola bilmesi gerekmez. Kullanıcı bunun yerine kayıtlı cep telefonu numarasını girer, doğrulama kodu içeren bir kısa mesaj alır ve bunu oturum açma arabirimine girer.

    Kullanıcılar, self servis parola sıfırlama (SSPR) veya Microsoft Entra çok faktörlü kimlik doğrulaması sırasında ikincil bir kimlik doğrulaması biçimi olarak cep telefonundaki SMS kısa mesajları aracılığıyla kimliklerini doğrulamayı da seçebilir. Örneğin, kullanıcılar SMS kısa mesaj kullanarak parolalarını tamamlayabilir. Cep telefonu numarasına doğrulama kodu içeren bir SMS gönderilir. Oturum açma işlemini tamamlamak için, sağlanan doğrulama kodu oturum açma arabirimine girilir.

  • Sesli arama doğrulaması. Kullanıcılar, self servis parola sıfırlama (SSPR) veya Microsoft Entra çok faktörlü kimlik doğrulaması sırasında kimliklerini doğrulamak için sesli çağrıları ikincil bir kimlik doğrulaması biçimi olarak kullanabilir. Telefon araması doğrulaması ile, kullanıcı tarafından kaydedilen telefon numarasına otomatik bir sesli arama yapılır. Oturum açma işlemini tamamlamak için kullanıcıdan tuş takımında # tuşuna basması istenir. Sesli aramalar, Microsoft Entra Id'de birincil kimlik doğrulaması biçimi olarak desteklenmez.

YEMİN

OATH (Açık Kimlik Doğrulaması), zaman tabanlı, tek seferlik parola (TOTP) kodlarının nasıl oluşturulduğunu belirten açık bir standarttır. Bir kullanıcının kimliğini doğrulamak için tek seferlik parola kodları kullanılabilir. OATH TOTP, kodları oluşturmak için yazılım veya donanım kullanılarak uygulanır.

  • Yazılım OATH belirteçleri genellikle uygulamalardır. Microsoft Entra ID, uygulamaya giriş olarak verilen ve OTP'yi oluşturmak için kullanılan gizli anahtarı veya çekirdeği oluşturur.

  • OATH TOTP donanım belirteçleri (genel önizlemede desteklenir) her 30 veya 60 saniyede bir yenilenen bir kod görüntüleyen anahtar fob'a benzeyen küçük donanım cihazlarıdır. OATH TOTP donanım belirteçleri genellikle belirteçte önceden programlanmış bir gizli anahtar veya çekirdek ile birlikte gelir. Bu anahtarların ve her belirteci özgü diğer bilgilerin Microsoft Entra Kimliği'ne girilmesi ve son kullanıcılar tarafından kullanılmak üzere etkinleştirilmesi gerekir.

OATH yazılımı ve donanım belirteçleri, self servis parola sıfırlama (SSPR) veya Microsoft Entra çok faktörlü kimlik doğrulaması sırasında bir kimliği doğrulamak için yalnızca Microsoft Entra Id'de ikincil kimlik doğrulaması biçimleri olarak desteklenir.

Parolasız kimlik doğrulaması

Birçok kuruluşun son hedefi, oturum açma olaylarının bir parçası olarak parola kullanımını kaldırmaktır. Kullanıcı parolasız bir yöntemle oturum açtığında, kimlik bilgileri İş İçin Windows Hello ile biyometri veya FIDO2 güvenlik anahtarı gibi yöntemler kullanılarak sağlanır. Bu kimlik doğrulama yöntemleri saldırgan tarafından kolayca çoğaltılamaz.

Microsoft Entra ID, kullanıcılar için oturum açma deneyimini basitleştirmek ve saldırı riskini azaltmak için parolasız yöntemler kullanarak yerel olarak kimlik doğrulaması yapmanın yollarını sağlar.

Aşağıdaki videoda parolalarla ilgili sorun ve parolasız kimlik doğrulamasının neden bu kadar önemli olduğu açıklanır.

İş İçin Windows Hello

İş İçin Windows Hello, parolaları cihazlarda güçlü iki öğeli kimlik doğrulamasıyla değiştirir. Bu iki öğeli kimlik doğrulaması, bir cihaza bağlı bir anahtar veya sertifika ile kişinin bildiği bir şeyin (PIN) veya kişinin olduğu bir şeyin (biyometri) birleşimidir. PIN girişi ve biyometrik hareket, kimlik sağlayıcısına gönderilen verileri şifrelemek için özel anahtarın kullanımını tetikler. Kimlik sağlayıcısı kullanıcının kimliğini doğrular ve kullanıcıyı kimlik doğrulamasından geçirir.

İş İçin Windows Hello, bir saldırganın hem cihaza hem de biyometrik bilgilere veya PIN'e sahip olması gerektiğinden kimlik bilgisi hırsızlığına karşı korunmaya yardımcı olur ve bu da çalışanın bilgisi olmadan erişim kazanmayı zorlaştırır.

Parolasız kimlik doğrulama yöntemi olarak, İş İçin Windows Hello birincil kimlik doğrulama biçimi olarak hizmet eder. Ayrıca, İş İçin Windows Hello çok faktörlü kimlik doğrulaması sırasında bir kimliği doğrulamak için ikincil bir kimlik doğrulaması biçimi olarak kullanılabilir.

FIDO2

Hızlı Kimlik Çevrimiçi (FIDO), parolasız kimlik doğrulaması için açık bir standarttır. FIDO, kullanıcıların ve kuruluşların dış güvenlik anahtarı veya cihazda yerleşik bir platform anahtarı kullanarak kaynaklarında oturum açmak için standart değerden yararlanmasına olanak sağlayarak kullanıcı adı ve parola gereksinimini ortadan kaldırır.

FIDO2, web kimlik doğrulaması (WebAuthn) standardını içeren ve Microsoft Entra Id tarafından desteklenen en son standarttır. FIDO2 güvenlik anahtarları, standartlara dayalı ve phishing'e karşı dirençli parolasız bir kimlik doğrulama yöntemi olup, herhangi bir form faktöründe bulunabilir. Bu FIDO2 güvenlik anahtarları genellikle USB cihazlarıdır, ancak kısa menzilli kablosuz veri aktarımı için kullanılan Bluetooth veya Yakın Alan İletişimi (NFC) tabanlı cihazlar da olabilir. Kimlik doğrulamasını işleyen bir donanım cihazıyla, kullanıma sunulacak veya tahmin edilebilecek bir parola olmadığından hesabın güvenliği artar.

FIDO2 güvenlik anahtarlarıyla, kullanıcılar Microsoft Entra Id veya Microsoft Entra karmasına katılmış Windows 10 cihazlarında oturum açabilir ve bulut ve şirket içi kaynaklarında çoklu oturum açabilir. Kullanıcılar desteklenen tarayıcılarda da oturum açabilir. FIDO2 güvenlik anahtarları, güvenliğe çok duyarlı olan veya senaryoları olan veya ikinci bir faktör olarak telefonlarını kullanmaya istekli olmayan veya kullanamayan çalışanlar için harika bir seçenektir.

Parolasız kimlik doğrulama yöntemi olarak FIDO2, birincil kimlik doğrulama biçimi olarak hizmet eder. Ayrıca FIDO2, çok faktörlü kimlik doğrulaması sırasında bir kimliği doğrulamak için ikincil bir kimlik doğrulaması biçimi olarak kullanılabilir.

Microsoft Authenticator uygulaması

Parolasız kimlik doğrulama yöntemi olarak, Microsoft Authenticator uygulaması herhangi bir Microsoft Entra hesabında oturum açmak için birincil kimlik doğrulama biçimi olarak veya self servis parola sıfırlama (SSPR) veya Microsoft Entra çok faktörlü kimlik doğrulama olayları sırasında ek bir doğrulama seçeneği olarak kullanılabilir.

Microsoft Authenticator'ı kullanmak için kullanıcının telefon uygulamasını Microsoft store'dan indirmesi ve hesabını kaydetmesi gerekir. Microsoft Authenticator, Android ve iOS için kullanılabilir.

Parolasız oturum açma ile Authenticator Uygulaması, tüm iOS veya Android telefonları güçlü, parolasız bir kimlik bilgilerine dönüştürür. Bir kullanıcı Microsoft Entra hesabında oturum açmak için kullanıcı adını girer, ekranda görüntülenen bir sayıyı telefonundaki numarayla eşleştirir, ardından onaylamak için biyometrik veya PIN'ini kullanır.

Microsoft kimlik doğrulayıcı oturum açma isteğinin ekran görüntüsü

Kullanıcı kimlik doğrulamasının ikincil biçimi olarak Authenticator'ı seçtiğinde kimliğini doğrulamak için telefon veya tablete bir bildirim gönderilir. Bildirim geçerliyse kullanıcı Onayla'yı seçer, aksi takdirde Reddet'i seçer.

Microsoft kimlik doğrulayıcı uygulama onay isteğinin ekran görüntüsü.

Authenticator uygulaması, OATH doğrulama kodu oluşturmak için yazılım belirteci olarak da kullanılabilir. Kullanıcı adınızı ve parolanızı girdikten sonra Authenticator uygulaması tarafından sağlanan kodu oturum açma arabirimine girersiniz. OATH doğrulama kodu, SSPR veya MFA için ikinci bir kimlik doğrulama biçimi sağlar.

Sertifika tabanlı kimlik doğrulaması

Microsoft Entra identity sertifika tabanlı kimlik doğrulaması (CBA), müşterilerin uygulamalar ve tarayıcı oturum açma işlemleri için kullanıcıların Microsoft Entra kimliklerine karşı X.509 sertifikalarıyla doğrudan kimlik doğrulamasına izin vermesine veya bu sertifikalara sahip olmasını gerektirmesine olanak tanır. CBA yalnızca parolasız kimlik doğrulamasının birincil biçimi olarak desteklenir.

Ortak anahtar altyapısının (PKI) parçası olan X.509 sertifikaları, bir kimliği (bireysel, kuruluş, web sitesi) ortak anahtarına bağlayan dijital olarak imzalanan belgelerdir. Daha fazla bilgi için bkz . Şifreleme kavramlarını açıklama.

Birincil ve ikincil kimlik doğrulaması

Bir uygulamada veya cihazda oturum açtığınızda birincil faktör olarak bazı kimlik doğrulama yöntemleri kullanılabilir. Diğer kimlik doğrulama yöntemleri yalnızca Microsoft Entra çok faktörlü kimlik doğrulamasını veya SSPR'yi kullandığınızda ikincil faktör olarak kullanılabilir. Bu bilgiler, her kimlik doğrulama yöntemini açıklayan metinde vurgulanırken, aşağıdaki tabloda oturum açma olayı sırasında bir kimlik doğrulama yönteminin ne zaman kullanılabileceğini özetlemektedir.

Birincil ve/veya ikincil kimlik doğrulamaları için kimlik doğrulama yönteminin kullanılıp kullanılmadığını özetleyen bir tablonun ekran görüntüsü.