YBS302U Ağ Yönetimi ve Bilgi Güvenliği Ünite -5

Biyometrik yöntemler, kullanıcı kimlik doğrulama sürecinde son yıllarda daha sık kullanılan bir alternatiftir. Parmak izi, iris ve retina gibi pasif (fizyolojik) özelliklerin yanı sıra ses, tuş vuruşu ya da el yazısı gibi aktif (davranışsal) özellikler de kimlik doğrulamada kullanılabilir. Biyometrik veriler bir parolaya göre daha kişisel ve taklit edilmesi zor olduğu için güvenlik seviyesini artırır. Ancak yüksek doğruluk oranlarına sahip cihazların maliyetli olması ya da veri gizliliğine yönelik endişeler gibi konular da dikkate alınması gereken hususlardır.

Bunun yanı sıra, güçlü parola uygulamaları hâlâ birçok sistemde en önemli güvenlik katmanlarından biri olmaya devam eder. Parola, kişisel bilgileri içermeyecek şekilde karmaşık ve düzenli olarak yenilenir biçimde seçilmelidir. Özellikle çok faktörlü kimlik doğrulama (MFA) yöntemlerinin devreye girmesiyle, güvenlik seviyesini daha da yükseltmek mümkündür. Kullanıcı, hem parolasını hem de biyometrik ya da SMS üzerinden gönderilen bir kodu kullanarak sisteme giriş yapabilir.

Anahtar dağıtımı sürecinde en sık karşılaşılan saldırı türlerinden biri “Aradaki Adam (Man in the Middle)” saldırısıdır. İki taraf arasına sızan saldırgan, tarafların birbirine güvendiğini düşündüğü durumlarda kendi anahtarlarını dağıtabilir ve iletişimi kontrolü altına alabilir. Bu gibi tehditlere karşı, sertifika tabanlı doğrulama veya ek doğrulama mekanizmaları kullanılmalıdır. Bu mekanizmalar, sertifikaların kim tarafından verildiğini ve hangi anahtarın gerçekten kime ait olduğunu güvenilir biçimde teyit eder.

Sonuç olarak, anahtar yönetimi ve kullanıcı doğrulama stratejileri, bilgi güvenliğinin temelini oluşturan ve sistem yöneticilerinin dikkatle üzerinde durması gereken konulardır. Gerek simetrik gerekse asimetrik kriptografide güvenliğin sürdürülebilir olması, doğru yapılandırılmış bir anahtar dağıtımı ve kullanıcı doğrulama politikası ile mümkündür. Bu politikalar, biyometrik teknolojilerin ve çok faktörlü kimlik doğrulamanın etkin kullanımını, güçlü parola prensiplerini ve açık anahtar altyapılarının verimli yönetilmesini gerektirir.

1 – Aşağıda verilenlerden hangisi fizyolojik (pasif) biyometrik özelliklerden biri değildir?

A) Parmak izi
B) Damar yapısı
C) İris
D) El yazısı
E) Retina

Cevap : D) El yazısı

Açıklama : Fizyolojik (pasif) biyometrik özellikler; parmak izi, damar yapısı, iris ve retina gibi kalıtsal veya yapısal faktörlere dayanır. El yazısı ise davranışsal (aktif) özellikler arasına girer.

2 – Aşağıda verilenlerden hangisi davranışsal (aktif) biyometrik özelliklerden biri değildir?

A) Ses
B) El
C) Yüz
D) Tuş vuruşu
E) Dudak hareketi

Cevap : C) Yüz

Açıklama : Davranışsal (aktif) biyometrik özellikler, kullanıcının eylemlerine dayalıdır (ses, tuş vuruşu, dudak hareketi gibi). Yüz ise fizyolojik (pasif) bir özelliktir.

3 – Güçlü bir parola aşağıda verilen özelliklerden hangisine sahip olmalıdır?

A) Sadece küçük harfler kullanılmalıdır.
B) Kullanıcıya ait doğum tarihi gibi kişisel bilgiler içermelidir.
C) Belirli zaman aralıklarında yenilenmelidir.
D) Sözlükte geçen bir kelime içermelidir.
E) Önceden kullanılmış parolalara benzemelidir.

Cevap : C) Belirli zaman aralıklarında yenilenmelidir.

Açıklama : Güçlü bir parola, belirli aralıklarla değiştirilerek tekrar tekrar kullanımın oluşturacağı riskleri azaltır. Aynı zamanda harf, rakam ve özel karakter kombinasyonu kullanılması önerilir. Doğum tarihi veya sözlük kelimesi gibi tahmini kolay ögelerden kaçınılmalıdır.

4 – Aşağıdakilerden hangisi X.509 sertifikası içerisindeki bilgilerden biri değildir?

A) Seri numarası
B) Başlangıç süresi
C) Bitiş süresi
D) Açık anahtar
E) Gizli anahtar

Cevap : E) Gizli anahtar

Açıklama : X.509 dijital sertifikası; sertifika sahibinin adı, sertifikanın başlangıç ve bitiş tarihi, açık anahtar ve sertifika otoritesi bilgilerini içerir. Gizli anahtar, hiçbir zaman sertifikanın içinde yer almaz.

5 – Bir firmada 100 çalışan olması ve her çalışanın diğer çalışanlarla bir simetrik şifreleme algoritması kullanarak güvenli iletişim kurması durumunda sistemde toplam kaç adet farklı gizli anahtar üretilmesi gerekmektedir?

A) 100
B) 200
C) 1.000
D) 2.000
E) 4.950

Cevap : E) 4.950

Açıklama : Simetrik şifrelemede iki taraf aynı anahtarı paylaştığından, ikili iletişim kuracak her çift için ayrı bir anahtar gerekir. 100 kişinin kendi aralarındaki iletişim sayısı C(100, 2) = (100*99)/2 = 4.950’dir.

6 – Bir firmada 100 çalışan olması ve yeni bir çalışanın işe alınmasından sonra her çalışanın diğer çalışanlarla bir simetrik şifreleme algoritması kullanarak güvenli iletişim kurması durumunda sistemde toplam kaç adet yeni gizli anahtar üretilmesi gerekmektedir?

A) 100
B) 200
C) 1.000
D) 2.000
E) 4.950

Cevap : A) 100

Açıklama : Yeni eklenen bir çalışan, mevcut 100 kişiyle iletişim kurması için 100 ayrı yeni anahtar oluşturmak zorundadır. Böylece her ikili kombinasyon için farklı bir simetrik anahtar tanımlanır.

7 – Aşağıda verilenlerden hangisi PKI altyapısını kullanmaz?

A) SSL
B) S/MIME
C) Telnet
D) VPN
E) PGP

Cevap : C) Telnet

Açıklama : PKI (Public Key Infrastructure) altyapısı, SSL/TLS, S/MIME, VPN gibi güvenli iletişim protokollerinde sertifika temelli kimlik doğrulama ve şifreleme sağlar. Telnet ise varsayılan hâliyle şifreleme kullanmayan, güvenli olmayan eski bir protokoldür.

8 – Can kendine bir parola seçecektir. Parola yedi karakterden oluşacaktır. Karakterler Türkçe alfabede yer alan 29 harf içinden seçilecektir. Bir harf birden fazla kullanılabilir. Büyük ve küçük harf kullanılabilir. Bu şartlara göre Can’ın seçebileceği kaç farklı parola vardır?

A) 29
B) 58
C) 292
D) 297
E) 587

Cevap : E) 587

Açıklama : Türkçe alfabedeki 29 harfin her biri hem büyük hem küçük seçilebileceği için toplam 29*2 = 58 farklı karakter seçeneği vardır. Yedi karakterin her biri 58 seçenekten bağımsızca seçilebildiğinden 58^7 = 58*58*58*58*58*58*58 (kısaltılmış gösterimi 58⁷) farklı parola mümkündür. 58⁷ “5.87 x 10^12” gibi yaklaşık bir değere karşılık gelir.

9 – Aşağıdakilerden hangisi açık anahtar altyapısının işlevlerinden biri değildir?

A) Sertifika yayımlamak
B) Parola oluşturmak
C) Sertifika iptal etmek
D) Anahtar yaşam döngüsünü yönetmek
E) Sertifikaların saklanması ve erişime açılması

Cevap : B) Parola oluşturmak

Açıklama : PKI’nın (Public Key Infrastructure) temel işlevleri arasında sertifika yayınlama, iptal etme, anahtarların yaşam döngüsünü yönetme ve sertifikaları güvenli bir şekilde saklayıp erişilebilir kılmak vardır. Parola oluşturmak PKI’nın tanımlı işlevlerinden biri değildir.

10 – Gizli anahtar oluşturmak isteyen iki kullanıcının arasına girerek her ikisi ile kendi arasında anahtar oluşturmak olarak tanımlanan saldırı aşağıdakilerden hangisidir?

A) Aradaki adam
B) Yeniden gönderme
C) Kaba kuvvet
D) Sözlük
E) Telekulak

Cevap : A) Aradaki adam

Açıklama : “Man in the Middle (Aradaki Adam)” saldırısında, saldırgan iki taraf arasında kurulan güvenli bağlantıyı sabote eder ve her iki taraftan da farklı anahtar alarak iletişimi kontrol altına alır.