Sezgisel Oturum Yönetimi

Diyelim üyelik içeren bir İnternet projeni var. Bir sürü güvenlik prosedürü uyguladınız. Şifreleri hashliyorsunuz, şifre değiştirmede eski şifreyi soruyorsunuz. Eposta adresine şifreyi yollamadan önce güvenlik sorusu soruorsunuz vs.. vs..

Bu önlemler kötü niyetli kişinin kullanıcının şifresini bilmediği durumlarda geçerli olur. Düşünsenize K.adı : gokhan, Şifre : 1234567 ve bu bilgiye kötü niyetli bir kişi sahip. Yukarıdaki güvenlik önlemleri devre dışı kalır. Sistem bu girişin normal kullanıcı mı yoksa kötü niyetli kişi tarafından yapıldığını ayırt edemez. Bu da çok doğal bir şey.

Peki bununla ilgili bir şeyler yapabilir miyiz? Kullanıcının hangi bilgilerini biliyoruz;

  • İşletim sistemi ve tarayıcı versiyonu
  • Ekran çözünürlüğü
  • Sitede sık yaptığı işlemler
  • IP adresinden kısmen ikamet ettiği bölgeyi
  • Şifre girişini kaç denemede başardığı

Böyle uzar gider. Uzar gider dediğime bakmayın bildiklerimizin çoğu bunlar. Bunları neden anlattım? Acaba gerçek kullanıcı ile kötü niyetli kişiyi bazı yöntemlerle ayırabilme şansımız var mıdır?

Örneğin ben IE 8 kullanıyorum, 1024 x 768 ekran çözünürlüğüne sahibim. Kötü niyetli kullanıcı ise Firefox kullanıyor ve işletim sistemi de linux tabanlı bir dağıtım olsun. Şüphe 1. Tabi böyle bir değişiklik çok olası. Kullanıcı her zaman site üzerindeki giriş barını değil, ayrıca üye giriş sayfasını kullanıyordu, ama kötü niyetli kişi bunu yapmadı. Şüphe 2. Artık elimizde biraz da olsa veri var. Ve bu kullanıcı bu izlerle birlikte kullanıcı şifre ve eposta adresini değiştirmek istiyor, işte bu gerçekten geçerli bir şüphe sebebi.

Kullanıcılar her zaman girdikleri İnternet sitelerinde benzer davranışlar yaparlar. Cep telefonlarındaki yüz tanıma teknolojisi mükemmel örnek. Android 4 ICS versiyonunda çatır çatır çalışıyor. Aslında bazı tekniklerle kullanıcının alışkanlıklarını saklayabilir ve bunları şüphe puanı olarak yazabiliriz. Eğer şüphe limiti geçerse hesabı bloke edebilir, şifreyi sıfırlayabiliriz.

Peki bu kullanılabilirlik ve kullanıcı deneyimini etkiler mi? Bence hayır. Biz bu işlemleri hep arka planda yapacağız. Teknik geliştikçe hata oranı azalacaktır. Düşünsenize arkadaşınıza kullanıcı adı ve şifresini veriyorsunuz, giriş yapabiliyor ama hesabı ele geçiremiyor. Evet 100 de 1 veya 1000 de 1 gibi oranlarda hata kabul edilebilir.

Yüz tanımanın İnternet versiyonundan bahsediyorum. Daha çok geliştirilebilir ve bence uygulanabilir bir yaklaşım.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İnsan mısınız? * Time limit is exhausted. Please reload CAPTCHA.