Yetkilendirme (Authentication)

İlke

İnternet sitesi gerekli güvenlik teknolojisine sahip olmalı ve kullanıcılara güvende olduğu hissi vermelidir.

Açıklama

Mobil güvenlik, kullanıcıların verilerini, finansal ve kredi kartı bilgilerini veya farklı telefon hizmetlerinin kontrolünü hedef alan çok çeşitli güvenlik açıklarını veya saldırıları kapsar. Mobil cihazların bir kişiye ait olması, cihaza fiziksel olarak sahip olmanın belirli bir fiziksel güven algısı oluşturması, bazı durumlarda kullanıcılar tarafından gerekli güvenlik önlemlerinin alınmamasına neden olabilmektedir.

İnternetin sağladığı avantajlara rağmen, sosyal mühendislik saldırılarına, hassas ve kişisel veri hırsızlığına ilişkin güvenlik sorunları ortaya çıkmaya devam etmektedir. Daha fazla kişisel veri, elektronik cihazlar tarafından kaydedildiği ve saklandığı için, verilerin ve iletişimin güvenliği, geliştiriciler tarafından uygulanması gereken bir özellik olup kullanıcılar tarafından da doğru bir şekilde anlaşılması gereklidir.

Mobil cihazlar çok farklı ortamlarda güvenli ya da güvensiz bir biçimde internet bağlantısına sahip olabilirler. Standart bir masaüstü kullanıcısının evde ya da ofiste belirli ve güvenli kabul edilen bir internet hattından bağlanabilmesine karşın mobil kullanıcılar güvensiz hatlardan şifreleme olmayan bağlantılardan internet erişimi yapabilmekte, bu nedenle güvenlik sorunları ile karşı karşıya kalabilmektedir.

Yönergeler

  • Kimlik doğrulama sistemi kullanıcılara güven hissi vermeli ve aynı zamanda arzu edilen işlevselliğin sağlanması konusunda herhangi bir engel oluşturmamalıdır.
  • Mobil kullanıcılara hitap eden yetkilendirme ekranları mutlak surette SSL sertifikalı olmalıdır.
  • Kamuya ait mobil siteler üzerinden daha güvenli bir ortam sunulabilmesi için, kullanıcıların farklı kanallardan doğrulama yapma olanağına sahip olması (Örn. SMS, vb.) sağlanabilir.
  • Potansiyel sorunlarda hak ve para kaybına yol açacak işlemlerin yapıldığı sitelerde yetkilendirme, telefon numarası, SMS ya da anlık bildirim (push message) ile yapılmalı, kullanıcı ile önceden mutabakat sağlanmış gizli bilgi doğrulaması gerçekleştirilerek taklit sitenin bunu yapabilmesinin engellendiği garanti altına alınmalıdır.
  • Mobil cihazın genellikle tek kişi tarafından kullanılması ve fiziksel güvenliği nedeniyle, sürekli olarak yeniden kullanıcı adı ve şifre girilmesinin engellenmesi kullanılabilirlik açısından tercih edilebilir.

Referanslar

Faydalı Kaynaklar