İsmail Sinan TATLIGİL, Erkan BOLAT, Ali BOYACI

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KAPSAMINDA TEK KULLANIMLIK ŞİFRE ÜRETME

Günümüzde en önemli bilgi kaynağı siber uzaydır. Siber uzay içerisinde yapılacak olan bilgi toplama çalışmaları ile kullanıcı hesapları ve bunlarla bağlantılı birçok hesap bilgisi elde edilecektir. Elde edilen bu bilgiler, ciddi bir istihbarat kaynağı sağlayacağından siber savaş hazırlıkları için temel kaynak olacaktır. Siber istihbaratı engellemek için ise “Bilgi Güvenliği, Siber Güvenlik ve Mahremiyetin Korunması” alanlarını içeren ISO (International Organization for Standardization) içerisinde bir alt komite olan ISO/IEC 1/SC 27 komitesi tarafından yönetilmektedir. Tüm dünyada kullanılabilmesi için hazırlanmış olan temel standart, ISO 27001 Bilgi Güvenliği Yönetim Sistemi’dir. Kullanıcı hesaplarının yönetilmesi ve güvenliği ile ilgili olarak ISO 27001 standardının “EK-A 9.2 Kullanıcı Erişim Yönetimi” , “EK-A 9.3 Kullanıcı Sorumlulukları” ve “EK-A 9.4 Sistem ve Uygulama Erişim Kontrolü” maddelerinde derinlemesine ele alınmaktadır. Kullanıcı hesaplarının korunmasında iki faktörlü doğrulama için akıllı kart, kısa mesaj ile tek kullanımlık şifre gönderimi , e-posta mesajı ile tek kullanımlık şifre gönderimi yada mobil uygulama üzerinden tek kullanımlık şifre gönderimi kullanılmaktadır. Tek kullanımlık şifre üretilmesinde kişiye özel olarak şifre üretilebilmesi için kişiye ait cihaz ve içerisinde kullanılan komponentlerinin tekil özellikleri AES (Advanced Encryption Standard) algoritması kullanılarak, tek kullanımlık şifre güvenliğinin arttırılması amaçlanmıştır.

Anahtar Kelimeler:

ISO 27001, Tek Kullanımlık Şifre, Şifre Güvenliği, Siber Uzay, IMEI, SIM Seri Numarası, ICCID, Dijital Hesap Güvenliği

PDF

___

3GPP. (2009, 9). International Mobile station Equipment Identities. 3rd Generation Partnership Project;Technical Specification Group Services and System Aspects. 3GPP TS 22.016 V9.0.0.
Akkaya, S., Pehlivan, İ., Akgül, A., & Varan, M. (2018, 3). The design and application of bank authenticator device with a novel chaos based random. Journal of the Faculty of Engineering and Architecture of Gazi University, s. 1171-1182.
Bayraktar, G. (10). Harbin Beşinci Boyutunun Yeni Gereksinimi: Siber İstihbarat. Güvenlik Stratejileri(20), 12.
Cyber Risk Analytics. (2020, 4 23). riskbasedsecurity.com. adresinden alındı Florencio, D., Herley, C., & Coskun, B. (2007). Do Strong Web Passwords Accomplish Anything? USA: Microsoft Research.
International Organization for Standardization. (2013). Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler.
International Organization for Standardization. (2020, 4 23). ISO.ORG. https://www.iso.org/isoiec27001-information-security.html adresinden alındı
Internet Engineering Task Force. (1998, February). A One-Time Password System. Internet Engineering Task Force: https://tools.ietf.org/html/rfc2289 adresinden alındı
Internet Engineering Task Force. (2011, May). TOTP: Time-Based One-Time Password Algorithm. Internet Engineering Task Force: https://tools.ietf.org/html/rfc6238 adresinden alındı
Neenu , A. S., & Soman, S. (2017). Multi-Factor Authentication for Net Banking. International Journal of System and Software Engineering, Volume 5 Issue 1.
Ortaş, İ. (2018). Bilgi ve İletişim Çağında Bilimsel Bilgiye Erişimin Önemi ve Türkiye’nin Bilgiye Erişim Potansiyeli. Türk Kütüphaneciliği, 4.
Özsoy, M., & Burunkaya, M. (2013). Mobil Kullanıcılar için Konum Tabanlı Rastlantısal Tek Kullanımlık Şifreler . BİLİŞİM TEKNOLOJİLERİ DERGİSİ.
Watts, S. (2015, July). NFC and 2FA: the death of the password. Network Security Newsletter: https://www.sciencedirect.com/science/article/abs/pii/S1353485815300611 adresinden alındı