INTERSECT 49
                                           Kullanıcı Kimlik Doğrulama ve Onaylama Sistemi

         ĠĢlem yapılan biliĢim sisteminin (yaygın olarak PC) kontrolü ya da Yazılım ve/veya
         Donanım Kontrolü (örneğin tarayıcı, “mac id” bilgileri) ile karar verilmesi ise,
         SĠBERMETRĠK bir doğrulama olmaktadır.

Ġki Faktörlü Doğrulama, iki farklı vesileyle kimliğin doğrulanmasıdır.

Tipik ve yaygın olarak, SAHĠP OLUNAN ve BĠLĠNEN iki unsurun kontrolü ile doğrulama
yapılır.

VARLIĞA AĠT olan karakteristik ve biyolojik unsurlarla (Biyometriklerle) kimliğin
doğrulanması ise, biyometrik okuyucu donanımları, biyolojik verilerin sağlanması, saklanması
ve korunmasına iliĢkin yüksek maliyetler nedeniyle daha kısıtlı olarak çok özel ve kritik
süreçlerde kullanılmaktadır. Yani, biyometrik doğrulamalarda maliyet ile hata payı ters orantılı
olmaktadır. Bu yüzden, yaygın ve yoğun Ģekilde doğrulama gerektiren durumlarda, örneğin
internet bankacılığı iĢlemlerinde, katlanılamaz maliyetler söz konusu olacağından,
Biyometriklerle kimlik doğrulama tercih edilmemektedir.

Ayrıca, sır (gizli) olmadıkları (dokunduğumuz her yerde parmak izimizi bırakıyoruz,
gözlerimizle her an her yere bakıyoruz), yani kolayca elde edilebilmeleri, rastsal ve yenilenebilir
olmadıkları, iptal edilemedikleri için, Biyometrikler, PIN(*) (Personel Identification Number)
yani kimliği tanıtıcı, ibraz edici, sabit bir kullanıcı kodu olarak veya adımız soyadımız gibi
kullanılmaya çok daha uygundurlar.

Bu arada, PIN ifadesi, dilimizde Ģifre olarak geçmekte ise de, bu tanımlamalardan da
anlaĢılacağı gibi, ġĠFRE için doğru ifade PASSWORD (alfabetik) veya PASSCODE (alfa
nümerik) olmalıdır.

3. BDDK Tebliği ve İki Faktörlü Kimlik Doğrulama:

Ġki faktörlü doğrulamada, sahip olunan faktöre iliĢkin güç farkını, bankacılık sektöründen
örnekleyerek açıklamak durumu çok somutlaĢtıracaktır.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından, 14 Eylül 2007’ de Resmi
Gazete’ de yayınlanarak yürürlüğe giren ve 01 Ocak 2010 itibarıyla bankaların yükümlü olduğu,
“Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak Ġlkelere ĠliĢkin Tebliğ” in, Ġnternet
Bankacılığı bölümünde, Kimlik Doğrulama baĢlığı altında düzenlenen 27. Maddesinin 4.
Fıkrasında, “MüĢterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az
iki bileĢenden oluĢur. Bu iki bileĢen; müĢterinin "bildiği", müĢterinin "sahip olduğu" veya
müĢterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere
seçilir.” diyerek iki faktörlü doğrulamayı ifade etmiĢtir.

Aynı maddede,

“MüĢterinin "bildiği" unsur olarak parola/değiĢken parola bilgisi gibi bileĢenler, "sahip olduğu"
unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık

                                                                                             Sayı 1, 2014 GIDB-Dergi