Basic Authentication, kullanıcı adı ve parola parametreleri ile erişim talebi gönderen, isminden de anlaşılacağı gibi basit ve geleneksel bir oturum açma yöntemidir. Bu yöntemde önce client sunucuya bir erişim talebi gönderir. Bu talebe istinaden sunucu Authorization (yetkilendirme) bilgilerini rica eder. Karşınıza çıkan oturum açma ekranına girdiğiniz kullanıcı adı ve parola bilgileriniz Base64 yöntemi ile kodlanarak basit bir http header halinde sunucuya iletilir. Fakat iletilen bu header için ne ek bir şifreleme ne de hash yöntemi kullanılmaz. Dolayısıyla bu paketi yakalayan birisi header üzerindeki bilgileri çok basit bir şekilde decode ederek oturum açma bilgilerinizi ele geçirebilir.

Örneğin yukarıdaki oturum açma senaryosunda kullanıcı tarafından gönderilen HTTP header içerisindeki bilgilere bakalım. Authorization: Basic YWxpY2U6cGFzc3dvcmQ=
Buradaki YWxpY2U6cGFzc3dvcmQ= metnini web üzerindeki basit bir Base64 decode sayfasına yazıyorum ve kullanıcı adının alice, parolanın ise password olduğunu görüyorum.

Ek olarak Basic Authentication ek doğrulama yöntemleri ile de uyumlu çalışmaz. Bu nedenle daha yeni oturum açma ve doğrulama yöntemlerine ihtiyaç duyulmuştur.
Bu sebepden dolayı Modern Authentication tercih edilmektedir. Modern Authentication kısaca bahsedelim
Modern Authentication, kullanıcıların Microsoft servislerine erişirken kullandığı yenilikçi oturum açma ve yetkilendirme yöntemlerini kapsayan bir çatı tabirdir. Çok faktörlü kimlik doğrulama (MFA), Koşullu Erişim (Conditional Access), Smard Card Authentication, Sertifika tabanlı oturum açma ve biyometrik oturum açma/doğrulama yöntemleri bunlardan bazıları.
Modern Authentication çerçevesindeki oturum açmalarda genellikle SAML, ADAL (Azure Active Directory Authentication Library) ve OAuth protokolleri kullanılır. Bu protokollerin genel özelliği kimlik bilgilerini direkt kullanmak yerine bir token veya hash yöntemi kullanmasıdır. Böylece kimlik bilgileriniz paketler içerisinde açık bir şekilde taşınmaz. Hatta kendisi hiç bir yere gitmez sadece ona karşılık gelen temsili bir “değer” paketler içerisinde taşınarak kimlik doğrulaması gerçekleşir. Ayrıca bu protokollerin aracılık ettiği birçok kimlik doğrulama yöntemi aynı zamanda MFA olarak bildiğimiz ikinci faktör kimlik doğrulama yöntemi olarak da kullanılabiliyor. Tablodan incelyebilirsiniz.

Parolaya ek olarak çok faktörlü kimlik doğrulama yöntemlerine “eh işte fena değil” dese de özellikle “passwordless” olarak tabir edilen oturum açma yöntemini şiddetle tavsiye ediyor. Özetle parolayı sakınıp duracağımıza kurtulalım şu paroladan diyor
Kullanıcı bu yöntemde parola yerine direkt olarak Windows Hello, Authenticator uygulaması veya FIDO2 güvenlik anahtarı kullanabilir. Örnek verecek olursak parmak izi, yüz tanıma veya Authenticator uygulaması üzerinden bildirim/kod ile oturum açma gerçekleştirebiliriz.


