Parola sıfırlama akışı, herhangi bir kimlik doğrulama sisteminin en hedef alınan yollarından biridir. Saldırganlar bilir ki; kontrol ettikleri bir adrese sıfırlama e-postası tetikleyebilirlerse, sızdırılmış bir sıfırlama linkini tekrar oynatabilirlerse veya çalınmış bir oturumla değişiklik formuna girebilirlerse, platformun sunduğu giriş anı savunmalarının tamamını atlatırlar.
Birçok gateway sıfırlamayı sonradan eklenen bir şey olarak görür: uzun ömürlü sıfırlama linkleri, UI'da açıkta görünen alıcı adresleri, CSRF olmayan parola değiştirme formları ve kimin neyi ne zaman sıfırladığına dair denetim eksikliği. Her biri küçük bir boşluktur; birlikte ön kapıdaki MFA duvarına paralel bir yan kapı oluştururlar.
Diğer uç — parola işlemlerini hantal ve sadece yöneticiye açık tutmak — destek hattı taşmaları, yapışkan-not üzerinde paylaşılan yönetici parolaları ve süreç zor olduğu için kimlik bilgilerini hiç değiştirmeyen kullanıcılar üretir.
Parola işlemleri self-servis, güvenli ve uçtan uca denetlenir olmalı — login'i savunan aynı motor, değiştirmeyi, unuttumu ve sıfırlamayı da savunmalıdır.
Üç koordineli akış, hepsi login ve MFA ile aynı gateway üzerinde çalışır.
Oturum açmış bir kullanıcı, mevcut parolasını ve yenisini girerek parolasını değiştirir. Action token'lar, CSRF koruması ve kısa tek kullanımlık pencereler, değiştirme formunu oturum tekrar oynatmasına ve cross-site istismarına karşı savunur; işlem, diğer her erişim kararıyla aynı denetim akışında yaşar.
Giriş yapamayan bir kullanıcı, unuttum formunda kullanıcı kimliğini girer. UI hesabın var olup olmadığını doğrulamaz — her zaman aynı nötr yanıtı gösterir — ve sıfırlama e-postası, yapılandırılmış kimlik sağlayıcı üzerinden teslim edilir; böylece adres talep edene asla geri açıklanmaz.
Sıfırlama linki, Redis'te saklanan tek kullanımlık ve zaman sınırlı bir token taşır. Bir kez tüketildikten sonra token geçersizleşir; pencere dolduğunda ise link ölür. Sızdırılmış bir sıfırlama URL'ini yeniden oynatmak başarısız olur, ve orijinal talep eden için baştan başlama yolu nettir.
Değiştirme denemeleri, unuttum talepleri, sıfırlama link tüketimleri ve policy redleri yapılandırılmış denetim girdileri yazar. Denetim akışı platformun SIEM hedefine beslenir; böylece destek hattı desenleri, anomali yoğunlaşmaları ve bireysel olaylar, login telemetrisi ile aynı zaman çizelgesinden görünür.
Üç akış detayda — artı yol haritasındaki politika genişletmesi.
Oturum açmış kullanıcı değiştirme formunu açar, mevcut parolasıyla birlikte yeni parolayı sağlar; ve gateway, yeni değeri uygulamadan önce yapılandırılmış kimlik sağlayıcı üzerinden mevcut değeri doğrular. CSRF token'ları, kısa TTL'li tek kullanımlık action token'ları ve denetim log'lama tüm işlemi korur.
Anonim bir kullanıcı unuttum formunda kullanıcı kimliğini girer. Yanıt; hesabın var olup olmamasından bağımsız olarak aynıdır — hesap numaralandırma sızıntısı yok, farklı hata yolları yok. Kullanıcı kimliği gerçek bir hesapla eşleşirse, yapılandırılmış kimlik sağlayıcı bir sıfırlama token'ı üretir ve kullanıcının kayıtlı adresine gönderir.
Sıfırlama linkleri, gateway tarafından link gelişinde doğrulanan Redis'te saklanan bir token taşır. Token'lar tek kullanımlık ve zaman sınırlıdır — bir kez tüketildikten sonra token geçersizleşir, ve yapılandırılmış pencere dolduğunda link çalışmayı durdurur. Sızdırılmış bir linki yeniden oynatmak veya pencere dolduktan sonra iletilmiş bir e-postayı kullanmak temiz şekilde başarısız olur.
Unuttum ve sıfırlama akışlarında kullanıcıya geri gösterilen e-posta adresleri, telefon numaraları ve kullanıcı kimliği değerleri her zaman maskelenir. Parolayı bilen ama gelen kutusu olmayan bir saldırgan hedef adresi okuyamaz; başka birinin omzunun üstünden bakan biri iletişim detaylarını toplayamaz.
AAM parolaları doğrudan saklamaz. Değiştirme, unuttum ve sıfırlama eylemleri, kimlik bilgisinin sahibi olan kimlik sağlayıcıya devreder — LDAP/AD, local veritabanı, OIDC pass-through veya başka yapılandırılmış bir sağlayıcı. Akış aynı kalır; depolama, zaten güvendiğiniz sağlayıcıda kalır.
Her parola formu — değiştirme, unuttum, sıfırlama — kullanıcının oturumuna veya eylem bağlamına bağlı geçerli bir CSRF token gerektirir. Oturum açmış kullanıcının parola sayfasını istismar etmeye çalışan cross-site istekler, kimlik sağlayıcıya ulaşmadan gateway'de başarısız olur.
Karmaşıklık kuralları — uzunluk, karakter sınıfları, zayıf/sızdırılmış parolaların reddi, geçmiş ufku — bugün her kimlik sağlayıcı tarafından uygulanır. Tüm sağlayıcıları üst üste binen tek bir yapılandırılabilir kural setiyle merkezi bir AAM seviyesi politika yol haritasındadır; böylece uyumluluk ekipleri tek bir politika ifade edip her arka uçta değerlendirilmesini sağlayabilir.
Parola son kullanma rotasyon politikası ve sızdırılmış kimlik listeleri ile entegrasyon (kullanıcıların halka açık bir sızıntıda bilinen bir parolayı ayarlayamaması için) yol haritasındadır. Aynı denetim akışı; zorunlu rotasyon olaylarını ve sızıntı listesi redlerini sıradan yaşam döngüsü işlemleriyle birlikte kaydedecek.
Self-servis parola akışlarını erişim katmanında güvenli tutan mekanik.
Parola işlemleri, bilinçli olarak kısa zaman pencereli tek kullanımlık action token'lar kullanır. Değiştirme formu action token'ı açık durumunda 30 saniye yaşar; sıfırlama linki token'ı yalnızca yapılandırılmış pencere boyunca yaşar. Tekrar oynatma, link iletme ve oturum token istismarı önce bu kısa pencerelere çarpar.
Token üretimi ve tüketimi Redis'te yaşar; böylece herhangi bir gateway pod'u herhangi bir token'ı doğrulayabilir. Yatay ölçeklendirilmiş dağıtımlar koordinasyon yükü olmadan tutarlı kalır; bir pod'da tüketilen token diğer her pod'da anında geçersiz olur.
Her servis parola işlemlerini farklı bir kimlik sağlayıcıya eşleyebilir — çalışanlar için LDAP/AD, yükleniciler için local veritabanı, federe kimlikler için OIDC pass-through. Akış yüzeyi aynı kalır; kullanıcılar her zaman tutarlı bir parola deneyimi görür.
Parola değerleri yalnızca TLS üzerinden taşınır ve log'a asla yazılmaz, hata mesajlarında asla yansıtılmaz, yönetici konsolunda asla gösterilmez. Operatör metadata'sı (son değişiklik zamanı, kilitli durum, sıfırlama denemeleri) görünür; parolanın kendisi değildir.
Başarısız değiştirme denemeleri, süresi dolmuş sıfırlama linkleri ve istismarcı unuttum formu gönderimleri, platformun login-attack-protection katmanının kullandığı aynı deneme sayaçlarını besler. Bir saldırgan, login sayfasında paralel bir deneme beklerken değiştirme formunu brute edemez.
Authenticator'larını ve kurtarma e-postasını kaybetmiş kullanıcılar için resmi bir yönetici aracılı kurtarma akışı yol haritasındadır. Akış kimlik doğrulamayı yeniden çalıştıracak, taze bir kayıt üretecek ve kurtarma eylemi için tek bir denetlenmiş kayıt oluşturacak.
Kullanıcılar profil sayfasından parolalarını destek hattı talebi açmadan döndürür. Onlara giriş yapma izni veren aynı gateway, kimlik bilgilerini değiştirme izni de verir, ve işlem oturum aktivitelerinin geri kalanıyla aynı denetim akışına düşer.
Giriş yapamayan bir kullanıcı sıfırlama talep eder, yapılandırılmış pencere içinde tek kullanımlık bir e-posta linki ile tamamlar ve çalışmaya geri döner. Destek hattı katılımı yok, paylaşılan geçici parola yok, yan kapı gibi sıkışıp kalan açık metin kurtarma e-postası yok.
Yükleniciler ilk girişte zorunlu değiştirme akışıyla katılır ve yönetici tarafından tetiklenen bir sıfırlamayla ayrılır; sıfırlama tüm aktif oturumları anında geçersiz kılar. Yaşam döngüsü anları, güvenlik ekibine görünür birer denetim girdisi üretir.
PCI-DSS, HIPAA, KVKK ve ISO 27001 denetimleri, parola işlemlerinin loglandığına, kapsamlı tutulduğuna ve düz metin olarak açığa çıkmadığına dair kanıt arar. Deneme başına denetim akışı ve maskelenmiş alıcı UI'sı bu kanıtı normal operasyonun yan ürünü olarak üretir.
Değiştirme, unuttum ve sıfırlama — üç güvenli akış, tek denetim, düz metin yan kapısı yok. Kendi uygulamalarınız üzerinde canlı bir kurulumda gezdirelim.