
İki Faktörlü Kimlik Doğrulama (2FA)
Genel bakış
Milyonlarca insanı tehlikeye atan birçok yüksek profilli ve yaygın büyük veri ihlalinden sonra, birçok kişi parola güvenliği ve basit bir parolanın çevrimiçi profillerini güvende tutamayacağı gerçeği hakkında daha fazla bilgi edindi. Bu, çevrimiçi hesapları güvende tutabilen ek bir güvenlik katmanı olan iki faktörlü kimlik doğrulamanın popülaritesinin artmasına neden oldu.
Kimlik Doğrulama Faktörleri
Kimlik doğrulama faktörü, bir kullanıcının hesabına erişmesine, iletişim göndermesine veya güvenli bir ağ, sistem veya uygulamadan veri istemesine izin vermeden önce kimliğini ve yetkilendirmesini doğrulamak için kullanılan bir güvenlik kimlik bilgisi kategorisidir.
Kimlik doğrulamanın üç yaygın faktörü vardır: olduğunuz bir şey, bildiğiniz bir şey ve sahip olduğunuz bir şey. Onları daha da parçalayalım:
- Olduğun bir şey. Bu tür 2FA, parmak izi, retina veya yüz taramaları, el yazısı analizi veya ses tanıma gibi biyometrik yöntemleri içerir. Modern akıllı telefonların çoğu yüz tanıma kullanır, dizüstü bilgisayarlar genellikle parmak izi okuyucuları kullanır ve hatta bir eğlence parkına sezonluk geçiş satın alırsanız bir el izi girmeniz istenebilir. Bu tür 2FA, herhangi bir iki faktörlü kimlik doğrulama yönteminin en güçlü kimlik doğrulamasını sağlasa da, mükemmel değildir. Yüzleri veya parmak izlerini tarama kapasitesine sahip bir cihaza sahip olan herkes, iPhone’larının yüzlerini veya parmak izlerini kabul etmesini sağlamaya çalışmanın ve başarısız olmanın hayal kırıklığını yaşadı.
- Bildiğin bir şey. Bu, iki faktörlü kimlik doğrulamada kullanılan en yaygın faktör olabilir. Genel olarak, bu bir şifre veya kişisel kimlik numarası (PIN) olacaktır. Ne yazık ki, bu kimlik doğrulama faktörleri aynı zamanda güvenlik saldırılarına karşı en savunmasız olanlardır. Birçok kişi hesaptan sonra hesapta aynı şifreleri kullanır ve bir hesapta bile bir ihlal varsa, bu her hesabın güvenliğinin ihlal edildiği anlamına gelir.
- Sahip olduğun bir şey. Bu tür bir faktör tipik olarak, hak sahibi bir kullanıcının (genellikle bir akıllı telefon) sahip olduğu bilinen bir cihaz aracılığıyla kontrol edilir. İlk olarak, bir kullanıcı bir e-posta adresi ve şifre ile bir hesaba kaydolur ve ardından telefon numarasını kaydeder. Kullanıcı daha sonra bu e-posta adresi ve şifreyle hesabına giriş yapar ve bu noktada kullanıcının cep telefonu numarasına tek seferlik bir şifre gönderilir. Kullanıcı bunu cihazına girdiğinde, hesabına ve sisteme erişim kazanır.
İki Faktörlü Kimlik Doğrulama Nedir?
İki faktörlü kimlik doğrulama (2FA), kullanıcıların kimliklerini doğrulamak ve hesaplarına erişmek için iki farklı kimlik doğrulama faktörü sağlamaları gereken bir güvenlik sürecidir. Bu işlem, hem kullanıcının kişisel bilgilerinin, kimlik bilgilerinin hem de diğer varlıklarının daha iyi korunmasını sağlarken, kullanıcının erişebileceği kaynakların güvenliğini de artırır.
Kesinlikle, iki faktörlü kimlik doğrulama, kullanıcının yalnızca bir faktör (genellikle bir parola veya PIN) sağladığı yalnızca bir kimlik doğrulama faktörüne (tek faktörlü kimlik doğrulama) dayanan kimlik doğrulama yöntemlerinden daha yüksek düzeyde güvenlik sağlar. Bir 2FA yöntemi, bir kullanıcının yalnızca bir şifre veya PIN değil, aynı zamanda biyometrik bir faktörden (yüz, retina veya parmak izi taraması) bir sahiplik faktörüne (bir kullanıcının sahip olduğu bilinen bir akıllı telefona gönderilen tek seferlik bir kullanım kodu) kadar değişen ikinci bir faktör sağlamasını gerektirir.
Bu ekstra güvenlik katmanı, bir saldırganın bir kullanıcının parolasını bilse bile çevrimiçi hesabına veya mobil cihazına erişmesine izin verilmeyeceği anlamına gelir. Aslında, hassas verilere ve sistemlere kimlerin erişebileceğini kontrol etmek için iki faktörlü kimlik doğrulama uzun süredir kullanılmaktadır ve güvenlik uzmanları, tüm çevrimiçi hesaplarınızda, bilgisayarlarınızda ve mobil cihazlarınızda iki faktörlü kimlik doğrulamayı etkinleştirmeye çağırmaktadır.
İki faktörlü kimlik doğrulama, siber güvenliğin ve Siber Güvenlik Analistleri tarafından yapılan işin önemli bir bileşenidir.
2FA Ne Anlama Geliyor?
İki faktörlü kimlik doğrulama (2FA), müstakbel kullanıcıların kimliklerinin bir tür ekstra doğrulamasını sağlamalarını gerektirerek hesapları ve sistemleri yetkisiz erişime karşı korumaya yardımcı olmak için kullanılan bir güvenlik yöntemini ifade eder.
İki faktörlü kimlik doğrulama, bir telefonun, çevrimiçi bir hesabın ve hatta bir kapının güvenliğini güçlendirmek için kullanılabilir. Kullanıcıdan iki tür bilgi talep ederek çalışır – ilk faktör genellikle bir şifre veya kişisel kimlik numarasıdır (PIN), ikinci faktör ise telefonunuza gönderilen bir parmak izi veya tek seferlik bir kod olabilir.
İki faktörlü kimlik doğrulama güvenliği artırsa da tamamen kusursuz değildir.
İki Adımlı Doğrulama ve İki Faktörlü Kimlik Doğrulama
Genellikle iki faktörlü kimlik doğrulama ve iki adımlı doğrulamayı birbirinin yerine kullansak ve önemli ölçüde örtüşüyor gibi görünse de, bunlar tamamen aynı değildir.
Apple, iki adımlı doğrulamayı, kullanıcının iPhone’una veya diğer güvenilir aygıtlarına gönderilen hem parolayı hem de tek seferlik bir kodu girmesi gereken daha eski ve daha düşük bir güvenlik yöntemi olarak işaret ederek iki adımlı doğrulama ile 2FA arasında ayrım yapar.
Bu bir tür olsa da, iki faktörlü kimlik doğrulama, yüz tarama teknolojisi ile donatılmış modern bir iPhone’da ve parmak izi taramasından sonra erişilebilen Macbook’larda kullanılan kimlik doğrulama yöntemlerini de içerir.
İki Faktörlü Kimlik Doğrulama Kodu Nedir?
İki faktörlü kimlik doğrulama kodu, bir kullanıcının çevrimiçi bir hesaba veya sisteme erişmeye çalıştığında kimliğini kanıtlamak için oluşturulan tek seferlik bir koddur. Kod, kısa mesaj yoluyla veya kullanıcıyla ilişkili bir telefon numarasına otomatik bir telefon görüşmesi yoluyla gönderilir. İki faktörlü kimlik doğrulama kodunu girdikten sonra, kullanıcı çevrimiçi hesabına erişim kazanır.
Bu kodlar, kullanılmadığı takdirde genellikle kısa bir süre sonra sona erer.
İki Faktörlü Kimlik Doğrulamanın Faydaları
İki faktörlü kimlik doğrulamanın faydaları, saldırılara karşı çok ihtiyaç duyulan ekstra bir güvenlik katmanı eklemesi ve sistemler, şirketler ve sıradan insanlar için güvenliği artırabilmesidir.
2FA, kullanıcılar için ekstra bir koruma katmanı sağlar çünkü bir kullanıcı adı ve şifre artık yeterli değildir. Birincisi, kimlik hırsızlığı uğursuz bir oranda artıyor. Javelin Strategy & Research tarafından yapılan 2018 Kimlik Sahtekarlığı Araştırması, kimlik sahtekarlığı kurbanlarının sayısının yalnızca 2017’de yüzde sekiz artarak 16,7 milyon ABD’li tüketiciye ulaştığı sonucuna vardı. Dolandırıcılığın toplam değeri 16,8 milyon dolara ulaştı. Parolaya bağımlı olmayan iki faktörlü kimlik doğrulamanın tanıtılması, güvenliği büyük ölçüde artırır ve kimlik hırsızlığı riskini azaltır.
Ayrıca, son birkaç yılda gördüğümüz birçok veri ihlali, milyonlarca insanın farkında olmadan kişisel bilgilerinin (kullanıcı adı ve şifreleri dahil) herkesin görebileceği bir durum yarattı. Ayrıca, birçok kişi aynı parolayı birden fazla sitede kullanır, bu nedenle bir bilgisayar korsanı, işe yarayan bir site bulana kadar çeşitli farklı sitelerde aynı oturum açma bilgilerini kullanmayı deneyebilir. Verizon’un 2017 Veri İhlali Araştırmaları Raporu, hesap ihlallerinin yüzde 81’inin bu şekilde sızdırılan şifrelere veya çok zayıf ve tahmin edilmesi mümkün olan şifrelere indirgenebileceğini ortaya koydu.
Yine de, yeterli sayıda insan 2FA’yı benimsemedi. Örneğin Google, kısa süre önce Gmail kullanıcılarının yüzde 10’undan daha azının hesaplarını korumak için mevcut 2FA güvenlik önlemlerini kullandığını açıkladı.
Şirketler için 2FA’yı benimsemenin faydaları açıktır – bugünlerde hiç kimse siber güvenliği göz ardı edemez. İki faktörlü kimlik doğrulama, BT maliyetlerinin azaltılmasına da yardımcı olabilir. Parola sıfırlama, insanların yardım masalarını aramasının en yaygın nedenlerinden biridir – endüstri derneği HDI tarafından yapılan bir araştırma, yardım masası biletlerinin üçte birinden fazlasının parola sıfırlamayı içerdiği sonucuna varmıştır.
Siber güvenliğin faydaları ve kuruluşlar için neden önemli olduğu hakkında daha fazla bilgi edinmek için lütfen Siber Güvenlik Analisti kariyer kılavuzumuza bakın.
İki Faktörlü Kimlik Doğrulama Hacklenebilir mi?
İki faktörlü kimlik doğrulamanın saldırıya uğraması mümkün olsa da, olasılıklar çok düşüktür ve hesapları ve sistemleri güvende tutmak söz konusu olduğunda 2FA kesinlikle en iyi uygulamadır. İki faktörlü kimlik doğrulamanın saldırıya uğramasının bir yolu, SMS yöntemi veya başka bir deyişle, bir kullanıcının telefon numarasına SMS veya otomatik telefon görüşmesi yoluyla tek seferlik bir kullanım kodunun gönderildiği yöntemdir.
Bilgisayar korsanlarının cep telefonu operatörlerini başka birinin telefon numarasını kendi telefonlarına aktarmaları için kandırdığına dair hikayeler var. Bilgisayar korsanları, kurbanları gibi davranarak operatörlerle iletişime geçerek kurbanın numarasıyla yeni bir SIM talep eder. Daha sonra bu telefon numarasına gönderilen herhangi bir kimlik doğrulama koduna erişebilirler. SIM değiştirme olarak adlandırılan bu, muhtemelen 2FA’yı aşmanın en yaygın yoludur.
Ancak taşıyıcıların kendi güvenlik süreçleri gelişiyor ve hatta bu riskleri kabul ediyor, 2FA siber saldırılara ve kimlik sahtekarlığına karşı mücadelede güçlü ve önemli bir araç olmaya devam ediyor.
2FA Türleri
Yaygın olarak kullanılan birkaç ana 2FA türü vardır ve farklı yöntemlerin farklılıklarını ve ilgili artılarını ve eksilerini bilmeye değer.
2FA Nasıl Çalışır?
İki faktörlü kimlik doğrulama, çevrimiçi hesaplara ve sistemlere başka bir güvenlik katmanı ekleyerek çalışır. 2FA, oturum açmaya çalışan herhangi bir kullanıcının ilk kimlik doğrulama faktörünü (bir şifre veya kişisel kimlik numarası) ikinci bir faktörle eşleştirmesini talep ederek çalışır, bu genellikle bildiğiniz bir şey, sahip olduğunuz bir şey veya olduğunuz bir şeydir. 2FA ile, kullanıcıların hesaplarına veya bir sisteme erişmek için bu faktörlerin her ikisini de sağlamaları gerekecektir.
Doğru uygulandığında, 2FA, bilgisayar korsanlarının yalnızca çalınan şifreleri ve oturum açma bilgilerini kullanarak hesabınıza erişmesini imkansız hale getirmelidir. Bilgisayar korsanları bazı geçici çözümler geliştirdiği için tamamen aşılmaz olmasa da, 2FA kesinlikle bir kullanıcı adı veya e-posta adresi ve şifre gerektirmekten çok daha fazla güvenlik sunar.
İki Faktörlü Kimlik Doğrulama Örnekleri
2FA’daki faktörleri sahip olduğunuz bir şey, olduğunuz bir şey veya bildiğiniz bir şey olarak tanımlamak kafa karıştırıcıysa, iki faktörlü kimlik doğrulamanın gerçek dünyadan bazı örneklerine bakmak yardımcı olabilir.
“Olduğunuz bir şey” tipik olarak bizi, bilgisayarların kimliğinizi kanıtlamak için fiziksel kişiliğinizin bir unsurunu (örneğin parmak iziniz, yüzünüz, sesiniz veya retinanız) kullandığı biyometri alanına götürür. Son birkaç yıl içinde bir telefon satın aldıysanız, yüzünüzü veya parmak izinizi taradıktan sonra hızlı bir şekilde erişme şansınız vardır – birkaç on yıl önce bilim kurgu gibi görünen bir şey. Biyometri hakkında meşru şüpheler var – fiziksel veri veritabanları tıpkı diğer şifre listeleri gibi kırılabilir – ancak biyometrik 2FA’nın kullanıcı dostu doğası, burada kalacağı anlamına geliyor.
Ardından, “sahip olduğunuz bir şeye” bakabiliriz. Bu tür bir güvenlik faktörünün yaratıcılarından biri, periyodik olarak değişen rastgele sayıları gösteren küçük bir ekrana sahip küçük bir cihaz olan RSA SecurID’ydi. 1993 yılında piyasaya sürülen cihaz, kullanıcının oturum açmak için herhangi bir anda hem bir şifreye hem de SecurID belirtecinden bir numaraya sahip olmasını gerektirir. Akıllı kartlar veya bilgisayarlara USB veya Bluetooth aracılığıyla bağlanan fiziksel bir güvenlik anahtarı da dahil olmak üzere bu tür 2FA’yı gerçekleştiren başka araçlar da vardır. Google bunları dahili olarak kullanır.
Ancak çoğu insanın böyle özel bir gadget’ı yoktur, bu nedenle 2FA söz konusu olduğunda “sahip olduğunuz bir şeyin” başka bir örneği daha vardır: telefonunuz. Web sitenize giriş yapmaya çalıştığınızda ve telefonunuza özel bir kod gönderildiğinde, bu 2FA’nın iş başında olmasıdır. Kimliğinizi kanıtlamak için QR kodlarını tarayan uygulamalar da vardır.
Son olarak, “bildiğiniz bir şey”, annenizin kızlık soyadını veya çocukluk evcil hayvanınızın adını sormak gibi ikincil bir parolaya veya bilgiye dayalı bir güvenlik sorusuna atıfta bulunabilir. Bazıları bunun doğru olmadığını iddia edebilir: 2FA oturum açma bilgilerinize sahip olan herhangi bir bilgisayar korsanı, tipik güvenlik sorularının yanıtlarına kolayca sahip olabilir.
Yaygın 2FA Türleri
İki faktörlü kimlik doğrulamanın hem bireyler hem de şirketler için mutlak bir güvenlik zorunluluğu olarak giderek daha yaygın bir şekilde tanınmasıyla, en yaygın 2FA türlerine bakmaya değer:
SMS Metin Mesajı ve Ses tabanlı 2FA
SMS metin mesajı ve ses tabanlı iki faktörlü kimlik doğrulama ile, kullanıcılar kayıt noktasında telefon numaraları sağlar ve hesaplarına giriş yapmaları gerektiğinde, tek kullanımlık bir kod oluşturulur ve kaydoldukları telefon numarasına gönderilir (kısa mesaj veya otomatik telefon görüşmesi yoluyla).
İnternette zaman geçiren herkes bunun çok popüler bir seçenek olduğunu bilir çünkü kullanıcı dostudur ve özel bir donanıma ihtiyaç duymaz. Herhangi bir 2FA biçimi hiç yoktan iyidir olsa da, güvenlik uzmanları bu 2FA biçimine karşı giderek daha fazla uyarıda bulunuyor. Güvenlik seviyesi, diğer 2FA biçimlerindeki kadar yüksek değildir, çünkü bilgisayar korsanlarının hesap güvenliğinizi tehlikeye atmak için kullanabileceği çeşitli geçici çözümler vardır.
Örneğin, saldırganlar, kullanıcıların telefonlarına SMS mesajlarını okuyup iletebilen kötü amaçlı bir uygulama yüklemelerini sağlayabilir. Başka bir istismar, çeşitli teknik yöntemler kullanarak veya sosyal mühendislik yoluyla SMS mesajlarını yeniden yönlendirmek için hücresel hizmeti hacklemeyi içerir.
Diğer dezavantajlar? Bazı insanlar telefon numaralarını bir web sitesine, uygulamaya veya platforma vermekten çekinirler. Ve birçok şirket bu bilgileri hedefli reklamcılık ve dönüşüm izleme gibi şeylerle kötüye kullandığından, endişelerini anlamak kolaydır. Ve 2FA için sağlanan bir telefon numarasına dayalı olarak parola sıfırlamaya izin vermek ciddi bir parola güvenliği sorunu olabilir, çünkü telefon numarası ele geçirme kullanan saldırganlar, parolanız olmasa bile hesabınıza erişebilir.
SMS 2FA, telefonunuz kapalıysa veya bir mobil ağa ulaşamıyorsa da çalışmaz. Bu, yurtdışına seyahat eden insanlar için büyük bir sorun olabilir.
2FA için Anlık Bildirim
Apple ekosisteminin derinliklerinde olan herkes, Apple’ın Güvenilir Cihazlar yöntemi sayesinde bu tür iki faktörlü kimlik doğrulamaya aşina olacaktır. Bu yöntem, bir kullanıcının adına bir oturum açma girişiminde bulunulduğunda, kullanıcının çeşitli cihazlarına bir istem gönderir. İstem, IP adresine göre oturum açmanın tahmini konumunu içerir. Bu Güvenilir Cihazlar yöntemi gibi sistemlerde, kullanıcı oturum açma girişimini onaylayıp onaylamayacağına karar verir.
Ancak Güvenilir Cihazlar ve diğer anlık bildirim sistemlerinin (Duo Push başka bir örnektir) çalışması için cihazınızın bir veri veya İnternet bağlantısına ihtiyacı vardır.
Bu yöntem, QR kodlarıyla uğraşmaktan biraz daha uygundur. Ayrıca, bu uyarılar genellikle oturum açma girişiminin tahmini konumunu gösterdiğinden ve çok az sayıda kimlik avı saldırısı kurbanla aynı IP adresinden kaynaklandığından, bu yöntem devam eden bir kimlik avı saldırısını tespit etmenize yardımcı olabilir.
2FA / Authenticator Uygulaması / TOTP 2FA için yazılım belirteçleri
Bu 2FA biçimi, bir kullanıcının önce telefonuna veya masaüstüne iki faktörlü bir kimlik doğrulama uygulaması indirip yüklemesini gerektirir. Kimlik doğrulayıcı uygulamasıyla uyumlu herhangi bir sitede, kullanıcılar oturum açma girişimlerini tamamlamak için ihtiyaç duydukları yazılım tarafından oluşturulan, zamana dayalı tek seferlik bir geçiş kodu (TOTP veya yazılım belirteci olarak da adlandırılır) bulmak için kimlik doğrulama uygulamasına gitmeden önce bir kullanıcı adı ve parola girebilir.
Google Authenticator, Microsoft Authenticator, Duo Security’den Duo Mobile ve FreeOTP bunun için birkaç popüler uygulamadır. Bu 2FA tarzının altında yatan teknolojiye Zamana Dayalı Tek Kullanımlık Şifre (TOTP) denir.
Bir site bu tarz bir 2FA sunuyorsa, gizli anahtarı içeren bir QR kodu ortaya çıkaracaktır. Bu QR kodunu uygulamanıza tarayabilirsiniz. Kod birden çok kez taranabilir ve güvenli bir yere kaydedebilir veya yazdırabilirsiniz. QR kodu tarandıktan sonra, uygulamanız her 30 saniyede bir altı haneli yeni bir kod üretecek ve oturum açmak için kullanıcı adınız ve şifrenizle birlikte bu kodlardan birine ihtiyacınız olacak.
Bu iki faktörlü kimlik doğrulama stilinin avantajı, bir mobil ağa bağlı olmanıza gerek olmamasıdır. Bir bilgisayar korsanı telefon numaranızı kendi telefonuna yönlendirirse, yine de QR kodlarınıza sahip olmaz. Ancak dezavantajı, farklı cihazlarda sık sık oturum açarsanız, telefonunuzun kilidini açmak, bir uygulama açmak ve her seferinde kodu yazmak sakıncalı olabilir.
2FA için Donanım Jetonları
Belki de en eski 2FA biçimi olan donanım belirteçleri, düzenli aralıklarla yeni bir sayısal kod üretir. Bir kullanıcı bir hesaba erişmek istediğinde, cihazı kontrol etmesi yeterlidir – anahtarlık gibi küçük olma eğilimindedirler – ve görüntülenen 2FA kodunu siteye veya uygulamaya girerler. Bu 2FA teknolojisinin diğer sürümleri, güvenlik anahtarını bir USB bağlantı noktasına taktığınızda iki faktörlü bir kimlik doğrulama kodunu otomatik olarak aktarabilir.
Tipik olarak, donanımsal iki faktörlü kimlik doğrulama işletmeler tarafından daha sık kullanılır, ancak kişisel bilgisayarlarda da uygulanabilir. Büyük teknoloji ve finans şirketleri U2F olarak bilinen bir standart oluşturuyor ve artık Dropbox, Google ve GitHub hesaplarınızı güvence altına almak için fiziksel bir U2F donanım belirteci kullanmak mümkün. Bu, anahtarlığınıza taktığınız küçük bir USB anahtarıdır. Hesabınıza yeni bir bilgisayardan giriş yapmak istediğinizde, USB anahtarını takıyorsunuz ve üzerindeki bir düğmeye basıyorsunuz. Bu kadar kolay – kod gerekmez. Bir gün, bu cihazlar USB bağlantı noktası olmayan mobil cihazlarla iletişim kurmak için NFC ve Bluetooth ile çalışmalıdır.
Bu yöntemin faydaları, güvenli olması ve İnternet bağlantısı gerektirmemesidir. Dezavantajı mı? Kurulumu ve bakımı pahalıdır ve cihazlar kaybolabilir.
Biyometrik 2FA
Son yirmi yılda, biyometrik iki faktörlü kimlik doğrulama, hala bir bilim kurgu rüyası gibi görünen bir şeyden, o kadar yaygın hale geldi ki, muhtemelen sadece siz olarak kaç cihazınıza erişebileceğinizi fark etmediniz.
Biyometrik doğrulamada, kullanıcı belirteç haline gelir. Bir kullanıcının yüzü, parmak izi, retinası veya sesi, kimliğini kanıtlamak ve hesabına erişmek için gereken 2FA belirteci olabilir.
Örnekler her yerde. En yeni iPhone, yüz tarama teknolojisi ile donatılmıştır ve diğer modern telefonların çoğu, kullanıcıların rahat ve hızlı erişim sağlamak için bunu veya parmak izi taramalarını kullanır. Birçok modern dizüstü bilgisayarın benzer şekilde sadece parmak izinizi görmesi gerekir ve fiziksel özelliklerinizi veya sesinizi tarayarak kimliğinizi kanıtlayabilecek başka birçok cihaz vardır.
Bu, en güvenli 2FA yöntemi olarak kabul edilir ve teorik olarak en kullanıcı dostu olanıdır, çünkü tek gereken kendiniz olmaktır. Bununla birlikte, bu teknolojiler hala gelişiyor ve sistemler hala bazen neyin eşleşmesi gerektiğini onaylamakta zorlanıyor.
Diğer dezavantajlar, bir kullanıcının biyometrik verilerinin depolanmasıyla ilgili gizlilik endişeleri olabilmesidir. Ve bu yöntem için tarayıcılar ve kameralar gibi özel cihazlara ihtiyaç vardır.
Diğer 2FA Biçimleri
Diğer bir yaygın yöntem, e-posta yoluyla 2FA’dır. Çalışma şekli, bir oturum açma girişimi olduğunda kullanıcının kayıtlı e-posta adresine otomatik bir mesaj gönderilmesidir. Bir SMS veya telefon görüşmesine benzer şekilde, bu e-posta ya bir kod ya da tıklandığında bunun meşru bir oturum açma girişimi olduğunu doğrulayacak bir bağlantı içerecektir.
Tıpkı telefon veya SMS yoluyla 2FA gibi, bunun da kullanıcılar için uygulanması kolay ve sezgiseldir ve hem bilgisayarlarda hem de telefonlarda çalışır. Ancak SMS ve telefon 2FA seçeneklerinden farklı olarak, kullanıcının kodunu almak veya benzersiz bağlantısını etkinleştirmek için İnternet’e bağlı olması gerekir.
Ne yazık ki, bu 2FA’nın en az güvenli şeklidir ve sonuç olarak popülaritesi azalmaktadır. Parola güvenliği, bunun etkili olamayacak kadar yaygın bir sorundur; Yıllarca süren uyarılara rağmen, birçok kişi birçok hesapta ve cihazda aynı parolaları kullanır ve erişmeye çalıştıkları hesap için oturum açma bilgilerinin ve e-posta adreslerinin aynı olması mümkündür, hatta muhtemeldir.
Başka sorunlar da var. E-postanın önemsiz veya spam klasörüne düşme olasılığı yüksektir ve bilgisayar korsanları birinin çevrimiçi hesabı için doğru parolaya sahipse, e-posta parolalarına da sahip olma ihtimalleri yüksektir.
2FA Nasıl Alınır
Hesap güvenliğiniz hayati önem taşır, bu nedenle çoğu site, uygulama ve cihaz artık bir tür iki faktörlü kimlik doğrulama sunar, ancak 2FA’nın nasıl alınacağı söz konusu platforma, cihaza veya web sitesine bağlı olarak değişir.
Apple, tüm cihazları için iki faktörlü kimlik doğrulamayı açma sürecinde size yol gösterebilir, ancak bu özellik bir iPhone’un ayarlarında veya Mac’teki Sistem Tercihleri’nde Parola ve Güvenlik altında bulunabilir. Google, Facebook, Amazon, Twitter, Reddit ve diğer birçok popüler site, hesabınızda iki faktörlü kimlik doğrulamanın nasıl kurulacağına dair kılavuzlar sunar.
2FA Nasıl Etkinleştirilir
2FA’yı etkinleştirmek için, tüm cihazlarınızın ve çevrimiçi hesaplarınızın sistem tercihlerine veya ayarlarına gidebilir ve mümkünse iki faktörlü kimlik doğrulamayı açabilir veya bir kimlik doğrulama uygulaması indirip yükleyebilirsiniz.
Bir kimlik doğrulama uygulaması (kimlik doğrulama uygulaması olarak da bilinir) edinmek, çevrimiçi güvenliğinizin sorumluluğunu üstlenme konusunda proaktif olmanın bir yoludur. Hesaplarınıza bağlandıktan sonra, kimlik doğrulama uygulaması, İnternet bağlantısı olmasa bile, gerektiğinde kullanmak için sürekli değişen bir kod seti görüntüler. Kimlik doğrulama uygulaması alanında lider Google Authenticator iken, diğer seçenekler arasında Twilio Authy, Duo Security’den Duo Mobile ve LastPass Authenticator bulunur. Çoğu parola yöneticisi, varsayılan olarak iki faktörlü kimlik doğrulama da sunar.
2FA kurmanın bazen bazı eski hizmetlerde erişimi kesebileceğini ve sizi uygulama şifrelerine güvenmeye zorlayabileceğini bilmelisiniz. Facebook, Microsoft ve Yahoo gibi şirketler tarafından kullanılan uygulama şifreleri, belirli bir uygulamayla kullanılmak üzere ana sitede oluşturulur.
Tüm bunların kulağa ne kadar zor geldiği konusunda paniğe kapılırken şunu unutmayın: güvende olmak kolay değildir. Kötü adamlar, kendinizi korumada gevşek olduğunuza güveniyor. İki faktörlü kimlik doğrulamayı uygulamak, her seferinde yeni bir cihazda oturum açmanın biraz daha uzun süreceği anlamına gelir, ancak kimliğiniz, verileriniz veya paranız olsun, ciddi hırsızlıkları önlemek için uzun vadede buna değer.
İki Faktörlü Kimlik Doğrulamanın Geleceği
2FA genel olarak güvenliği kesinlikle artırsa da, iki faktörlü kimlik doğrulamanın geleceği, şu anda hala var olan zayıf noktalardan arınmış daha güvenli sistemler oluşturmaya dayanmalıdır.
2FA Başarısız Olduğunda
2FA’nın ele geçirildiğine dair örnekler için çok uzağa bakmamıza gerek yok. Twitter CEO’su Jack Dorsey’in hesabı Ağustos 2019’da hacklendi ve hesabına gönderilen kaba mesajlar 2FA güvenlik sistemleri için iyi bir reklam değildi. Bir ay sonra, bilgisayar korsanlarının SMS kullanılarak gönderilen iki faktörlü kimlik doğrulama kodlarını ele geçirmek için bir ters proxy araç seti kullanması nedeniyle 2FA kullanmasına rağmen 23 milyon YouTube etkileyicisinin saldırıya uğradığına dair raporlar vardı. Kripto para borsası Binance, 2FA sistemini tehlikeye attı ve on milyonlarca dolar kaybetti.
Bir 2FA sistemini hacklemenin en kolay ve en yaygın yöntemlerinden biri sim takası yapmaktır. Bu senaryoda, bir bilgisayar korsanı kurbanların telefon numaralarını değiştirmek için herhangi bir sayıda yöntem kullanabilir, böylece sonraki mesajlar veya telefon görüşmeleri – örneğin, 2FA kodlu bir mesaj – yeni telefona yönlendirilir. Uzmanların SMS ve telefon görüşmesi tabanlı 2FA sistemlerinden giderek daha fazla uzaklaşmaya teşvik etmelerinin bir nedeni de budur.
Bazı iki faktörlü kimlik doğrulama sistemlerinin de kötü amaçlı yazılımlar tarafından ele geçirildiği bilinmektedir. Google Authenticator kadar yaygın olarak kullanılan bir kimlik doğrulama uygulaması bile mükemmel değildir – Şubat 2020’de bir tür Android tabanlı kötü amaçlı yazılımın 2FA kodlarını çaldığı tespit edildi. TrickBot kötü amaçlı yazılımı, bankacılık uygulamaları tarafından kullanılan, SMS ve push bildirimleri ile gönderilen tek seferlik kodları ele geçiren iki faktörlü kimlik doğrulamanın başka bir geçici çözümüdür.
2FA güvenliğinin şu anda savunmasız olmasının başka bir yolu var mı? Sosyal mühendislik senaryolarında, bir bilgisayar korsanı, kendisine gönderilen güvenli kodu alıntılayarak kurbanın kimliğini doğrulamasını istemeden önce, örneğin bankası gibi davranan bir hedefle iletişime geçebilir.
Biyometrik Yöntemler Sadece İyileşecek
Bu nedenlerden ve daha fazlasından dolayı, birçok güvenlik uzmanı 2FA’nın geleceğinin biyometrik güvenliğin genişletilmesinde yattığına inanıyor.
Çok kısa bir süre içinde, biyometrik güvenlik fütüristik fanteziden hayatımızın her yerde bulunan bir parçası haline geldi. Biyometrik 2FA örnekleri kelimenin tam anlamıyla her yerdedir. Biyometrik iki faktörlü kimlik doğrulamayı bankanız kimliğinizi sesinizle her doğruladığında, telefonunuz yüzünüzü taradığı anda oturumunuzu açar açmaz oturum açar ve parmak ucunuzla dizüstü bilgisayarınızda oturum açabilirsiniz.
Gelecekte, biyometrik 2FA’nın daha da iyi, daha hassas ve sorunsuz hale gelmesi gerekecek. Biyometrik iki faktörlü kimlik doğrulama sistemlerinin yanılmaz olmadığı kanıtlanmıştır. Sadece bir örnek olarak, yüz tanıma teknolojisinin Facebook fotoğraflarının 3D görüntüleri tarafından kandırıldığı durumlar olmuştur.
Ancak biyometrik 2FA her yerde bulunduğundan, onu kullanan herkesin bir noktada yanlış negatiflerle ve hatta muhtemelen yanlış pozitiflerle uğraştığı da doğrudur. Yanlış pozitifler, eşleşmenin olmadığı bir yerde yapıldığında ortaya çıkar ve çoğunlukla yüz tanıma ile gerçekleşir. Yanlış negatifler, doğru olmasına rağmen bir eşleşme yapılmadığında ortaya çıkar. Bu, özellikle parmaktaki en ufak bir nemin hasara yol açabileceği parmak izi tarayıcıları için can sıkıcıdır. Ve birçok insan, çeşitli nedenlerle, parmak izlerini kolayca okuyamıyor.
Yavaş yavaş, akıllı cihazlar giderek daha karmaşık hale gelecek ve biyometrik kimlik doğrulama daha sorunsuz ve daha hızlı hale gelecektir. Kameralar giderek daha yüksek çözünürlüğe kavuşacak ve kızılötesi teknolojisi de ufukta bir yerde. Sonunda, kimlik doğrulamanın en güvenli biçimlerinden biri olarak kabul edilen iris taramasına daha fazla odaklanmayı bekleyin.
Çok faktörlü kimlik doğrulama ve veritabanları
İki faktörlü kimlik doğrulama size bir rahatsızlık gibi görünüyorsa, gelecekte çok faktörlü kimlik doğrulamaya artan bir odaklanma içermesi hoş bir haber olmayabilir. Üç (veya daha fazla) kimlik doğrulama düzeyini bir tür biyometri ile birleştirmek, basit 2FA’nın sağlayamayacağı sağlam bir güvenlik düzeyi sağlayacaktır. Sistemlerin hassas bilgiler içerdiği kuruluşlar, muhtemelen zaten çok faktörlü kimlik doğrulama kullanıyor ve yakında daha fazlası bunu benimseyecek.
Bu kuruluşların bu bilgileri nasıl depoladığı, zaman içinde gelişmesi muhtemel başka bir alandır. Birçok güvenlik uzmanı, herhangi bir cihaz tabanlı kimlik doğrulama yönteminin nihayetinde yetersiz olduğuna inanmaktadır. Bunun yerine, kuruluşların kimlikleri merkezi bir veritabanında güvenli bir şekilde depolamayı ve doğrulamayı göz önünde bulundurmalarını önerir. Bu, birçok şirket için henüz mümkün olmayabilir, ancak biyometrik kimlik doğrulamanın yükselişi, bu teknolojilerin ne kadar hızlı gelişebileceğini ve günlük hayatımızın büyük bir parçası haline gelebileceğini gösterdi.