Bilgi G?venli?i

?ki Fakt?rl? Kimlik Do?rulama (2FA)

Admin 

Genel bak??

Milyonlarca insan? tehlikeye atan bir?ok y?ksek profilli ve yayg?n b?y?k veri ihlalinden sonra, bir?ok ki?i parola g?venli?i ve basit bir parolan?n ?evrimi?i profillerini g?vende tutamayaca?? ger?e?i hakk?nda daha fazla bilgi edindi. Bu, ?evrimi?i hesaplar? g?vende tutabilen ek bir g?venlik katman? olan iki fakt?rl? kimlik do?rulaman?n pop?laritesinin artmas?na neden oldu.

Kimlik Do?rulama Fakt?rleri

Kimlik do?rulama fakt?r?, bir kullan?c?n?n hesab?na eri?mesine, ileti?im g?ndermesine veya g?venli bir a?, sistem veya uygulamadan veri istemesine izin vermeden ?nce kimli?ini ve yetkilendirmesini do?rulamak i?in kullan?lan bir g?venlik kimlik bilgisi kategorisidir.

Kimlik do?rulaman?n ?? yayg?n fakt?r? vard?r: oldu?unuz bir ?ey, bildi?iniz bir ?ey ve sahip oldu?unuz bir ?ey. Onlar? daha da par?alayal?m:

  • Oldu?un bir ?ey. Bu t?r 2FA, parmak izi, retina veya y?z taramalar?, el yaz?s? analizi veya ses tan?ma gibi biyometrik y?ntemleri i?erir. Modern ak?ll? telefonlar?n ?o?u y?z tan?ma kullan?r, diz?st? bilgisayarlar genellikle parmak izi okuyucular? kullan?r ve hatta bir e?lence park?na sezonluk ge?i? sat?n al?rsan?z bir el izi girmeniz istenebilir. Bu t?r 2FA, herhangi bir iki fakt?rl? kimlik do?rulama y?nteminin en g??l? kimlik do?rulamas?n? sa?lasa da, m?kemmel de?ildir. Y?zleri veya parmak izlerini tarama kapasitesine sahip bir cihaza sahip olan herkes, iPhone’lar?n?n y?zlerini veya parmak izlerini kabul etmesini sa?lamaya ?al??man?n ve ba?ar?s?z olman?n hayal k?r?kl???n? ya?ad?.
  • Bildi?in bir ?ey. Bu, iki fakt?rl? kimlik do?rulamada kullan?lan en yayg?n fakt?r olabilir. Genel olarak, bu bir ?ifre veya ki?isel kimlik numaras? (PIN) olacakt?r. Ne yaz?k ki, bu kimlik do?rulama fakt?rleri ayn? zamanda g?venlik sald?r?lar?na kar?? en savunmas?z olanlard?r. Bir?ok ki?i hesaptan sonra hesapta ayn? ?ifreleri kullan?r ve bir hesapta bile bir ihlal varsa, bu her hesab?n g?venli?inin ihlal edildi?i anlam?na gelir.
  • Sahip oldu?un bir ?ey. Bu t?r bir fakt?r tipik olarak, hak sahibi bir kullan?c?n?n (genellikle bir ak?ll? telefon) sahip oldu?u bilinen bir cihaz arac?l???yla kontrol edilir. ?lk olarak, bir kullan?c? bir e-posta adresi ve ?ifre ile bir hesaba kaydolur ve ard?ndan telefon numaras?n? kaydeder. Kullan?c? daha sonra bu e-posta adresi ve ?ifreyle hesab?na giri? yapar ve bu noktada kullan?c?n?n cep telefonu numaras?na tek seferlik bir ?ifre g?nderilir. Kullan?c? bunu cihaz?na girdi?inde, hesab?na ve sisteme eri?im kazan?r.

?ki Fakt?rl? Kimlik Do?rulama Nedir?

?ki fakt?rl? kimlik do?rulama (2FA), kullan?c?lar?n kimliklerini do?rulamak ve hesaplar?na eri?mek i?in iki farkl? kimlik do?rulama fakt?r? sa?lamalar? gereken bir g?venlik s?recidir. Bu i?lem, hem kullan?c?n?n ki?isel bilgilerinin, kimlik bilgilerinin hem de di?er varl?klar?n?n daha iyi korunmas?n? sa?larken, kullan?c?n?n eri?ebilece?i kaynaklar?n g?venli?ini de art?r?r.

Kesinlikle, iki fakt?rl? kimlik do?rulama, kullan?c?n?n yaln?zca bir fakt?r (genellikle bir parola veya PIN) sa?lad??? yaln?zca bir kimlik do?rulama fakt?r?ne (tek fakt?rl? kimlik do?rulama) dayanan kimlik do?rulama y?ntemlerinden daha y?ksek d?zeyde g?venlik sa?lar. Bir 2FA y?ntemi, bir kullan?c?n?n yaln?zca bir ?ifre veya PIN de?il, ayn? zamanda biyometrik bir fakt?rden (y?z, retina veya parmak izi taramas?) bir sahiplik fakt?r?ne (bir kullan?c?n?n sahip oldu?u bilinen bir ak?ll? telefona g?nderilen tek seferlik bir kullan?m kodu) kadar de?i?en ikinci bir fakt?r sa?lamas?n? gerektirir.

Bu ekstra g?venlik katman?, bir sald?rgan?n bir kullan?c?n?n parolas?n? bilse bile ?evrimi?i hesab?na veya mobil cihaz?na eri?mesine izin verilmeyece?i anlam?na gelir. Asl?nda, hassas verilere ve sistemlere kimlerin eri?ebilece?ini kontrol etmek i?in iki fakt?rl? kimlik do?rulama uzun s?redir kullan?lmaktad?r ve g?venlik uzmanlar?, t?m ?evrimi?i hesaplar?n?zda, bilgisayarlar?n?zda ve mobil cihazlar?n?zda iki fakt?rl? kimlik do?rulamay? etkinle?tirmeye ?a??rmaktad?r.

?ki fakt?rl? kimlik do?rulama, siber g?venli?in ve Siber G?venlik Analistleri taraf?ndan yap?lan i?in ?nemli bir bile?enidir.

2FA Ne Anlama Geliyor?

?ki fakt?rl? kimlik do?rulama (2FA), m?stakbel kullan?c?lar?n kimliklerinin bir t?r ekstra do?rulamas?n? sa?lamalar?n? gerektirerek hesaplar? ve sistemleri yetkisiz eri?ime kar?? korumaya yard?mc? olmak i?in kullan?lan bir g?venlik y?ntemini ifade eder.

?ki fakt?rl? kimlik do?rulama, bir telefonun, ?evrimi?i bir hesab?n ve hatta bir kap?n?n g?venli?ini g??lendirmek i?in kullan?labilir. Kullan?c?dan iki t?r bilgi talep ederek ?al???r – ilk fakt?r genellikle bir ?ifre veya ki?isel kimlik numaras?d?r (PIN), ikinci fakt?r ise telefonunuza g?nderilen bir parmak izi veya tek seferlik bir kod olabilir.

?ki fakt?rl? kimlik do?rulama g?venli?i art?rsa da tamamen kusursuz de?ildir.

?ki Ad?ml? Do?rulama ve ?ki Fakt?rl? Kimlik Do?rulama

Genellikle iki fakt?rl? kimlik do?rulama ve iki ad?ml? do?rulamay? birbirinin yerine kullansak ve ?nemli ?l??de ?rt???yor gibi g?r?nse de, bunlar tamamen ayn? de?ildir.

Apple, iki ad?ml? do?rulamay?, kullan?c?n?n iPhone’una veya di?er g?venilir ayg?tlar?na g?nderilen hem parolay? hem de tek seferlik bir kodu girmesi gereken daha eski ve daha d???k bir g?venlik y?ntemi olarak i?aret ederek iki ad?ml? do?rulama ile 2FA aras?nda ayr?m yapar.

Bu bir t?r olsa da, iki fakt?rl? kimlik do?rulama, y?z tarama teknolojisi ile donat?lm?? modern bir iPhone’da ve parmak izi taramas?ndan sonra eri?ilebilen Macbook’larda kullan?lan kimlik do?rulama y?ntemlerini de i?erir.

?ki Fakt?rl? Kimlik Do?rulama Kodu Nedir?

?ki fakt?rl? kimlik do?rulama kodu, bir kullan?c?n?n ?evrimi?i bir hesaba veya sisteme eri?meye ?al??t???nda kimli?ini kan?tlamak i?in olu?turulan tek seferlik bir koddur. Kod, k?sa mesaj yoluyla veya kullan?c?yla ili?kili bir telefon numaras?na otomatik bir telefon g?r??mesi yoluyla g?nderilir. ?ki fakt?rl? kimlik do?rulama kodunu girdikten sonra, kullan?c? ?evrimi?i hesab?na eri?im kazan?r.

Bu kodlar, kullan?lmad??? takdirde genellikle k?sa bir s?re sonra sona erer.

?ki Fakt?rl? Kimlik Do?rulaman?n Faydalar?

?ki fakt?rl? kimlik do?rulaman?n faydalar?, sald?r?lara kar?? ?ok ihtiya? duyulan ekstra bir g?venlik katman? eklemesi ve sistemler, ?irketler ve s?radan insanlar i?in g?venli?i art?rabilmesidir.

2FA, kullan?c?lar i?in ekstra bir koruma katman? sa?lar ??nk? bir kullan?c? ad? ve ?ifre art?k yeterli de?ildir. Birincisi, kimlik h?rs?zl??? u?ursuz bir oranda art?yor. Javelin Strategy & Research taraf?ndan yap?lan 2018 Kimlik Sahtekarl??? Ara?t?rmas?, kimlik sahtekarl??? kurbanlar?n?n say?s?n?n yaln?zca 2017’de y?zde sekiz artarak 16,7 milyon ABD’li t?keticiye ula?t??? sonucuna vard?. Doland?r?c?l???n toplam de?eri 16,8 milyon dolara ula?t?. Parolaya ba??ml? olmayan iki fakt?rl? kimlik do?rulaman?n tan?t?lmas?, g?venli?i b?y?k ?l??de art?r?r ve kimlik h?rs?zl??? riskini azalt?r.

Ayr?ca, son birka? y?lda g?rd???m?z bir?ok veri ihlali, milyonlarca insan?n fark?nda olmadan ki?isel bilgilerinin (kullan?c? ad? ve ?ifreleri dahil) herkesin g?rebilece?i bir durum yaratt?. Ayr?ca, bir?ok ki?i ayn? parolay? birden fazla sitede kullan?r, bu nedenle bir bilgisayar korsan?, i?e yarayan bir site bulana kadar ?e?itli farkl? sitelerde ayn? oturum a?ma bilgilerini kullanmay? deneyebilir. Verizon’un 2017 Veri ?hlali Ara?t?rmalar? Raporu, hesap ihlallerinin y?zde 81’inin bu ?ekilde s?zd?r?lan ?ifrelere veya ?ok zay?f ve tahmin edilmesi m?mk?n olan ?ifrelere indirgenebilece?ini ortaya koydu.

Yine de, yeterli say?da insan 2FA’y? benimsemedi. ?rne?in Google, k?sa s?re ?nce Gmail kullan?c?lar?n?n y?zde 10’undan daha az?n?n hesaplar?n? korumak i?in mevcut 2FA g?venlik ?nlemlerini kulland???n? a??klad?.

?irketler i?in 2FA’y? benimsemenin faydalar? a??kt?r – bug?nlerde hi? kimse siber g?venli?i g?z ard? edemez. ?ki fakt?rl? kimlik do?rulama, BT maliyetlerinin azalt?lmas?na da yard?mc? olabilir. Parola s?f?rlama, insanlar?n yard?m masalar?n? aramas?n?n en yayg?n nedenlerinden biridir – end?stri derne?i HDI taraf?ndan yap?lan bir ara?t?rma, yard?m masas? biletlerinin ??te birinden fazlas?n?n parola s?f?rlamay? i?erdi?i sonucuna varm??t?r.

Siber g?venli?in faydalar? ve kurulu?lar i?in neden ?nemli oldu?u hakk?nda daha fazla bilgi edinmek i?in l?tfen Siber G?venlik Analisti kariyer k?lavuzumuza bak?n.

?ki Fakt?rl? Kimlik Do?rulama Hacklenebilir mi?

?ki fakt?rl? kimlik do?rulaman?n sald?r?ya u?ramas? m?mk?n olsa da, olas?l?klar ?ok d???kt?r ve hesaplar? ve sistemleri g?vende tutmak s?z konusu oldu?unda 2FA kesinlikle en iyi uygulamad?r. ?ki fakt?rl? kimlik do?rulaman?n sald?r?ya u?ramas?n?n bir yolu, SMS y?ntemi veya ba?ka bir deyi?le, bir kullan?c?n?n telefon numaras?na SMS veya otomatik telefon g?r??mesi yoluyla tek seferlik bir kullan?m kodunun g?nderildi?i y?ntemdir.

Bilgisayar korsanlar?n?n cep telefonu operat?rlerini ba?ka birinin telefon numaras?n? kendi telefonlar?na aktarmalar? i?in kand?rd???na dair hikayeler var. Bilgisayar korsanlar?, kurbanlar? gibi davranarak operat?rlerle ileti?ime ge?erek kurban?n numaras?yla yeni bir SIM talep eder. Daha sonra bu telefon numaras?na g?nderilen herhangi bir kimlik do?rulama koduna eri?ebilirler. SIM de?i?tirme olarak adland?r?lan bu, muhtemelen 2FA’y? a?man?n en yayg?n yoludur.

Ancak ta??y?c?lar?n kendi g?venlik s?re?leri geli?iyor ve hatta bu riskleri kabul ediyor, 2FA siber sald?r?lara ve kimlik sahtekarl???na kar?? m?cadelede g??l? ve ?nemli bir ara? olmaya devam ediyor.

2FA T?rleri

Yayg?n olarak kullan?lan birka? ana 2FA t?r? vard?r ve farkl? y?ntemlerin farkl?l?klar?n? ve ilgili art?lar?n? ve eksilerini bilmeye de?er.

2FA Nas?l ?al???r?

?ki fakt?rl? kimlik do?rulama, ?evrimi?i hesaplara ve sistemlere ba?ka bir g?venlik katman? ekleyerek ?al???r. 2FA, oturum a?maya ?al??an herhangi bir kullan?c?n?n ilk kimlik do?rulama fakt?r?n? (bir ?ifre veya ki?isel kimlik numaras?) ikinci bir fakt?rle e?le?tirmesini talep ederek ?al???r, bu genellikle bildi?iniz bir ?ey, sahip oldu?unuz bir ?ey veya oldu?unuz bir ?eydir. 2FA ile, kullan?c?lar?n hesaplar?na veya bir sisteme eri?mek i?in bu fakt?rlerin her ikisini de sa?lamalar? gerekecektir.

Do?ru uyguland???nda, 2FA, bilgisayar korsanlar?n?n yaln?zca ?al?nan ?ifreleri ve oturum a?ma bilgilerini kullanarak hesab?n?za eri?mesini imkans?z hale getirmelidir. Bilgisayar korsanlar? baz? ge?ici ??z?mler geli?tirdi?i i?in tamamen a??lmaz olmasa da, 2FA kesinlikle bir kullan?c? ad? veya e-posta adresi ve ?ifre gerektirmekten ?ok daha fazla g?venlik sunar.

?ki Fakt?rl? Kimlik Do?rulama ?rnekleri

2FA’daki fakt?rleri sahip oldu?unuz bir ?ey, oldu?unuz bir ?ey veya bildi?iniz bir ?ey olarak tan?mlamak kafa kar??t?r?c?ysa, iki fakt?rl? kimlik do?rulaman?n ger?ek d?nyadan baz? ?rneklerine bakmak yard?mc? olabilir.

“Oldu?unuz bir ?ey” tipik olarak bizi, bilgisayarlar?n kimli?inizi kan?tlamak i?in fiziksel ki?ili?inizin bir unsurunu (?rne?in parmak iziniz, y?z?n?z, sesiniz veya retinan?z) kulland??? biyometri alan?na g?t?r?r. Son birka? y?l i?inde bir telefon sat?n ald?ysan?z, y?z?n?z? veya parmak izinizi tarad?ktan sonra h?zl? bir ?ekilde eri?me ?ans?n?z vard?r – birka? on y?l ?nce bilim kurgu gibi g?r?nen bir ?ey. Biyometri hakk?nda me?ru ??pheler var – fiziksel veri veritabanlar? t?pk? di?er ?ifre listeleri gibi k?r?labilir – ancak biyometrik 2FA’n?n kullan?c? dostu do?as?, burada kalaca?? anlam?na geliyor.

Ard?ndan, “sahip oldu?unuz bir ?eye” bakabiliriz. Bu t?r bir g?venlik fakt?r?n?n yarat?c?lar?ndan biri, periyodik olarak de?i?en rastgele say?lar? g?steren k???k bir ekrana sahip k???k bir cihaz olan RSA SecurID’ydi. 1993 y?l?nda piyasaya s?r?len cihaz, kullan?c?n?n oturum a?mak i?in herhangi bir anda hem bir ?ifreye hem de SecurID belirtecinden bir numaraya sahip olmas?n? gerektirir. Ak?ll? kartlar veya bilgisayarlara USB veya Bluetooth arac?l???yla ba?lanan fiziksel bir g?venlik anahtar? da dahil olmak ?zere bu t?r 2FA’y? ger?ekle?tiren ba?ka ara?lar da vard?r. Google bunlar? dahili olarak kullan?r.

Ancak ?o?u insan?n b?yle ?zel bir gadget’? yoktur, bu nedenle 2FA s?z konusu oldu?unda “sahip oldu?unuz bir ?eyin” ba?ka bir ?rne?i daha vard?r: telefonunuz. Web sitenize giri? yapmaya ?al??t???n?zda ve telefonunuza ?zel bir kod g?nderildi?inde, bu 2FA’n?n i? ba??nda olmas?d?r. Kimli?inizi kan?tlamak i?in QR kodlar?n? tarayan uygulamalar da vard?r.

Son olarak, “bildi?iniz bir ?ey”, annenizin k?zl?k soyad?n? veya ?ocukluk evcil hayvan?n?z?n ad?n? sormak gibi ikincil bir parolaya veya bilgiye dayal? bir g?venlik sorusuna at?fta bulunabilir. Baz?lar? bunun do?ru olmad???n? iddia edebilir: 2FA oturum a?ma bilgilerinize sahip olan herhangi bir bilgisayar korsan?, tipik g?venlik sorular?n?n yan?tlar?na kolayca sahip olabilir.

Yayg?n 2FA T?rleri

?ki fakt?rl? kimlik do?rulaman?n hem bireyler hem de ?irketler i?in mutlak bir g?venlik zorunlulu?u olarak giderek daha yayg?n bir ?ekilde tan?nmas?yla, en yayg?n 2FA t?rlerine bakmaya de?er:

SMS Metin Mesaj? ve Ses tabanl? 2FA

SMS metin mesaj? ve ses tabanl? iki fakt?rl? kimlik do?rulama ile, kullan?c?lar kay?t noktas?nda telefon numaralar? sa?lar ve hesaplar?na giri? yapmalar? gerekti?inde, tek kullan?ml?k bir kod olu?turulur ve kaydolduklar? telefon numaras?na g?nderilir (k?sa mesaj veya otomatik telefon g?r??mesi yoluyla).

?nternette zaman ge?iren herkes bunun ?ok pop?ler bir se?enek oldu?unu bilir ??nk? kullan?c? dostudur ve ?zel bir donan?ma ihtiya? duymaz. Herhangi bir 2FA bi?imi hi? yoktan iyidir olsa da, g?venlik uzmanlar? bu 2FA bi?imine kar?? giderek daha fazla uyar?da bulunuyor. G?venlik seviyesi, di?er 2FA bi?imlerindeki kadar y?ksek de?ildir, ??nk? bilgisayar korsanlar?n?n hesap g?venli?inizi tehlikeye atmak i?in kullanabilece?i ?e?itli ge?ici ??z?mler vard?r.

?rne?in, sald?rganlar, kullan?c?lar?n telefonlar?na SMS mesajlar?n? okuyup iletebilen k?t? ama?l? bir uygulama y?klemelerini sa?layabilir. Ba?ka bir istismar, ?e?itli teknik y?ntemler kullanarak veya sosyal m?hendislik yoluyla SMS mesajlar?n? yeniden y?nlendirmek i?in h?cresel hizmeti hacklemeyi i?erir.

Di?er dezavantajlar? Baz? insanlar telefon numaralar?n? bir web sitesine, uygulamaya veya platforma vermekten ?ekinirler. Ve bir?ok ?irket bu bilgileri hedefli reklamc?l?k ve d?n???m izleme gibi ?eylerle k?t?ye kulland???ndan, endi?elerini anlamak kolayd?r. Ve 2FA i?in sa?lanan bir telefon numaras?na dayal? olarak parola s?f?rlamaya izin vermek ciddi bir parola g?venli?i sorunu olabilir, ??nk? telefon numaras? ele ge?irme kullanan sald?rganlar, parolan?z olmasa bile hesab?n?za eri?ebilir.

SMS 2FA, telefonunuz kapal?ysa veya bir mobil a?a ula?am?yorsa da ?al??maz. Bu, yurtd???na seyahat eden insanlar i?in b?y?k bir sorun olabilir.

2FA i?in Anl?k Bildirim

Apple ekosisteminin derinliklerinde olan herkes, Apple’?n G?venilir Cihazlar y?ntemi sayesinde bu t?r iki fakt?rl? kimlik do?rulamaya a?ina olacakt?r. Bu y?ntem, bir kullan?c?n?n ad?na bir oturum a?ma giri?iminde bulunuldu?unda, kullan?c?n?n ?e?itli cihazlar?na bir istem g?nderir. ?stem, IP adresine g?re oturum a?man?n tahmini konumunu i?erir. Bu G?venilir Cihazlar y?ntemi gibi sistemlerde, kullan?c? oturum a?ma giri?imini onaylay?p onaylamayaca??na karar verir.

Ancak G?venilir Cihazlar ve di?er anl?k bildirim sistemlerinin (Duo Push ba?ka bir ?rnektir) ?al??mas? i?in cihaz?n?z?n bir veri veya ?nternet ba?lant?s?na ihtiyac? vard?r.

Bu y?ntem, QR kodlar?yla u?ra?maktan biraz daha uygundur. Ayr?ca, bu uyar?lar genellikle oturum a?ma giri?iminin tahmini konumunu g?sterdi?inden ve ?ok az say?da kimlik av? sald?r?s? kurbanla ayn? IP adresinden kaynakland???ndan, bu y?ntem devam eden bir kimlik av? sald?r?s?n? tespit etmenize yard?mc? olabilir.

2FA / Authenticator Uygulamas? / TOTP 2FA i?in yaz?l?m belirte?leri

Bu 2FA bi?imi, bir kullan?c?n?n ?nce telefonuna veya masa?st?ne iki fakt?rl? bir kimlik do?rulama uygulamas? indirip y?klemesini gerektirir. Kimlik do?rulay?c? uygulamas?yla uyumlu herhangi bir sitede, kullan?c?lar oturum a?ma giri?imlerini tamamlamak i?in ihtiya? duyduklar? yaz?l?m taraf?ndan olu?turulan, zamana dayal? tek seferlik bir ge?i? kodu (TOTP veya yaz?l?m belirteci olarak da adland?r?l?r) bulmak i?in kimlik do?rulama uygulamas?na gitmeden ?nce bir kullan?c? ad? ve parola girebilir.

Google Authenticator, Microsoft Authenticator, Duo Security’den Duo Mobile ve FreeOTP bunun i?in birka? pop?ler uygulamad?r. Bu 2FA tarz?n?n alt?nda yatan teknolojiye Zamana Dayal? Tek Kullan?ml?k ?ifre (TOTP) denir.

Bir site bu tarz bir 2FA sunuyorsa, gizli anahtar? i?eren bir QR kodu ortaya ??karacakt?r. Bu QR kodunu uygulaman?za tarayabilirsiniz. Kod birden ?ok kez taranabilir ve g?venli bir yere kaydedebilir veya yazd?rabilirsiniz. QR kodu tarand?ktan sonra, uygulaman?z her 30 saniyede bir alt? haneli yeni bir kod ?retecek ve oturum a?mak i?in kullan?c? ad?n?z ve ?ifrenizle birlikte bu kodlardan birine ihtiyac?n?z olacak.

Bu iki fakt?rl? kimlik do?rulama stilinin avantaj?, bir mobil a?a ba?l? olman?za gerek olmamas?d?r. Bir bilgisayar korsan? telefon numaran?z? kendi telefonuna y?nlendirirse, yine de QR kodlar?n?za sahip olmaz. Ancak dezavantaj?, farkl? cihazlarda s?k s?k oturum a?arsan?z, telefonunuzun kilidini a?mak, bir uygulama a?mak ve her seferinde kodu yazmak sak?ncal? olabilir.

2FA i?in Donan?m Jetonlar?

Belki de en eski 2FA bi?imi olan donan?m belirte?leri, d?zenli aral?klarla yeni bir say?sal kod ?retir. Bir kullan?c? bir hesaba eri?mek istedi?inde, cihaz? kontrol etmesi yeterlidir ? anahtarl?k gibi k???k olma e?ilimindedirler ? ve g?r?nt?lenen 2FA kodunu siteye veya uygulamaya girerler. Bu 2FA teknolojisinin di?er s?r?mleri, g?venlik anahtar?n? bir USB ba?lant? noktas?na takt???n?zda iki fakt?rl? bir kimlik do?rulama kodunu otomatik olarak aktarabilir.

Tipik olarak, donan?msal iki fakt?rl? kimlik do?rulama i?letmeler taraf?ndan daha s?k kullan?l?r, ancak ki?isel bilgisayarlarda da uygulanabilir. B?y?k teknoloji ve finans ?irketleri U2F olarak bilinen bir standart olu?turuyor ve art?k Dropbox, Google ve GitHub hesaplar?n?z? g?vence alt?na almak i?in fiziksel bir U2F donan?m belirteci kullanmak m?mk?n. Bu, anahtarl???n?za takt???n?z k???k bir USB anahtar?d?r. Hesab?n?za yeni bir bilgisayardan giri? yapmak istedi?inizde, USB anahtar?n? tak?yorsunuz ve ?zerindeki bir d??meye bas?yorsunuz. Bu kadar kolay – kod gerekmez. Bir g?n, bu cihazlar USB ba?lant? noktas? olmayan mobil cihazlarla ileti?im kurmak i?in NFC ve Bluetooth ile ?al??mal?d?r.

Bu y?ntemin faydalar?, g?venli olmas? ve ?nternet ba?lant?s? gerektirmemesidir. Dezavantaj? m?? Kurulumu ve bak?m? pahal?d?r ve cihazlar kaybolabilir.

Biyometrik 2FA

Son yirmi y?lda, biyometrik iki fakt?rl? kimlik do?rulama, hala bir bilim kurgu r?yas? gibi g?r?nen bir ?eyden, o kadar yayg?n hale geldi ki, muhtemelen sadece siz olarak ka? cihaz?n?za eri?ebilece?inizi fark etmediniz.

Biyometrik do?rulamada, kullan?c? belirte? haline gelir. Bir kullan?c?n?n y?z?, parmak izi, retinas? veya sesi, kimli?ini kan?tlamak ve hesab?na eri?mek i?in gereken 2FA belirteci olabilir.

?rnekler her yerde. En yeni iPhone, y?z tarama teknolojisi ile donat?lm??t?r ve di?er modern telefonlar?n ?o?u, kullan?c?lar?n rahat ve h?zl? eri?im sa?lamak i?in bunu veya parmak izi taramalar?n? kullan?r. Bir?ok modern diz?st? bilgisayar?n benzer ?ekilde sadece parmak izinizi g?rmesi gerekir ve fiziksel ?zelliklerinizi veya sesinizi tarayarak kimli?inizi kan?tlayabilecek ba?ka bir?ok cihaz vard?r.

Bu, en g?venli 2FA y?ntemi olarak kabul edilir ve teorik olarak en kullan?c? dostu olan?d?r, ??nk? tek gereken kendiniz olmakt?r. Bununla birlikte, bu teknolojiler hala geli?iyor ve sistemler hala bazen neyin e?le?mesi gerekti?ini onaylamakta zorlan?yor.

Di?er dezavantajlar, bir kullan?c?n?n biyometrik verilerinin depolanmas?yla ilgili gizlilik endi?eleri olabilmesidir. Ve bu y?ntem i?in taray?c?lar ve kameralar gibi ?zel cihazlara ihtiya? vard?r.

Di?er 2FA Bi?imleri

Di?er bir yayg?n y?ntem, e-posta yoluyla 2FA’d?r. ?al??ma ?ekli, bir oturum a?ma giri?imi oldu?unda kullan?c?n?n kay?tl? e-posta adresine otomatik bir mesaj g?nderilmesidir. Bir SMS veya telefon g?r??mesine benzer ?ekilde, bu e-posta ya bir kod ya da t?kland???nda bunun me?ru bir oturum a?ma giri?imi oldu?unu do?rulayacak bir ba?lant? i?erecektir.

T?pk? telefon veya SMS yoluyla 2FA gibi, bunun da kullan?c?lar i?in uygulanmas? kolay ve sezgiseldir ve hem bilgisayarlarda hem de telefonlarda ?al???r. Ancak SMS ve telefon 2FA se?eneklerinden farkl? olarak, kullan?c?n?n kodunu almak veya benzersiz ba?lant?s?n? etkinle?tirmek i?in ?nternet’e ba?l? olmas? gerekir.

Ne yaz?k ki, bu 2FA’n?n en az g?venli ?eklidir ve sonu? olarak pop?laritesi azalmaktad?r. Parola g?venli?i, bunun etkili olamayacak kadar yayg?n bir sorundur; Y?llarca s?ren uyar?lara ra?men, bir?ok ki?i bir?ok hesapta ve cihazda ayn? parolalar? kullan?r ve eri?meye ?al??t?klar? hesap i?in oturum a?ma bilgilerinin ve e-posta adreslerinin ayn? olmas? m?mk?nd?r, hatta muhtemeldir.

Ba?ka sorunlar da var. E-postan?n ?nemsiz veya spam klas?r?ne d??me olas?l??? y?ksektir ve bilgisayar korsanlar? birinin ?evrimi?i hesab? i?in do?ru parolaya sahipse, e-posta parolalar?na da sahip olma ihtimalleri y?ksektir.

2FA Nas?l Al?n?r

Hesap g?venli?iniz hayati ?nem ta??r, bu nedenle ?o?u site, uygulama ve cihaz art?k bir t?r iki fakt?rl? kimlik do?rulama sunar, ancak 2FA’n?n nas?l al?naca?? s?z konusu platforma, cihaza veya web sitesine ba?l? olarak de?i?ir.

Apple, t?m cihazlar? i?in iki fakt?rl? kimlik do?rulamay? a?ma s?recinde size yol g?sterebilir, ancak bu ?zellik bir iPhone’un ayarlar?nda veya Mac’teki Sistem Tercihleri’nde Parola ve G?venlik alt?nda bulunabilir. Google, Facebook, Amazon, Twitter, Reddit ve di?er bir?ok pop?ler site, hesab?n?zda iki fakt?rl? kimlik do?rulaman?n nas?l kurulaca??na dair k?lavuzlar sunar.

2FA Nas?l Etkinle?tirilir

2FA’y? etkinle?tirmek i?in, t?m cihazlar?n?z?n ve ?evrimi?i hesaplar?n?z?n sistem tercihlerine veya ayarlar?na gidebilir ve m?mk?nse iki fakt?rl? kimlik do?rulamay? a?abilir veya bir kimlik do?rulama uygulamas? indirip y?kleyebilirsiniz.

Bir kimlik do?rulama uygulamas? (kimlik do?rulama uygulamas? olarak da bilinir) edinmek, ?evrimi?i g?venli?inizin sorumlulu?unu ?stlenme konusunda proaktif olman?n bir yoludur. Hesaplar?n?za ba?land?ktan sonra, kimlik do?rulama uygulamas?, ?nternet ba?lant?s? olmasa bile, gerekti?inde kullanmak i?in s?rekli de?i?en bir kod seti g?r?nt?ler. Kimlik do?rulama uygulamas? alan?nda lider Google Authenticator iken, di?er se?enekler aras?nda Twilio Authy, Duo Security’den Duo Mobile ve LastPass Authenticator bulunur. ?o?u parola y?neticisi, varsay?lan olarak iki fakt?rl? kimlik do?rulama da sunar.

2FA kurman?n bazen baz? eski hizmetlerde eri?imi kesebilece?ini ve sizi uygulama ?ifrelerine g?venmeye zorlayabilece?ini bilmelisiniz. Facebook, Microsoft ve Yahoo gibi ?irketler taraf?ndan kullan?lan uygulama ?ifreleri, belirli bir uygulamayla kullan?lmak ?zere ana sitede olu?turulur.

T?m bunlar?n kula?a ne kadar zor geldi?i konusunda pani?e kap?l?rken ?unu unutmay?n: g?vende olmak kolay de?ildir. K?t? adamlar, kendinizi korumada gev?ek oldu?unuza g?veniyor. ?ki fakt?rl? kimlik do?rulamay? uygulamak, her seferinde yeni bir cihazda oturum a?man?n biraz daha uzun s?rece?i anlam?na gelir, ancak kimli?iniz, verileriniz veya paran?z olsun, ciddi h?rs?zl?klar? ?nlemek i?in uzun vadede buna de?er.

?ki Fakt?rl? Kimlik Do?rulaman?n Gelece?i

2FA genel olarak g?venli?i kesinlikle art?rsa da, iki fakt?rl? kimlik do?rulaman?n gelece?i, ?u anda hala var olan zay?f noktalardan ar?nm?? daha g?venli sistemler olu?turmaya dayanmal?d?r.

2FA Ba?ar?s?z Oldu?unda

2FA’n?n ele ge?irildi?ine dair ?rnekler i?in ?ok uza?a bakmam?za gerek yok. Twitter CEO’su Jack Dorsey’in hesab? A?ustos 2019’da hacklendi ve hesab?na g?nderilen kaba mesajlar 2FA g?venlik sistemleri i?in iyi bir reklam de?ildi. Bir ay sonra, bilgisayar korsanlar?n?n SMS kullan?larak g?nderilen iki fakt?rl? kimlik do?rulama kodlar?n? ele ge?irmek i?in bir ters proxy ara? seti kullanmas? nedeniyle 2FA kullanmas?na ra?men 23 milyon YouTube etkileyicisinin sald?r?ya u?rad???na dair raporlar vard?. Kripto para borsas? Binance, 2FA sistemini tehlikeye att? ve on milyonlarca dolar kaybetti.

Bir 2FA sistemini hacklemenin en kolay ve en yayg?n y?ntemlerinden biri sim takas? yapmakt?r. Bu senaryoda, bir bilgisayar korsan? kurbanlar?n telefon numaralar?n? de?i?tirmek i?in herhangi bir say?da y?ntem kullanabilir, b?ylece sonraki mesajlar veya telefon g?r??meleri – ?rne?in, 2FA kodlu bir mesaj – yeni telefona y?nlendirilir. Uzmanlar?n SMS ve telefon g?r??mesi tabanl? 2FA sistemlerinden giderek daha fazla uzakla?maya te?vik etmelerinin bir nedeni de budur.

Baz? iki fakt?rl? kimlik do?rulama sistemlerinin de k?t? ama?l? yaz?l?mlar taraf?ndan ele ge?irildi?i bilinmektedir. Google Authenticator kadar yayg?n olarak kullan?lan bir kimlik do?rulama uygulamas? bile m?kemmel de?ildir ? ?ubat 2020’de bir t?r Android tabanl? k?t? ama?l? yaz?l?m?n 2FA kodlar?n? ?ald??? tespit edildi. TrickBot k?t? ama?l? yaz?l?m?, bankac?l?k uygulamalar? taraf?ndan kullan?lan, SMS ve push bildirimleri ile g?nderilen tek seferlik kodlar? ele ge?iren iki fakt?rl? kimlik do?rulaman?n ba?ka bir ge?ici ??z?m?d?r.

2FA g?venli?inin ?u anda savunmas?z olmas?n?n ba?ka bir yolu var m?? Sosyal m?hendislik senaryolar?nda, bir bilgisayar korsan?, kendisine g?nderilen g?venli kodu al?nt?layarak kurban?n kimli?ini do?rulamas?n? istemeden ?nce, ?rne?in bankas? gibi davranan bir hedefle ileti?ime ge?ebilir.

Biyometrik Y?ntemler Sadece ?yile?ecek

Bu nedenlerden ve daha fazlas?ndan dolay?, bir?ok g?venlik uzman? 2FA’n?n gelece?inin biyometrik g?venli?in geni?letilmesinde yatt???na inan?yor.

?ok k?sa bir s?re i?inde, biyometrik g?venlik f?t?ristik fanteziden hayat?m?z?n her yerde bulunan bir par?as? haline geldi. Biyometrik 2FA ?rnekleri kelimenin tam anlam?yla her yerdedir. Biyometrik iki fakt?rl? kimlik do?rulamay? bankan?z kimli?inizi sesinizle her do?rulad???nda, telefonunuz y?z?n?z? tarad??? anda oturumunuzu a?ar a?maz oturum a?ar ve parmak ucunuzla diz?st? bilgisayar?n?zda oturum a?abilirsiniz.

Gelecekte, biyometrik 2FA’n?n daha da iyi, daha hassas ve sorunsuz hale gelmesi gerekecek. Biyometrik iki fakt?rl? kimlik do?rulama sistemlerinin yan?lmaz olmad??? kan?tlanm??t?r. Sadece bir ?rnek olarak, y?z tan?ma teknolojisinin Facebook foto?raflar?n?n 3D g?r?nt?leri taraf?ndan kand?r?ld??? durumlar olmu?tur.

Ancak biyometrik 2FA her yerde bulundu?undan, onu kullanan herkesin bir noktada yanl?? negatiflerle ve hatta muhtemelen yanl?? pozitiflerle u?ra?t??? da do?rudur. Yanl?? pozitifler, e?le?menin olmad??? bir yerde yap?ld???nda ortaya ??kar ve ?o?unlukla y?z tan?ma ile ger?ekle?ir. Yanl?? negatifler, do?ru olmas?na ra?men bir e?le?me yap?lmad???nda ortaya ??kar. Bu, ?zellikle parmaktaki en ufak bir nemin hasara yol a?abilece?i parmak izi taray?c?lar? i?in can s?k?c?d?r. Ve bir?ok insan, ?e?itli nedenlerle, parmak izlerini kolayca okuyam?yor.

Yava? yava?, ak?ll? cihazlar giderek daha karma??k hale gelecek ve biyometrik kimlik do?rulama daha sorunsuz ve daha h?zl? hale gelecektir. Kameralar giderek daha y?ksek ??z?n?rl??e kavu?acak ve k?z?l?tesi teknolojisi de ufukta bir yerde. Sonunda, kimlik do?rulaman?n en g?venli bi?imlerinden biri olarak kabul edilen iris taramas?na daha fazla odaklanmay? bekleyin.

?ok fakt?rl? kimlik do?rulama ve veritabanlar?

?ki fakt?rl? kimlik do?rulama size bir rahats?zl?k gibi g?r?n?yorsa, gelecekte ?ok fakt?rl? kimlik do?rulamaya artan bir odaklanma i?ermesi ho? bir haber olmayabilir. ?? (veya daha fazla) kimlik do?rulama d?zeyini bir t?r biyometri ile birle?tirmek, basit 2FA’n?n sa?layamayaca?? sa?lam bir g?venlik d?zeyi sa?layacakt?r. Sistemlerin hassas bilgiler i?erdi?i kurulu?lar, muhtemelen zaten ?ok fakt?rl? kimlik do?rulama kullan?yor ve yak?nda daha fazlas? bunu benimseyecek.

Bu kurulu?lar?n bu bilgileri nas?l depolad???, zaman i?inde geli?mesi muhtemel ba?ka bir aland?r. Bir?ok g?venlik uzman?, herhangi bir cihaz tabanl? kimlik do?rulama y?nteminin nihayetinde yetersiz oldu?una inanmaktad?r. Bunun yerine, kurulu?lar?n kimlikleri merkezi bir veritaban?nda g?venli bir ?ekilde depolamay? ve do?rulamay? g?z ?n?nde bulundurmalar?n? ?nerir. Bu, bir?ok ?irket i?in hen?z m?mk?n olmayabilir, ancak biyometrik kimlik do?rulaman?n y?kseli?i, bu teknolojilerin ne kadar h?zl? geli?ebilece?ini ve g?nl?k hayat?m?z?n b?y?k bir par?as? haline gelebilece?ini g?sterdi.

Recommended Posts

Bilgi G?venli?i

Sosyal M?hendislik

” Bir bilgisayar sistemini hacklemek zor olabilir. Ama bir insan? kand?rmak ?o?u zaman ?ok daha kolayd?r. “ ??te sosyal m?hendislik tam olarak burada devreye girer. G?n?m?zde bir?ok siber sald?r?, karma??k yaz?l?mlardan ?ok insan psikolojisini hedef al?r. ??nk? en g??l? g?venlik sistemleri bile, yanl?? ki?iye verilen tek bir ?ifreyle etkisiz hale gelebilir. Sosyal m?hendislik; insanlar?n g?ven, […]

Admin 

ABP Framework ile Ad?m Ad?m Yaz?l?m Geli?tirme ? B?l?m 7: Kullan?c? Aray?z? Geli?tirme

Uygulaman?n kullan?c?larla etkile?im kurdu?u katman olan Kullan?c? Aray?z? (UI) Katman?, genellikle ASP.NET Core MVC (Razor Pages), Angular veya Blazor gibi teknolojilerle geli?tirilir. ABP Framework, se?ti?iniz UI teknolojisiyle sorunsuz entegrasyon sa?layarak geli?tirme s?recinizi h?zland?r?r ve ortak UI ihtiya?lar?n? kar??lar. Bu b?l?mde, ABP ile kullan?c? aray?z? geli?tirmenin temel y?nlerini ele alaca??z. Se?ilen UI Teknolojisine G?re Temel Yap?land?rma […]

Admin 

ABP Framework ile Ad?m Ad?m Yaz?l?m Geli?tirme ? B?l?m?6: API Katman? Geli?tirme

Modern uygulamalarda API (Application Programming Interface) katman?, hem istemci uygulamalar (mobil, web) hem de di?er servislerle ileti?im kurmak i?in kritik ?neme sahiptir. ABP Framework, g??l? ve kolay yap?land?r?labilir bir API katman? olu?turman?z? sa?lar. Bu b?l?mde, ABP’nin API geli?tirme ?zelliklerini ve en iyi pratikleri inceleyece?iz. Auto API Controller ?zellikleri ABP Framework’?n en kullan??l? ?zelliklerinden biri Auto […]

Admin 

Leave A Comment