İnternet ortamı uçsuz bucaksız bir yer. İnsanlar internet aracılığıyla sosyalleşirken bilgi alışverişi de yapma imkanı buluyorlar. Ancak iletişim kurdukları sosyal medya platformlarına üye olurlarken şifre kullanma zorunluluğu oluyor. Hesap güvenliği açısından şifre kullanmak oldukça önem taşıyor. Nitekim bazı durumlarda şifre yeterli gelmiyor. Bu durumda da iki faktörlü kimlik doğrulaması devreye giriyor. Peki iki faktörlü kimlik doğrulama nedir?
Web sitesi hesaplarında, sosyal medya hesaplarında ve telefonların işletim sistemlerinde güvenlik açısından şifre zorunluluğu yer almaktadır. Hatta bazı sitelerde, şifrenin saldırganlar tarafından kolay bir şekilde ele geçirilmemesi için güçlü, zor ve uzun parola önerileri yer alır. Ancak her şeye rağmen sadece şifre oluşturmak yeterli gelmemektedir. Dolayısıyla başka koruma teknikleri gereklidir. Biz de bu yazımızda şifre güvenliğini yakından ilgilendiren iki faktörlü kimlik doğrulamanın ne olduğuyla ilgili açıklamalar yapacağız.
İçindekiler
İki Faktörlü Kimlik Doğrulama Nedir?
İki faktörlü kimlik doğrulama, yani diğer adıyla 2FA, kimliğinizi doğrulamak için iki yöntem kullanarak hesap güvenliği artıran bir sistemdir. Yani bu sistem, iki farklı kimlik biçimi gerektirmektedir. 2FA, hem kullanıcının kimlik bilgilerini hem de kullanıcının erişeceği kaynakları daha iyi korumak için vardır. Bu güvenlik sistemi, kişinin sadece şifre oluşturarak sağladığı tek faktörlü kimlik doğrulamadan daha iyi güvenlik sağlamaktadır.
İki faktörlü kimlik doğrulama, kimlik hırsızlarının, bir kişinin cihazlarına ya da çevrimiçi hesaplarına erişmesini zorlaştırmaktadır. Çünkü ilgili kişinin şifresi ele geçirilse bile, sadece doğru şifreyi girmek yeterli olmayacaktır. Hesaba tam erişim sağlamak için iki faktörlü kimlik doğrulamasının gerektirdiği ek işlemler de olacaktır.
2FA, hassas sistemlere ve verilere erişimi kontrol etme amacıyla uzun bir süredir kullanılmaktadır. Hatta bu sistemi kullanan birçok sosyal medya hesabı da vardır. Çünkü sosyal medya hesapları, saldırganlar için tamamen odak noktası halindedir. Günümüzde pek çok kişinin Instagram hesapları kimlik hırsızlarının kurbanı olmuştur. Kişiler her ne kadar güçlü parola oluşturma ya da yeni hesap açma gibi yöntemleri deneseler de güvenlik konusunda hala açıklıklar olmaktadır.
Bu nedenle, özellikle popüler olan sosyal medya hesapları, uzun süredir iki faktörlü kimlik doğrulamasını kullanmaktadır. Bu sayede insanlar, ilgili platformlara kolaylıkla üye olup güvenlik doğrulamasını gerçekleştirirler. Birçok güvenlik sisteminde olduğu gibi iki faktörlü kimlik doğrulama da belli bir çalışma sistemi yer almaktadır. Şimdi bu konu hakkında bilgi verelim.
İki Faktörlü Kimlik Doğrulama Nasıl Çalışmaktadır?
Yazımızda iki faktörlü kimlik doğrulamanın ne olduğuyla ilgili açıklama yaptıktan sonra, bu sistemin nasıl çalıştığıyla ilgili de bilgi vermemiz iyi olacaktır. Bu doğrulama sistemi, adım adım aşamalardan oluşmaktadır. Ayrıca bu sistem, uygulama ya da web sitesi sahibine göre değişiklik göstermektedir. Ancak bu kimlik doğrulaması, genel olarak aşağıdaki gibi bir süreç izler.
- Öncelikle sistem, kullanıcıdan oturum açmasını ister.
- Kullanıcı bilgilerini girip oturum açma seçeneğine tıkladığı an sitenin sunucusu bir eşleşme bulur ve kullanıcıyı tanır.
- Şifre gerektirmeyen işlemler için internet sitesi, kullanıcı için benzersiz bir güvenlik anahtarı oluşturur. Kimlik doğrulama aracı da anahtarı işler ve sitenin sunucusu anahtarı doğrular.
- Daha sonra site, kullanıcıdan ikinci oturum açma adımını başlatmasını ister. Bu adım çeşitli yöntemlerde olmaktadır. Örneğin biyometrik şifreleme bunlardan bu yöntemlerden birisidir. Biyometrik şifreleme, parmak izi, ses tanıma ya da yüz tanıma gibi şifreleme yöntemlerinden oluşmaktadır. Bunun yanında kimlik kartı, güvenlik belirteci, akıllı telefon ya da başka bir mobil cihazla kanıt sunmak da ikinci oturum açma adımında kullanılmaktadır.
- Ardından, kullanıcının tek seferlik kod girmesi gerekebilir. Tek seferlik kodun girildiği telefonda, ‘Bu telefona güven’ seçeneği etkinleştirildiğinde kullanıcı, bir daha kod girmeye tabii tutulmayacaktır. Aynı şekilde, başka bir cihazdan ilgili uygulamaya giriş yapıldığında ise, ‘Bu telefona güven’ seçeneğinin etkinleştirildiği telefondan onay verilmesi de başka bir yöntemdir.
- Kullanıcılar bu adımları tamamladıktan sonra, kimlik doğrulaması gerçekleşir ve uygulama ya da internet sitesine erişim izni verilir.
İki Faktörlü Kimlik Doğrulama Türleri Nelerdir?
Kullanmış olduğunuz herhangi bir site ya da uygulamada sadece parola girmeniz gerekiyorsa, saldırıya uğrama ihtimaliniz yüksek olacaktır. Dolayısıyla, eğer ilgili uygulamada iki faktörlü kimlik doğrulama seçeneği varsa, bu sistemi kullanmanızı öneririz. İki faktörlü kimlik doğrulama sistemi, sadece tek bir türde olmamaktadır. Bu sistem de kendi içinde farklı türlere sahiptir. Şimdi bu konu hakkında açıklama yapalım.
2FA için Donanım Belirteci
İki faktörlü kimlik doğrulamanın eski türlerinden biri donanım belirteçleridir. Bu tür, her 30 saniyede bir yeni sayısal kod üretir. Kullanıcı bir hesaba erişmeye çalıştığında, cihaza bakar ve gördüğü 2FA kodunu siteye girer. Donanım belirteçlerinin diğer sürümleri ise bilgisayarın USB bağlantısına takıldığında kodu otomatik olarak aktarır. Donanım belirteçlerinin avantajlarının yanı sıra bir de dezavantajı vardır. Bu da maliyetle ilgilidir. İşletmeler için bu birimleri dağıtmak pahalı olmaktadır.
SMS ve Ses tabanlı 2FA
SMS tabanlı 2FA, kullanıcının cihazıyla doğrudan etkileşime girer. Siteye kullanıcı adı ve şifre girildikten sonra kullanıcıya kısa mesaj gelir. Bu mesajda ise tek seferlik şifre yer alır. Tıpkı donanım belirteçlerinde olduğu gibi SMS tabanlı 2FA türünde de kullanıcı, ilgili uygulamaya erişmeden önce tek seferlik şifreyi uygulamaya girmesi gerekmektedir.
Aynı şekilde ses tabanlı 2FA türünde de sistem, kullanıcıyı arar ve 2FA kodunu sözlü olarak iletmesini ister. Ses tabanlı 2FA günümüzde pek yaygın değildir. Ancak akıllı telefonların pahalı olduğu ve internetin yavaş olduğu ülkelerde hala kullanılmaktadır.
Yüksek risk teşkil etmeyen site ya da uygulamalarda SMS ve ses tabanlı 2FA ile kimlik doğrulaması yapılabilir. Ancak kamu hizmetleri, bankalar ve e-posta hesapları gibi alanlarda bu kimlik doğrulama türü yetersiz kalacaktır. Bu nedenle pek çok şirket, SMS ve ses tabanlı 2FA’dan daha güvenli kimlik doğrulamalarını tercih etmektedirler.
Yazılım Belirteçleri
İki faktörlü kimlik doğrulamanın SMS ve ses tabanlı türüne alternatif olarak yazılım belirteçleri kullanılmaktadır. Bu 2FA türü, en popüler türler arasındadır. Kullanıcıların bu türü aktifleştirmesi için öncelikle cihazlarına 2FA uygulamasını indirip kurması gerekmektedir. Bu indirme işleminden sonra kullanıcılar, yazılım belirtecini ve uygulamayı destekleyen herhangi bir uygulamada işlemlerini gerçekleştirebilirler.
Kullanıcılar oturum açarken önce kullanıcı adlarını ve şifrelerini girerler. Sonrasında ise kod için ilgili 2FA uygulamasına bakarlar ve giriş işlemlerini gerçekleştirirler. Donanım belirteçlerine benzer olarak yazılım belirteçlerinde de çoğunlukla 1 dakikadan daha kısa süre geçerli olan kodlar yer alır. Bu kodlar, aynı cihaz üzerinden oluşturulduğu için, bilgisayar korsanlarının hesapları çalma ihtimali düşecektir.
Biyometrik Doğrulama
Onay kodlarının yanı sıra biyometrik doğrulama da iki faktörlü kimlik doğrulamasında oldukça çok kullanılmaktadır. Bu doğrulama türü, parmak izi, yüz tanıma ve retina tarama gibi yöntemleri içermektedir. Biyometrik doğrulama çoğunlukla telefonların tuş kilidi için kullanılmaktadır. Kişinin yüz tanıma ya da parmak izi gibi özellikleri olmadan telefon açılmamaktadır. Ayrıca herhangi bir aksilik durumuna karşı telefonun sahibi, tuş kilidine parola da girmektedir.
Anında Bildirim
2FA için tek seferlik şifre kullanmak yerine anında bildirim seçeneğini kullanmak oldukça iyidir. Birçok web sitesi ve uygulama artık anında bildirim türünü kullanıyor. Bu 2FA türünde kullanıcı hesabına girdiğinde, anında iletme bildirimi gönderilir. Cihaz sahibi detayları inceler ve tek bir dokunuş ile erişimi onaylar ya da reddeder. Bu 2FA türü, kod ya da parola içermeden işlemi gerçekleştirmenizi sağlamış olur.
İki Faktörlü Kimlik Doğrulamanın Avantajları Nelerdir?
İki faktörlü kimlik doğrulama, kullanıcıların, şirketlerin ya da site sahiplerinin hassas verilerini koruyan ve veri ihlallerini önleyen bir güvenlik sistemidir. Uzaktan çalışma modelini benimseyen birçok kuruluşun altyapılarına sızmaya çalışan siber saldırganlara karşı en etkili yöntemlerden biri 2FA yapısını benimsemek oluyor. Bu güvenlik yönteminin birçok avantajı bulunuyor.
İki faktörlü kimlik doğrulamanın avantajlarından biri, çevrimiçi dolandırıcılık ve kimlik avı gibi siber saldırıların oluşma oranını azaltmaktır. Bu sayede önemli veriler ve hassas bilgiler korunmuş oluyor. Sistem gereği iş arkadaşlarınızla paylaşmak durumunda kaldığınız parolalar da 2FA yöntemini kullandığınızda etkisi hale geliyor.
İki faktörlü kimlik doğrulamasında bant dışı kimlik doğrulama yöntemleri yer alıyor. Bu yöntem ile kullanıcının bilgileri, e-posta ya da SMS üzerinden gönderilen kod aracılığıyla ikinci bir doğrulama zorunluluğu taşıyor. Bu yöntem de veri güvenliği açısından önem taşıyor.
Güvenli erişim amacıyla lokasyon doğrulaması ve zaman kısıtlaması yöntemlerinin kullanılması da bir diğer avantajdır. Bunun için kullanıcılardan eş zamanlı şekilde doğrulama isteniyor. Eş zamanlı doğrulama yöntemi sayesinde de ilgili kişi dışında biri hesap ve veri bilgilerini çalamamış oluyor.
Parmak izi ve yüz kimliği de iki faktörlü kimlik doğrulamada önem taşımaktadır. Bu yöntem de en çok akıllı telefon kullanıcılarının cihazlarını koruma altına almasında etkili rol oynuyor. Parmak izi ve yüz kimliği eşleşmeyen kişiler ise ilgili cihaza erişim sağlayamıyor.
İki Faktörlü Kimlik Doğrulama Yeterince Güvenli mi?
İki faktörlü kimlik doğrulaması, sadece parola kullanarak girdiğiniz yönteme göre çok daha güvenlidir. Çünkü hesabınızın kullanıcı adı, şifresi, hatta e-postasının bulunabilme ihtimali yüksek oluyor. Bu da hesabınızın çalınma ihtimalini artırıyor. Ancak hesabınızda iki faktörlü kimlik doğrulamayı etkinleştirdiğinizde, hesabınıza erişim sağlamanız için telefonunuza gelen kodu girmeniz gerekiyor. Bu kodu da sizden başkasının bilmesi imkansız hale geliyor. Eğer telefonunuz çalınmadıysa ya da kaybolmadıysa 2FA oldukça işe yaramış oluyor.
Aynı şekilde telefonunuza eklemiş olduğunuz parmak izi ya da yüz tanıma özellikleri de cihazınıza sadece sizin erişmenize olanak tanıyor. Aslında ATM’lerde kredi kartınızla işlem yaparken bile iki faktörlü kimlik doğrulamasını kullanmış oluyorsunuz. Normalde kartınızı ATM’ye taktığınız an işleme başlamanız gerekiyor. Ancak işlem yapabilmeniz için parolanızı girmeniz gerekiyor. Bu da bir çeşit iki faktörlü kimlik doğrulamanın devreye girdiğini gösteriyor.
Günümüzde pek çok sosyal medya platformu, mesajlaşma uygulamaları ve çevrimiçi siteler iki faktörlü kimlik doğrulama sistemini kullanıyor. Bu güvenlik sistemini ise zorunlu hale getirmek yerine kullanıcının tercihine bırakıyorlar. Kullanıcıların sosyal medya hesaplarını iki faktörlü kimlik doğrulamayla korumaları için telefon numaralarını, hesaplarına girmeleri gerekiyor. Bu durumda da kişiler, kimlik doğrulama sistemini kullanmaktan vazgeçebiliyor. Ancak iletişim bilgisini platformlara girmek, kimlik hırsızlarının sadece parola ile korunan hesapları çalmasından daha az zararlı.
Genel Değerlendirme
Şifre ve kullanıcı adı kombinasyonlarının birçoğu, bilgisayar korsanları tarafından ele geçirilmeye oldukça müsaittir. Bu durum da beraberinde kurumsal veri ihlallerini getirmektedir. Herhangi bir internet sitesindeki hesap bilgileriniz açığa çıktığında ya da sosyal medya hesaplarınızın şifresi çözülüp çalındığında hesaplarınızı geri alamama durumunuz olabilir. Bu da oldukça tehlikeli bir durumdur.
Her ne kadar giriş hareketlerini kontrol etseniz de ya da güçlü bir parola oluştursanız da, veri ihlali konusunda tam bir koruma sağlamanız mümkün olmayacaktır. Hesap güvenliğini sağlamanın en etkili yolu ise iki faktörlü kimlik doğrulamadan geçmektedir. Bu doğrulama sistemi, hesabınıza ek bir güvenlik katmanı eklemektedir. Bu sayede hesabınızın ya da verilerinizin çalınma riski büyük oranda azalmış olacaktır.
Günümüzde çevrimiçi hizmet sağlayıcıları, kullanıcıların kimlik bilgilerini çalan, hatta kimlik avı kampanyaları kullanan bilgisayar korsanlarına karşı iki faktörlü kimlik doğrulamayı kullanmaktadır. Zaman içinde bu güvenlik sistemine geçen birçok platform oluyor. Bunun sonucunda ise kullanıcıların hesapları daha güvenli ve erişilmesi zor hale geliyor.
Sizler için hazırlamış olduğumuz iki faktörlü kimlik doğrulama nedir rehberimiz burada sona eriyor. İki faktörlü kimlik doğrulama hakkındaki soru ve düşüncelerinizi aşağıdaki yorum bölümünden bizler ile paylaşmayı unutmayın.