İki faktörlü kimlik doğrulama (2FA) nedir?

Son güncelleme tarihi: 28 Ocak 2019

İki faktörlü kimlik doğrulama (2FA) nedir?

Neden şifreler yeterince iyi değil?

“İki faktörlü kimlik doğrulama nedir” veya “2FA nedir” sorularını ele almadan önce, online hesap güvenliğinizi arttırmak için neden elinizden gelenleri yapmanız gerektiğini ele alalım. Hayatımızda çoğu şey mobil cihazlar ve laptoplarda gerçekleşirken, dijital hesapların suçlular için çekici olması şaşırtıcı değil. Hükümetlere, şirketlere ve bireylere karşı yapılan kötü niyetli saldırılar oldukça yaygın. Saldırı, veri ihlali ve diğer siber suçların azalacağına dair işaret yok!

Şanslıyız ki işletmeler, iki faktörlü kimlik doğrulama ya da genelde ifade edildiği şekilde 2FA ile kullanıcı hesaplarını bir güvenlik seviyesi daha ekleyebilir.

Siber suçların artışı 2FA ile daha güçlü güvenliğe ihtiyaç duyuyor

Son yıllarda, internet sitelerinin kullanıcıların kişisel verilerini kaybetmelerinde yaşanan artışa şahit olduk. Siber suçlar daha incelikli hale geldikçe şirketler eski güvenlik sistemlerinin modern tehdit ve saldırılarla eşleşmediği görüyor. Bazen maruz kalma sebepleri basit bir insan hatası oluyor. Ve hasar gören sadece kullanıcıların güveni değil. Tüm örgütler – küresel şirketler, küçük işletmeler, start-uplar ve kar amacı gütmeyen örgütler – ciddi finansal kayıp ve itibar kaybı yaşayabilirler.

Tüketiciler için hedeflenen saldırı veya kimlik hırsızlığının etkileri yıkıcı düzeyde. Çalınan kimlik bilgileri sahte kredi kartı çıkarmak ve alışveriş çılgınlıklarını finanse etmek için kullanılabilir. Bu da kurbanın kredi derecesine zarar verebilir. Tüm banka ve kripto para hesapları bir gecede boşaltılabilir. Yakın zamanda yapılan bir çalışmaya göre, 2016 yılında 15,4 milyon Amerikalı tüketiciden $16 milyar alınmış. Daha da inanılmazı ise kimlik hırsızları son altı yılda $107 milyardan fazla para çalmış.

Açıkça görüldüğü üzere online siteler ve uygulama daha sıkı güvenlik önlemleri sunmalı. Mümkün olan durumlarda tüketiciler sadece şifreden daha güçlü bir şeyle kendilerini korumalı. Birçok kişi için ekstra güvenlik seviyesi iki faktörlü kimlik doğrulama.

Şifreler: Geçmişi kötü olsa da hala kullanılıyor

Şifreler ne zaman ve nasıl bu kadar savunmasız oldu? 1961 yılında Massachusetts Teknoloji Enstitüsü, Uyumlu Zaman Paylaşma Sistemini (CTSS) geliştirdi. Herkesin bilgisayarı kullanmak için eşit şansı olması adına, MIT tüm öğrencilerin güvenli şifreyle giriş yapmasını zorunlu kıldı. Kısa süre içerisinde öğrenciler, sisteme girebileceklerini, şifre bastırabileceklerini ve daha fazla süre kazanabileceklerini keşfettiler.

Buna ve daha güvenli alternatiflerin olmasına rağmen, kullanıcı adları ve şifreler en yaygın kullanıcı kimlik doğrulama yöntemi olarak kaldı. Genel kural ise şifrenin kimsenin tahmin edemeyeceği kadar zor bir şey olması. Hiç koruma olmamasına kıyasla şifre kullanmak faydalı olsa da şifreler mükemmel değil. İşte nedeni:

  • İnsanların hafızası berbat. Yakın zamanda yayınlanan bir rapor 1.4 milyar çalıntı şifreyi inceledi ve şifrelerin utanç verici düzeyde basit olduğunu gördü. En kötüleri ise “111111”, “123456”, “123456789”, “qwerty” ve “şifre”. Bu şifreleri hatırlamak kolay olsa da normal bir saldırganın bu şifreleri kırması çok kolay.
  • Çok fazla hesap: Kullanıcılar her şeyi online dünyada halletmeye alıştıkça daha fazla hesap açıyorlar. Bu da hatırlanacak daha fazla şifre oluşturulmasına ve tehlikeli bir davranışın ortaya çıkmasına neden oluyor: şifreleri yeniden kullanma. Saldırganlar buna bayılıyor: popüler online bankalar ve alışveriş siteleri üzerinde çalışan binlerce kimlik bilgisinin test edilmesi sadece saniyeler sürüyor. Eğer kullanıcı adı ve şifre çifti yeniden kullanıldıysa, diğer çekici hesapları açmak olası.
  • Güvenlik yorgunluğu ortaya çıkıyor: Bazı tüketiciler kendilerini korumak için daha karmaşık şifre ve şifre ifadeleriyle saldırganların işini zorlaştırıyor. Ama internetin karanlık yüzünde kullanıcı bilgilerini ihlal eden çok fazla veri var ve birçok kullanıcı teslim olarak farklı hesaplarda zayıf şifre kullanıyor.

İmdada 2FA yetişiyor

2FA, online hesaba ulaşmak isteyen kişilerin gerçekten de dedikleri kişi olduğundan emin olan ekstra güvenlik katmanı. İlk aşamada kullanıcıları kullanıcı adı ve şifrelerini giriyorlar. Daha sonra hesaba anında erişmek yerine ek bilgi sağlamaları isteniyor. İkinci faktör, aşağıdaki kategorilerden birinden gelebiliyor:

  • Bildiğiniz bir şey: Kişisel tanımlama numarası (PIN), şifre, “gizli soru” cevabı veya belirli bir tuş deseni olabilir.
  • Sahip olduğunuz bir şey: Genellikle kullanıcıların kredi kartı, akıllı telefon veya küçük donanım belirteci (token) şeklinde oluyor.
  • Olduğunuz bir şey: Bu kategori biraz daha gelişmiş ve parmak izi, iris taraması veya ses gibi biyolojik desen içerebilir.

2FA sayesinde, bu faktörlerden sadece birinin açığa çıkması hesabı açmaya yetmez. Bu nedenle eğer şifreniz çalınırsa ya da telefonunuz kaybolursa, başka birinin ikinci faktör bilgisine sahip olması olası değildir. Başka bir açıdan bakarsak, eğer tüketiciler 2FA’yı doğru bir şekilde kullanırsa, internet siteleri ve uygulamalar kullanıcının kimliğinden daha emin olabilir ve hesabı açabilir.

Yaygın 2FA türleri

Eğer kullandığınız bir siteye giriş yapmak için sadece şifre yeterliyse ve 2FA yoksa, site eninde sonunda saldırıya uğrayacaktır. Ancak bu tüm 2FA’ların aynı olduğu anlamına gelmez. Günümüzde birçok iki faktörlü kimlik doğrulama türü kullanılıyor. Bazıları daha güçlü bazıları daha karmaşık, ancak hepsi sadece şifre kullanmaktan daha iyi koruma sağlıyor. En yaygın 2FA türlerine bakalım.

2FA için donanım tokenleri

Bu tür 2FA’nın en eski türü olabilir. Donanım tokenleri anahtarlık gibi küçüktür ve her 30 saniyede bir yeni nümerik kodlar oluştururlar. Kullanıcı hesaba erişmek istediğinde cihaza bakarlar ve siteye ya da uygulamaya gösterilen 2FA kodunun girilmesini isterler. Diğer donanım tokeni türleri, bilgisayarın USB portuna takıldıklarında 2FA kodunu otomatik olarak aktarırlar.

Ancak birçok eksi yanı vardır. İşletmeler için bu birimleri dağıtmak maliyetlidir. Ayı zamanda boyutlarından dolayı kullanıcılar kolayca kaybeder ya da bir yerde unutur. En önemlisi saldırılara karşı tamamen güvenli değillerdir.

SMS kısa mesaj ve ses tabanlı 2FA

SMS tabanlı 2FA, doğrudan kullanıcının telefonuyla etkileşime geçer. Kullanıcı adı ve şifreyi aldıktan sonra site, kısa mesaj yoluyla benzersiz tek kullanımlık şifre (OTP) gönderir. Donanım tokeni süreci gibi kullanıcının erişim sağlamak için uygulamaya gelen OTP’yi girmesi gerekir. Benzer şekilde ses tabanlı 2FA kullanıcıyı otomatik olarak arar ve 2FA kodunu sözel olarak verir. Yaygın olmasa da akıllı telefonların pahalı ya da şebekenin yetersiz olduğu ülkelerde hala kullanılır.

Düşük riskli online aktiviteler için kısa mesaj veya sesle kimlik doğrulama ihtiyacınız olan tel şey olabilir. Kamu hizmeti veren şirketler, bankalar ya da e-posta hesabı gibi kişisel bilgileri tutan internet sitelerinde bu 2FA seviyesi yeterince güvenli olmayabilir. Aslında SMS, en az güvenli kimlik doğrulama olarak kabul edilir. Bu nedenle birçok şirket, SMS tabanlı 2FA ötesine geçerek güvenliklerini güncelliyor.

2FA için yazılım tokenleri

En popüler iki faktörlü kimlik doğrulama (ve SMS ve sesin alternatifi olarak), yazılım tarafından üretilen zaman tabanlı, tek kullanımlık şifreler (aynı zamanda TOTP veya “soft-token” olarak da adlandırılıyor).

İlk olarak kullanıcı, akıllı telefonuna veya masaüstüne ücretsiz 2FA uygulamasını indirmeli ve yüklemeli. Uygulamayı bu tür kimlik doğrulamayı destekleyen sitelerde bulabilirler. Giriş sırasında kullanıcı ilk olarak kullanıcı adını ve şifresini girer. Daha sonra uygulamada gösterilen kodu girmeleri istenir. Donanım tokenleri gibi soft-tokenler de bir dakikadan daha kısa süre için geçerlidir. Kod aynı cihazda üretilip gösterildiği için soft-tokenler saldırganların araya girme şansını önler. Bu durum SMS veya sesle kod gönderme yöntemlerindeki en büyük endişedir.

En iyisi uygulama tabanlı 2FA çözümleri mobil, giyilebilir cihazlar veya masaüstü platformları için sunulduğu ve çevrimdışı olarak da çalıştığı için kullanıcı kimlik doğrulaması her yerden yapılabilir.

2FA için anlık bildirim

2FA tokeni alma ve girmeye güvenmek yerine internet siteleri ve uygulamalar, kimlik doğrulama işlemi için kullanıcılara anlık bildirim gönderebilir. Cihazın sahibi detayları görerek tek bir tıkla erişimi onaylayabilir veya reddedebilir. Kod girmeyi gerektirmeyen şifresiz kimlik doğrulama işlemdir ve ek etkileşime gerek olmaz.

Perakendeciler, 2FA hizmeti ve cihaz arasında doğrudan ve güvenli bağlantıya sahip olarak, anlık bildirimler şifre avcılığı (phishing), aracı saldırıları veya yetkisiz erişim şanslarını ortadan kaldırır. Ancak sadece uygulama yüklenebilen ve internete bağlı cihazlarda kullanılabilir. Aynı zamanda akıllı telefon kullanımının düşük olduğu yerlerde veya internet bağlantısının kesintisiz olmadığı yerlerde SMS tabanlı 2FA tercih edilebilir. Ancak mümkün olan durumlarda anlık bildirimler daha kullanıcı dostu ve daha güvenli çözümlerdir.

Diğer iki faktörlü kimlik doğrulama türleri

Kullanıcıları token olarak kullanan biyometrik 2FA oldukça yakın. Yakın zamanda yapılan yenilikler arasında kişinin kimliğini parmak izi, retina deseni ve yüz tanımayla doğrulama yer alıyor. Aynı zamanda ortam gürültüsü, nabız, yazma desenleri ve ses izleri de araştırılıyor. Bu 2FA yöntemlerinin popülerleşmesi…ve biyometrik saldırganların bunları nasıl kötüye kullanacaklarını anlaması an meselesi.

Herkes 2FA kullanmalı

Yakın zamanda yayınlanan bir rapora göre çalınan, yeniden kullanılan ve zayıf şifreler güvenlik açıklarının ana nedeni. Maalesef şirketler kullanıcılarını hala şifrelerle koruyorlar. İyi haber ise şu. Siber güvenlik haberlere bile çıkıyor. Bu nedenle 2FA farkındalığı her geçen gün artıyor ve kullanıcılar şirketlerin artan güvenlikle hizmet vermesini talep ediyor. Katılıyoruz: Herkes 2FA Kullanmalı


Bu içerik, Authy web sitesinde yayınlanan “What Is Two-Factor Authentication (2FA)?” içeriğinin Türkçe çevirisidir. Orijinal içerikteki bazı bölümler, yerelleştirme amacıyla dışarıda bırakılmış olabilir.