İki faktörlü kimlik doğrulama: Az kullanım bile yeterli

Son güncelleme tarihi: 28 Ocak 2019

İki faktörlü kimlik doğrulama: Az kullanım bile yeterli

Güvenlik endüstrisinin kullanıcıları şifreyle kimlik doğrulamanın zayıflığı konusunda eğitmek için harcadığı çabalara rağmen farkındalık hala düşük seviyede. Keeper Security son zamanlarda açığa çıkan 10 milyon hesabı inceledi ve listenin yarısını sadece 25 şifrenin oluşturduğunu buldu. Kullanıcıların neredeyse %17’sini hesaplarını “123456” şifresiyle koruyordu.

İki faktörlü akım yükseliyor

İki faktörlü kimlik doğrulama (2FA), şifreleri desteklemenin etkili bir yolu. Kullanıcıların bir şeyi bilmelerini ya da bir şeye sahip olmalarını zorunlu kılarak ikinci koruma katmanı ekliyor. Örneğin ATM’den para çekerken 2FA kullanıyorsunuz. Şifreniz kişisel kimlik doğrulama numaranızı (PIN) oluştururken ikinci kimlik doğrulama da banka kartıyla yapılıyor.

Bu iki formlu kimlik doğrulama ile aynı değil. İki form teknik, zorlu bir soru gibi ikinci giriş kapısıyla kullanıcı kimliğini doğruluyor. İki faktörlü güvenliğe göre daha az etkili olsa da hiç yoktan iyidir.

İki faktörlü kimlik doğrulama, kurumsal güvenlik duvarlarının arkasında yaygın olarak kullanılsa da kamu tarafında benimseme daha yavaş. Dropbox yetkilisi, KrebsOnSecurity’ye şirketin müşterilerinin yüzde 1’inden azının 2FA seçeneğini kullandığını söyledi. Online hizmetler genellikle giriş sürecini zorlaştıracak şeyler sunma konusunda isteksiz. Ancak tavırlar son zamanda yaşanan ve kamuya açıklanan büyük şifre hırsızlıkları nedeniyle değişmeye başlıyor.

İki faktörlü kimlik doğrulamanın dört şekli: Artı ve eksiler

Farklı güçlü ve zayıf yanlara sahip farklı 2FA türleri var. Bunlara hızlıca bakacağız.

SMS Doğrulama

SMS doğrulama en popüler 2FA şekli. Google ve Facebook gibi büyük şirketler, dahili olarak sunulsa da bu yönetimi destekliyor. SMS doğrulama, ikinci kimlik doğrulama yöntemi olarak cep telefonunu kullanıyor. Kullanıcı giriş yaptığında, telefonuna SMS olarak doğrulama kodu gönderiliyor. Daha sonra kullanıcı doğrulama işlemini yapmak için bu kodu giriş ekranına giriyor. Birçok sistem aynı zamanda telefona sesli kod alma seçeneğini de kullanıyor.

  • Artılar: SMS doğrulamanın en büyük avantajı basitliği. Neredeyse herkes cep telefonuna sahip ve bu işlem sadece birkaç saniye sürüyor.
  • Eksiler: SMS evrensel değil ve şebekenin olmadığı bazı yerlerde kısa mesaj gelmeyebiliyor. Kurbanlar şifrelerini cihazlarında şifresiz metinde tutukları zaman hırsızlık riski oluyor. Hırsız bu şekilde iki faktöre de sahip oluyor.

Kimlik doğrulama uygulamaları

Kimlik doğrulama uygulaması, kullanıcının her girişinde ikincil şifre olarak kullanılmak üzere benzersiz bir kod üretiyor. SMS doğrulamasının aksine, bu kod doğrudan cihaz üzerinde üretiliyor.

Hesap oluşturduğunuz zaman tohum olarak bilinen gizli bir anahtar sunucu üzerinde tutuluyor ve telefon veya tablete gönderiliyor. Giriş yaptığınız zaman algoritmalar, tohum ve tarih/saat bilgisini birleştirerek benzersiz kod oluşturuyor. Kod genelde 30-60 saniye gibi kısa bir süre boyunca kullanılabiliyor. Aynı şey sunucu üstünde de gerçekleşiyor. Eğer iki kod eşleşirse giriş yapabiliyorsunuz.

Google Kimlik Doğrulama bu alanda en çok bilinen uygulama olsa da diğer uygulamalar da var. Bazı alternatif kimlik doğrulama uygulamaları bazı sunucu uygulamalarına özelken diğerleri yerel şifreleme gibi ek özellikler sunuyor.

  • Artılar: Kimlik doğrulama uygulamaları mükemmel koruma sağlıyor. Birçok sunucu uygulamasıyla uyumlu olarak çalışabiliyor ve telefon şebekesine ihtiyaç duymuyor.
  • Eksiler: SMS doğrulamayla aynı nedenden dolayı kimlik doğrulama uygulamalarında da hırsızlık riski var. Aynı zamanda teknik bilgisi olmayan kullanıcılar için uygulamayı kurmak karışık olabilir.

Fiziksel kimlik doğrulama

Bu yöntem ya USB portuna takılarak fiziksel token üretiyor ya da giriş ekranına yazılacak benzersiz bir şifre üretiyor. Bu güvenlik önlemi, oldukça hassas bilgilerle çalışan bankalar ve şirketler arasında popüler.

  • Artılar: Bu yöntem en güvenli 2FA şekli. Tokeni çalan siber saldırgan şifreye erişemez.
  • Eksiler: Donanım maliyetli olabilir. Eğer anahtarı unutursanız yapacak bir şey olmaz.

Biyometrik

Biyometrik doğrulama, sadece sahip olduğunuz değil aynı zamanda olduğunuz bir şeye dayanır. Parmak izi tarama, retina tarama ve ses tanıma biyometrik güvenliğin üç şeklidir.

  • Artılar: Teoride bu en dayanıklı 2FA formudur. Diğer tüm formlar, ikinci faktör bilgi olduğu için açığa çıkma riskine sahiptir. Doğrudan bir kişiyi taklit ederek bilgi çalmak mümkün değildir.
  • Eksiler: Gerçekte biyometriklerin güvenlik tekniği olarak kabul edilmesi için çok yol kat etmesi gerekiyor. Sahtekarlar, kalıp malzemeleriyle parmak izini kopyalayabilir. Aynı zamanda yüz tanıma yazılımına saldırabilir ve yüksek kaliteli videolarla iris ve retina taramalarını geçebilir. Bu teknoloji ilerlese de henüz popüler olması için erken.

Şifre ihlalini önlemenin en basit yolu

Tüm 2FA türleri hiç kullanmamaktan daha iyidir. Yukarıdaki yöntemlerden birini uygulamak sizin ve sitenize giriş yapanlar için faydalı olacak. Çünkü bu yöntemler şifre ihlali riskini azaltıyor. En yüksek güvenlik için fiziksel kimlik doğrulama umut vaat ediyor. Ancak SMS güvenliği uygulamak hem ucuz hem de oldukça mantıklı.

Kullandığınız internet sitelerinin 2FA destekleyip desteklemediğini bilmek istiyorsanız, Two Factor Auth önemli bir kaynak.


Bu içerik, Security Intelligence web sitesinde yayınlanan “Two-Factor Authentication: A Little Goes a Long Way” içeriğinin Türkçe çevirisidir. Orijinal içerikteki bazı bölümler, yerelleştirme amacıyla dışarıda bırakılmış olabilir.