Çok Faktörlü Kimlik Doğrulama Bazen İşe Yaramayabilir

Çok faktörlü kimlik doğrulama (multi-factor authentication), kullanıcının bir uygulama, online hesap veya VPN gibi bir kaynağa erişim elde etmek için iki veya daha fazla doğrulama sağlamasını gerektiren bir kimlik doğrulama yöntemidir. Bu yöntemle yalnızca kullanıcı adı ve parola istemek yerine bir veya daha fazla ek doğrulama faktörü gerekir. Bu sebeple çok faktörlü kimlik doğrulama diğer kimlik doğrulama yöntemlerinden daha güvenli bir yöntem olarak kullanılmaktadır ancak bu yöntemde kusursuz değil.

Çok faktörlü kimlik doğrulamalarda kullanılan 3 ana yöntem vardır. Bunlar:

• Kişinin bildiği; şifre, PIN, güvenlik soruları gibi
• Kişinin sahip olduğu; akıllı telefon, e-posta, token ve sertifika gibi
• Kişiye özgü olan; parmak izi, ses veya yüz tanıma gibi

Günümüzde sıklıkla kullanılan doğrulama yöntemi şifre ve kullanıcının telefonuna gönderilen tek kullanımlık şifre olarak yaygınlaşmıştır.

Çok faktörlü kimlik doğrulamanın güvenli bir yöntem olmasının yanında bazı durumlarda bu korumanın dahi kötü amaçlı kişiler tarafından aşılabileceği konusunda kullanıcılar dikkatli olmalıdır.

Siber suçlular, telefonunuzu bir şekilde hackledilerse sim klonlama veya değiştirme gibi yöntemlerle telefonunuza gelecek SMS’i başka bir telefona yönlendirebilirler. Kullanıcının telefonuna zararlı yazılım bulaşması da SMS koduna korsanın rahatlıkla ulaşmasını sağlayacaktır.

Sosyal mühendislik ve oltalama yöntemler,  kötü amaçlı kişilerin kimlik doğrulamasını atlatabilmek için kullandıkları yöntemlerdir. Dolandırıcılar banka çalışanı veya polis gibi kişiyi arayarak güvenlik sorularında kullanılabilecek kişisel bilgileri paylaşması için kullanıcıyla iletişime geçebilirler. Benzer yöntemle sahte site oluşturarak kullanıcının bu sahte site üzerinde doğrulama kodunu paylaşması da korsanlara erişim sağlayacaktır.

Eğer Symantec gibi doğrulama uygulamaları kullanılıyorsa korsanlar kişiye arka arkaya yoğun bir şekilde doğrulama talebi gönderebilirler. Amaç arka arkaya gelen taleplerden rahatsız olan kullanıcının bunun kesilmesi için doğrulamaya onay vermesidir. Bunun yanı sıra kullanıcıyı arayıp teknik destek veya şirket yetkilisi gibi davranarak kullanıcıdan gelen doğrulama talebine onay vermesi de istenebilir.

Uzmanlara göre e-posta yoluyla yapılan doğrulama en güvenli olmayan metot. Bunun sebebi herhangi bir veri sızıntısında en başta e-posta bilgilerinin korsanların eline geçmesi. Biyometrik kimlik ise en güvenilir yöntem olarak kabul edilmektedir. Biyometrik kimlik kişiye özgü bir kimlik olduğundan kullanıcıyı botnet saldırıları gibi kişiden bağımsız ataklarda kullanıcıyı daha efektif bir şekilde korur.

Çok faktörlü doğrulamanın her ne kadar zaafları bulunsa da bu zaafların neredeyse tamamı kullanıcıdan bağımsız korsanların doğrulamayı atlatması şeklinde değil de kullanıcının bir şekilde manipüle edilerek doğrulamaya onay vermesi veya doğrulamaya onay verebilecek gizli bilgileri kötü amaçlı kişilerle paylaşması sonucu gerçekleşmektedir. Bu nedenle çok faktörlü doğrulama kullanıcıya etkin bir koruma sağlar ve her zaman kullanılması önerilmektedir.