İki Adımlı Doğrulama (2FA) Nedir ve Nasıl Kullanılır? Bölüm -1

Veri ihlalinden sadece bir adım uzakta olabilirsiniz. Bu aşamada sorun, değerli kaynakları korumak konusunda son derece kırılgan kalan şifreler.

Uzun, karmaşık ve tahmin edilmesi zor şifreleri kullanmanın sizi çevrimiçi dünyada daha güvenli kılacağı düşüncesi tam olarak doğru değil. Yazması tam beş dakika sürecek bir şifre bile kullanıyor olsanız, eğer bunu saklayan sunucu güvenlik ihlaline uğrarsa ne kadar uzun veya karmaşık olduğunun hiçbir önemi kalmayacak.

Belli aralıklarla güncellenmeleri de şifrelerin güvenlik zincirindeki zayıf halka olmalarını engellemiyor. Sosyal mühendislik yöntemleri bilinçli tüketicilerin bile sahte sayfalara girerek hesap bilgilerini paylaşmalarına neden olabiliyor.

Bu aşamada güvenliğinizi sağlamanın yolu 2FA, yani iki adımlı doğrulama. Microsoft tarafından 2019’da yayımlanan bir raporda, 2FA yönteminin otomasyon saldırıların %99,9’unu durdurduğu belirtildi. Microsoft, bir hizmet sağlayıcısının 2FA opsiyonu sunuyor olması halinde, SMS tabanlı basit bir basamak da olsa mutlaka kullanılmasını tavsiye ediyor. Google tarafından aynı yıl içinde yayımlanan bir diğer raporda 2FA hakkında benzer açıklamalar sundu.

2FA nasıl çalışıyor?

2FA opsiyonunu hayata geçirmek, bir cihazdan çevrimiçi hizmete bağlandığınız zaman kimliğinize ait en az iki delil sunmanızı gerektiriyor. 2FA basamağını aştıktan sonra, bir hizmet için ilk kez kullandığınız cihazın güvenli olduğunu varsayabilirsiniz.

Aşağıda belirtilen unsurlara bağlı olarak iki doğrulama şekli herhangi bir kombinasyon ile belirebilir:

– Bir şifre veya PIN kodu gibi “bildiğiniz bir şey”,

– Parmak izi ve biyometrik ID gibi “sizi temsil eden bir şey”,

– Akıllı telefon veya donanım tabanlı güvenlik cihazı gibi “sahip olduğunuz bir şey.”

Günümüzde geçerli 2FA sistemlerinin birçoğu şifrenizi (ilk madde) ve akıllı telefonu (son madde) kullanmayı tercih ediyor. Her zaman kullanıma hazır akıllı telefonlar, 2FA doğrulaması için en ideal cihazlar durumunda.

Telefonunuz, hesaba giriş yapmak için gereken şifrenin yanı sıra size benzeri olmayan bir kod sunarak size yardım edebilir. Bu kodu iki şekilde temin edebilirsiniz: SMS mesajı olarak gönderilebilir veya telefonunuzdaki bir uygulama tarafından üretilebilir.

Gmail hesabınıza girerken geçtiğiniz 2FA sürecini ele alalım… Eğer Google hesabınıza ait bilgileri çalan birisi e-posta adresinizi veya şifrenizi girmiş olsaydı, 2FA adımında kalakalacaktı. Zira 2FA kodu olmadan, hesabınıza erişim sağlamaları mümkün olamaz.

2FA bulunduran birçok çevrimiçi hizmet, farklı doğrulama yöntemleri sunuyor. Örneğin Google ve Microsoft, güvenilir bir cihaza bildiri gönderiyor. Hesaba giriş yapan kişi olduğunuz doğrulamak için bildiri notlarına cevap vermeniz gerekiyor. Sayıları giderek artan çevrimiçi hizmetler ise donanım güvenlik anahtarları kullanıyor (YubiKey, vb).

Ayrıca, yedekleme kurtarma kodlarını basabildiğiniz birçok hizmet mevcut. Bu kodları güvenli bir yerde tutarak her zaman kullandığınız ikinci doğrulama yöntemi geçerli olmadığında kullanabilirsiniz. Telefonunuz bozulduğunda, çalındığında veya hasar gördüğünde bu opsiyona başvurabilirsiniz.

İlginizi Çekebilir: Kötü Amaçlı Yazılım Türleri 

En iyi doğrulama yöntemi hangisi?

En iyi doğrulama yöntemi, şahsen en rahat kullandığınız yöntemi temsil eder. Yine de hesabınıza erişimi kaybetme riskini yaşamamak için en az iki opsiyon kullandığınızdan emin olmanız önerilir.

Tercih etmeniz önerilen ilk yöntem, SMS ile doğrulama kodu gönderilmesi yerine bir doğrulama kodu uygulaması kullanmak. İlk sebep, temel lojistiğe dayanıyor. Kablolu veya kablosuz olarak internete bağlandığımız, ancak yine de SMS mesajı alamadığımız zamanlar vardır. Sebebi, telefon sinyalinizin zayıf olması veya olmaması, seyahat ederken farlı bir SIM kartı kullanmanız olabilir. İkinci ve daha düşük olsa da geçerli olasılık, siber korsanların sosyal mühendislik yöntemleri ile mobil hizmet sağlayıcınızın güvenlik bariyerlerini aşarak SIM kart bilgilerini ele geçirmesidir.

Günümüzde en çok tercih edilen kod üretici uygulama, iOS ve Android için sunulan Google Authenticator. Güvenli kod üretimi süreci açık standartlara bağlı olduğu için tüketicilerin tercih edebileceği farklı alternatifler de mevcut. Örnek olarak, Microsoft Authenticator, Microsoft’un şahsi veya iş hesaplarından bildiri notları gönderebiliyor. Aynı işlemi, Microsoft dışındaki üçüncü parti bir uygulama üzerinden de gerçekleştirebiliyor.

Kod doğrulayıcı uygulamaların ilk kurulum sürecinde sadece bir veri bağlantısına ihtiyaç olduğunu not düşelim. Ardından, tüm işlemler cihazınız üzerinde gerçekleşir. Söz konusu süreç, fazlasıyla kabul edilmiş Zaman-odaklı Tek-Seferli-Şifre-Algoritması (TOTP) tarafından idare edilir.

Söz konusu algoritma, doğrulama uygulamasını gelişmiş bir hesap makinesi gibi kullanarak cihazınızdaki zamana bağlı olarak kod üretir (ve gizli tutar). Çevrimiçi hizmet de aynı “sırrı” ve zaman damgasını kullanarak kodlar üretir ve yaptığınız girişle karşılaştırır. Bağlantının her iki tarafında zaman bölgeleri sorunsuz bir şekilde eşleştirilebilir. Ancak cihazınızdaki saat yanlış ise kodlarınız geçersiz olacaktır.

İlginizi Çekebilir: Şirket E-posta Dolandırıcılığı (BEC) Hakkında Her şey

Hangi hizmetin 2FA destekleyip desteklemediğini nasıl bilebilirim? 

Gmail ve iş tabanlı GSuite hesaplarını içeren Google hesapları, geniş bir yelpazede iki adımlı doğrulama alternatifleri sunuyor. Microsoft ile kullanılan tüm ücretsiz Outlook.com, Xbox, Skype ve diğer tüketici hizmetleri de geniş çaplı doğrulama opsiyonları içeriyor. Microsoft’un iş ve kurumsal hizmetleri ile kullanılan Azure Active de Microsoft 365 ve Office 365 dahil olmak üzere birçok doğrulama opsiyonuna sahip.

2FA; Facebook, Twitter, Instagram ve diğer sosyal medya platformlarında da her zaman kullanılabilir şekilde. Aynı zamanda birçok çevrimiçi depolama hizmeti, alan adı tescilleri, web hosting şirketleri de 2FA kullanıyor.

Eğer hangi spesifik hizmeti kullanacağınız konusunda aklınız karışırsa, açık kaynak bilgi deposu “Two Factor Auth List.” kullanabilirsiniz. Ek olarak, eğer yüksek değerli bir hizmet 2FA içermiyorsa, o noktada güvenlik açısından bir diğer hizmete geçiş yapmayı düşünmeniz önerilir.

İlk önce hangi hizmetleri koruma altına almalıyım? 

Muhtemelen iki adımlı doğrulama destekleyen onlarca çevrimiçi hizmette hesap bilgileri bulunduruyorsunuz. Bu sebeple bir öncelik listesi çıkarmak mantıklı olabilir.

– Şifre/kimlik yöneticileri: Kullandığınız her hizmet için güçlü ve benzersiz bir şifreye sahip olduğunuzdan emin olmak için bir şifre yöneticisi kullanmanız en iyi seçenek. Ancak bu şekilde tek bir saldırı noktası da oluşmuş oluyor. 2FA kullanılması da potansiyel zayıflığı güçlendiriyor. Bazı şifre yönetim yazılımları için 2FA desteğinin ödemeli bir hizmet olduğuna da dikkat çekelim.

– Microsoft ve Google hesapları: Eğer her iki şirkete ait hesaplar kullanıyorsanız, 2FA desteği eklemeniz kritik önem taşıyor. İyi tarafı, bu adımın çok kolay olması.

– E-posta hesapları: Eğer kötü amaçlı birisi e-posta hesabınızı ele geçirirse, bu dijital hayatınız açısından hiç iyi olmaz. Sebebi, e-postaların hesap şifrelerini sıfırlamak için belli bilgilerin gönderilmesinde kullanılması. Dahası, ele geçirilecek bilgiler ile meslektaşlarınıza veya arkadaşlarınıza kötü amaçlı eklentiler içeren e-postalar gönderilebilir. Eğer Outlook.com, Exchange Online, Gmail veya G Suite kullanıyorsanız e-posta hesabınız Microsoft veya Google hesabınızla bağlantılı kimlik doğrulama yöntemini kullanıyordur. Eğer farklı bir e-posta hesabı kullanıyorsanız, ayrı olarak 2FA opsiyonunu ayarlamanız gerekir.

– Sosyal medya hesapları: E-posta için geçerli olduğu gibi bir sosyal medya hesabının güvenliğinin ihlal edilmesi, aileniz ve yakınlarınıza karşı siber saldırı riskini ciddi ölçüde artırır. Sosyal medyada çok az paylaşım yapan biri bile olmanız, bağlantılarınızın güvenliği açısından bir anlam taşımaz.

– Bankalar ve finansal kurumlar: Birçok banka ve kredi kartı şirketi arka-uç dolandırıcılık tespit programları aşamasında önemli atılımlar yaptılar. Bu sebeple, 2FA diğer kategorilere kıyasla daha kısıtlı kalıyor. Yine de bu seçenekleri keşfetmek ve olabildiğince sıkılaştırmak önem taşıyor.

– Alışveriş ve e-ticaret: Kredi kartı bilgilerinizin yer aldığı her türlü sayfada güvenlik seviyesini artırmanız gerekli.

Peki iki adımlı doğrulama nasıl ayarlanıyor, mevcut 2FA hesabı başka bir mobil telefona nasıl aktarılır? Yanıtları için buraya tıklayarak yazının ikinci bölümüne geçiniz…