İki ya da Çok Faktörlü Kimlik Doğrulama ve Siber Güvenlik

İkinci bir görüş almak tıp biliminde olduğu gibi siber güvenlikte de harika bir fikirdir. Bir anlamda bu çıkış noktası benzer olan İki faktörlü kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulama (MFA), son kullanıcı cihazlarını ve internet tabanlı hizmetleri içeren her türlü siber saldırıya karşı mücadelede kullanıcıların ellerini kolaylaştıran araçlardır.

Bu konudaki en yaygın kullanıcı kaynaklı sorun ise, metin mesajlarının maalesef yaygın bir şekilde ikinci faktör olarak kullanılması. Bu senaryosu kötü yazılmış bir rol misali telefon numaralarını dijital kimlik cihazlarına dönüştürür. Birisi akıllı telefonunu kaybederse veya çaldırırsa kimlik doğrulamaya erişimini de kaybeder. Daha da kötüsü, saldırgan telefon numarasını artık kimlik doğrulama isteklerini alacak olan başka bir kişiye de aktarabilir. Bu yazıda 2FA ve MFA ile ilgili yaygın olarak karşımıza çıkan bu güvenlik sorunu nasıl aşılabilir, göz atacağız.

İki faktörlü ve çok faktörlü kimlik doğrulama nasıl çalışır?

Bu önlemlerin her ikisi de birden fazla “kimlik doğrulama faktörü” kullanarak çalışır. Bu faktör gibi kullanıcının bildiği ya da parmak izi gibi sahip olduğu bir şey olabilir.

En yaygın kombinasyonlardan biri, bir kullanıcı adı ve şifre (kullanıcının bildiği bir şey) artı metin mesajı yoluyla kullanıcının akıllı telefonuna ilettiği (kullanıcının sahip olduğu bir şey) bir mesaj, bağlantı ya da koddur.

Ama başka alternatifler de var.  Kimlik doğrulama faktörleri bir pin kodu, bir kişisel bilgi öğesi (örneğin annenin kızlık soyadı) ve yüzünüz de olabilir.

Gerçek hayatta çok faktörlü kimlik doğrulama

Şu gibi durumlar günde milyonlarca kez yaşanır… Bir kullanıcı parolayı unutur veya değiştirmeyi seçer ya da farklı konumdan bir web sitesini ziyaret eder. Böylece site, kullanıcının telefonuna kısa mesaj yoluyla bir kod, bağlantı veya şifre gönderir. Bununla ilgili sorun, yalnızca orijinal kullanıcının metinle eşleştirilmiş telefon numarasına erişebileceğini varsaymasıdır. Ve bu kötü bir varsayımdır.

Geçmişte, insanlar imzalarının orijinalinin yalnızca kendileri tarafından atılabileceğini varsayıyordu. Bu oldukça yaygın bir varsayımdı. Yalnızca gerçek bir kullanıcının kayıtlı yüze veya parmak izine sahip olabileceğini varsaydığımızda, bu da oldukça iyi bir varsayımdır. Ama bir telefon numarasına sahip olmak? Çok da değil.

Tehdit aktörlerinin, kablosuz internet sağlayıcıların web sitelerindeki telefon numaralarının bir zamanlar kullanılmış, ancak kapatılan telefon numaraları olduğunu anlayabildiği ortaya çıktı.
Bu telefon numaralarına sahip olan siber korsanlar dark web‘de satış için sızdırılmış oturum açma kimlik bilgileriyle bu verileri eşleştirebilirler.
Telefon numaralarına erişerek, şifreleri sıfırlayarak (yeni telefon numaralarıyla onaylanan) hesapları ele geçirebilirler.

Telefon numaralarıyla ilgili sorun

ABD-Princeton Üniversitesi araştırmacıları, 259 telefon numarasını kullanarak bu durumu test etti. Bunların 171’inin çeşitli web sitelerindeki cari hesaplarla eşleştiğini ve 100’ünün web’de sızdırılmış kimlik bilgileriyle eşleştiğini buldular.

İlginç bir şekilde araştırmacılar, telefon şirketlerinin ardışık sayı blokları halinde yeni numaralar sunduğunu fark ettiler. Araştırmacılara göre, saldırganlar bu tür sayıların keşfini otomatikleştirebilir.

Araştırmacılar ayrıca 200 yeniden alınmış telefon numarasını da izlediler. Bir hafta içinde, yaklaşık %10’unun önceki sahiplere yönelik gizlilik veya güvenlikle ilgili mesajlar aldığını gördüler.

Princeton’ın araştırması, doğrudan bir telefon numarasına dayanan 2FA ve MFA siber güvenliğindeki boşluklara işaret ediyor.

Ayrıca TwoFactorAuth.org adlı bir projenin yaptığı çalışma, katılımcıların yaklaşık üçte birinin (%30) kısa mesaj yoluyla 2FA kullandığını buldu…

Okuma Önerisi: Evcil Dostunuzun İsmini Parola Olarak Belirlemeden Önce Bir Daha Düşünün!

Mesajlaşmanın ötesinde

Metin tabanlı kimlik doğrulama yalnızca birinin numarası değiştiğinde başarısız olmaz. Saldırganlar, telefon numaralarını bir siber suçlunun SIM kartına (SIM takas olarak adlandırılır) aktarmaları için telefon şirketi çalışanlarını kandırabilir, şantaj yapabilir veya rüşvet verebilir. Metin tabanlı kodlar, kimlik avı araçları aracılığıyla da kullanılabilir.

Sonuç olarak, telefon numaralarının birden fazla kişiye atanabilmesi ciddi bir risktir. Saldırganlar (veya sürpriz kazalar) telefonları sahiplerinden ayırabilir. Metinleri engelleyebilir veya başka bir şekilde mesajlaşmaya girebilirler.

MFA’nın parola öğesi hakkında

Çok faktörlü kimlik doğrulama için kullanılabilecek tüm faktörlerin açık ara en yaygın olanı 1) kullanıcı adı/şifre; ve 2) metinler.

Mesajlaşma ve akıllı telefonların güvensiz yöntemler olması yeterince kötü, ancak kullanıcı adları ve şifreler de öyle. Çok fazla kullanıcı, birden fazla site için yeniden kullandıkları zayıf parolaları tercih ediyor ve tehdit aktörleri de bunlardan çok fazlasını çalıyor ya da bunları diğer siber suçlular için dark web’de kullanıma sunuyor. En nihayetinde ise 2FA güvenliğini ve MFA’yı iyileştirecek olan güçlü parolaları ve parola yöneticilerinin kullanımını zorunlu kılmaktır.

Okuma Önerisi: NFT’ler Ne Kadar Güvenli? Satın Almadan Önce Bilinmesi Gerekenler