İki Adımlı Doğrulama Nedir? Nasıl Etkinleştirilir? Gereklimidir?

İki adımlı doğrulama (ya da “2FA“), iki farklı doğrulama yönteminin kombinasyonunu gerektirerek, bir servis sağlayıcısının kullanıcının kimliğini tanımlama işlemidir. Bu kombinasyon kullanıcının bildiği bir şeyden (bir şifre ya da PIN kodu gibi), kullanıcının sahip olduğu bir şeyden (anahtarlık ya da cep telefonu gibi) ya da kullanıcıya bağlı veya kullanıcıdan ayrılamayacak bir şeyden (parmak izi gibi) oluşabilir.

Hayatınızın diğer alanlarında muhtemelen iki adımlı doğrulamayı kullanıyorsunuz. Bir ATM kullanarak para çektiğinizde, hem fiziksel banka kartına (sahip olduğunuz bir şey), hem de bir PIN koduna (bildiğiniz bir şey) sahip olmalısınız. Ancak şu anda birçok online servis kullanıcılarının kimliklerini doğrulamak için bir adımlı doğrulamayı kullanıyor — yani tek bir şifre.

353_290220161921_660763201

2FA(İki Adımlı Doğrulama) Online Olarak Nasıl Çalışıyor?

Geçtiğimiz birkaç sene içinde, aralarında Facebook, Google ve Twitter’ın da bulunduğu birkaç online servis, sadece şifre ile doğrulama yapmanın yanında 2FA alternatifini de kullanıcılarına sundu. Bu özellik etkinleştirildiğinde, sistem kullanıcılardan hem şifrelerini, hem de ikincil doğrulama yöntemlerinden birini sağlamalarını ister — bu da tipik olarak SMS aracılığıyla gönderilen bir seferlik bir kod ya da Google Authenticator, Duo Mobile, Facebook uygulaması ya da Clef gibi bir sır saklayan ve sırf bu fonksiyon için yazılmış bir mobil uygulamadır. Her iki durumda da, ikinci adım (ya da faktör) kullanıcının cep telefonudur, yani kullanıcının (normalde) sahip olduğu bir şey. Google dahil olmak üzere bazı web siteleri, ek yedek olması amacıyla indirilebilecek ve kağıda yazılabilecek yedek kodları da ayrıca desteklemektedir. Kullanıcı 2FA kullanmayı tercih ettiğinde, hesabına erişmek için hesabının şifresini ve telefonundan aldığı tek seferlik kodu girmek zorundadır.

2FA’i (İki Adımlı Doğrulama) Neden Kullanmalıyım(yız)?

2FA, kimliğinizi doğrulamanız için birden fazla yöntem gerektirdiği için çok daha iyi bir hesap güvenliği sunar. Yani bir kişi şifrenizi ele geçirse bile, o kişi cep telefonunuzu ya da diğer ikincil doğrulama yöntemlerinden birini elde etmeden hesabınıza erişemez.

2FA (İki Adımlı Doğrulama) Kullanmanın Dezavantajları Var Mı?

2FA her ne kadar daha güvenli bir doğrulama sağlasa da, kullanıcı telefonunu yanlış bir yere koyarsa ya da kaybederse, SIM kartını değiştirse ya da dolaşımın (roaming) olmadığı bir ülkeyi ziyaret ederse, kullanıcının hesabına erişememesi riski vardır.

Birçok 2FA servisi “yedekleme” veya “kurtarma” kısa listesi hizmetini sunar. Bunlar hesabınıza her daim erişmenizi sağlayacak kodlardır. Eğer telefonunuza ya da başka bir doğrulama cihazınıza olan erişiminizi kaybetmekten korkuyorsanız, bu kodları yazdırıp yanınızda taşımanız yararınıza olacaktır. Tek bir kopyasını çıkartıp yanında taşıdığınız sürece, bunlar “sahip olduğunuz bir şey” olarak çalışmaya devam edecektir. Bu kodları güvende tutarken çok dikkatli olduğunuzdan ve kodları kimsenin görmediğinden emin olun.

SMS mesajlarını kullanan 2FA sistemleriyle ilgili bir başka problem de SMS mesajlaşmasının güvenli olmamasıdır. Telefon ağına erişimi olan sofistike bir saldırganın (bir istihbarat örgütü ya da örgütlü suç operasyonu gibi) bu ağı dinlemesi ve SMS’le gönderilen kodları kullanması imkan dahilindedir. Aramaları ve metin mesajlarını kendi numarasına yönlendirmeyi ya da telefona ihtiyaç olmadan bir telefona gönderilen metin mesajlarını gösteren telefon şirketi servislerine erişmeyi başarmış daha az sofistike (sıradan bir birey gibi) saldırganların olduğu da görülmüştür.

Bu seviyedeki saldırılardan endişe duyuyorsanız, SMS doğrulamasını kapatın ve yalnızca Google Authenticator ya da Authy gibi doğrulama yapmayı sağlayan uygulamaları kullanın. Maalesef bu özellik 2FA destekleyen her servis tarafından desteklenmemektedir.

Ek olarak, 2FA bir servise rahat olduğunuzdan daha fazla bilgi verme anlamına gelebilir. Diyelim ki bir Twitter kullanıcısısınız ve servise bir takma isim kullanarak kaydoldunuz. Twitter’a sizi tanımlayacak bilgileri vermemekte titiz davransanız bile ve servise sadece Tor ya da VPN kullanarak bağlanmış olsanız bile, SMS kullanarak 2FA’i etkinleştirdiğinizde Twitter mecburen telefon numaranızın kaydına sahip olacaktır. Bu, mahkeme tarafından mecbur bırakıldığı durumda Twitter’ın hesabınız ve telefon numaranızı ilişkilendirebileceği anlamına gelir. Twitter gibi bir servisi yasal isminizle kullanıyorsanız bu sizin için bir sorun teşkil etmeyebilir ancak anonimliğinizi korumak sizin için önemliyse, 2 adımlı SMS doğrulamasını kullanırken iki kez düşünmek isteyebilirsiniz.

Son olarak, yapılan araştırmalar ikinci adımın onları güvende tuttuğunu düşünen bazı kullanıcıların 2FA kullanmaya başladıktan sonra daha zayıf şifreler seçtiğini göstermiştir. 2FA kullanmaya başladıktan sonra bile güvenli şifreler kullandığınızdan emin olun.

2fa

2FA’i (İki Adımlı Doğrulama) Nasıl Aktifleştirebilirim?

Bu kullanılan terminoloji gibi platformdan platforma değişen bir şeydir. Bu işlem için Facebookgiriş onayları”, Twittergiriş onaylaması“, Google ise 2-adımlı doğrulama ismini kullanır. Birçok platformda 2FA’i aktifleştirmek için sadece SMS alma özelliğine sahip bir cep telefonuna ihtiyacınız vardır.

2FA desteğine sahip sitelerin geniş bir listesini https://twofactorauth.org/ adresinden edinebilirsiniz. Şifrelerin çalınmasına karşı daha iyi bir koruma istiyorsanız, bu listeye göz atmalı ve bel bağladığınız tüm internet hesapları için 2FA özelliğini aktifleştirmelisiniz.

Kaynakça : https://ssd.eff.org

Advertisements

2 thoughts on “İki Adımlı Doğrulama Nedir? Nasıl Etkinleştirilir? Gereklimidir?

  1. I was researching content for our social media strategy and came across your fantastic blog. After reading some of your blog posts, I wanted to reach out and make an introduction. My name is Elizabeth Britton, and I’m a Marketing Coordinator with Syncfusion. Your blog reflects your great knowledge of coding and the tech world. Please let me know if you have any great posts you would possibly want mentioned in our social media content. Keep up the great work on your blog!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s