İki faktörlü kimlik doğrulama türleri: artıları ve eksileri

Son gönderimizde, iki faktörlü kimlik doğrulamanın ne olduğunu ve buna neden ihtiyacınız olduğunu ele almıştık. Özetle, iki faktörlü kimlik doğrulama, temelde iki farklı kimlik doğrulama yöntemine dayalı bir erişim doğrulama mekanizmasıdır.

Kullanıcılar, hesaplarının daha güvenilir bir şekilde korunması için iki faktörlü kimlik doğrulamaya ihtiyaç duyar: Her bir kimlik doğrulama yöntemi tek başına savunmasız olabilse de, iki (veya daha fazlasının) birlikte kullanılması hesabın ele geçirilmesini çok daha zorlaştırır.

Bu yazıda, mevcut çok faktörlü kimlik doğrulama seçeneklerini ele alacağım, size her birinin artılarını ve eksilerini anlatacağım ve hesaplarınızı güvende tutmanız için en güvenli olanları önereceğim.

SMS, e-posta veya sesli arama yoluyla gönderilen tek seferlik kodlar

Oturum açma doğrulaması için en yaygın iki faktörlü kimlik doğrulama mekanizmalarından biri, tek seferlik kodlardır. Bunlar genellikle kayıt sırasında belirtilen telefon numarasına kısa mesaj olarak gönderilir. Bunun için e-posta da kullanılabilir, ancak daha az popüler bir yöntemdir. Daha büyük hizmetler sunan şirketler genellikle kayıt sırasında belirtilen telefon numarasına sesli arama seçeneği de sunar.

Kullanılan dağıtım kanalı ne olursa olsun ana fikir aynıdır: hizmete kaydolurken belirttiğiniz başka bir hesaba veya telefon numarasına erişebildiğinizi doğrulamak. Bu nedenle, birisi telefonunuza erişimi olmadığı halde şifrenizi çalarsa, bu koruma gayet iyi çalışacaktır.

En yaygın iki faktörlü kimlik doğrulama seçeneği kısa mesajla gönderilen tek seferlik koddur.

Ancak bu iki faktörlü kimlik doğrulama mekanizmasının dezavantajları da vardır. Oturum açmayı onaylamak için e-posta kullanılıyorsa ve oturum açmak için kullandığınız parola, korumaya çalıştığınız hesabınkiyle aynıysa, elde edeceğiniz ekstra güvenlik çok sınırlı olur. Hesabın parolasını bilen bir saldırganın, bu parolayı e-postanızda da oturum açmak için deneyeceğinden ve böylece tek seferlik doğrulama kodunu alabileceğinden emin olabilirsiniz.

İster SMS ister sesli arama yoluyla olsun, telefon numarası üzerinden doğrulama farklı bir sorun yaratır: telefonun sahibi telefona erişimini kaybedilebilir. Bazen kullanıcılar telefon hesaplarına para yüklemeyi unuturlar veya telefonlarını kaybederler ya da numaralarını değiştirirler.

Suçluların, telekom operatörlerini kendilerine kurbanın telefon numarasını içeren bir SIM kart vermeye ikna etmeleri ve böylece doğrulama kodlarına erişmeleri de alışılmadık bir durum değildir. Ayrıca, metin mesajları ele geçirilebilir — bu tür vakalar çokça rapor edilmiştir.

Özet: Bu iki faktörlü kimlik doğrulama seçeneği işinizi görür, ancak en önemli hesapları — özellikle de finansla ilgili olanları — korumak için daha güvenilir bir yöntem kullanmak daha mantıklı olacaktır.

İkinci faktör olarak şifre

Bazen şifre birinci değil ikinci faktördür. Bu, mesajlaşma uygulamalarının sıklıkla yaptığı şeydir: oturum açmak için, varsayılan olarak, SMS ile iletilen tek seferlik kodu girmek yeterlidir. Parola genellikle isteğe bağlıdır. Bana sorarsanız isteğe bağlı olsa da aslında gereklidir. Tek seferde bir sürü olası soruna karşı sizi koruyacaktır.

En önemlisi, yazışmalarınızı, WhatsApp veya Telegram’a kaydolmak için kullandığınız telefon numarasına erişiminizi yanlışlıkla kaybetmeye karşı koruyacaktır. Kullandığınız asıl telefon numaranızı değiştirdiğinizi, eski SIM kartınızı bir çekmeceye koyduğunuzu ve uzun süre ücretini ödemediğinizi varsayalım. Operatör bir süre sonra numaranızı yeniden satacak ve böylece yeni hat sahibinin mesajlaşma uygulamasında sizin adınıza oturum açması mümkün olacaktır — tabii hesabınız ek olarak bir parola ile korunmadığı sürece.

Ve bu şifre kesinlikle o veya bu şekilde telefon numaranıza erişim kazanabilecek korsanlara karşı mesajlaşma hesabınıza en azından bir miktar koruma sağlayacaktır.

Tek seferlik kodların önceden oluşturulmuş bir listesi

Karşılaşabileceğiniz başka bir seçenek, önceden oluşturulmuş tek seferlik kodların bir listesidir. Bankalar bazen işlemlerini onaylamak için müşterilerine bu tür listeler verirken, bazı internet hizmetleri (Google gibi) hesap kurtarma için bunların kullanılmasına izin verir.

Bu güvenilir bir mekanizma olarak kabul edilebilir. Çünkü bu tür kodlar kullanıcıya son derece nadiren iletilir, bu nedenle müdahale için minimum oranda fırsat doğar. Kodlar rastgeledir, yani benzersizdirler. Bu yüzden onları tahmin etmek neredeyse imkansızdır.

Ancak depolama sorun oluşturur. Saldırganlar önceden oluşturulmuş kodlar listenizi çalmayı başarırsa, hesabınızı ele geçirmeleri veya hesabınızdan para çalmaları son derece kolay olacaktır.

Banka işlemlerinin doğrulanması için önceden oluşturulmuş tek seferlik kodlar listesi

Bu nedenle, tek seferlik onay kodları bir kasada veya elektronik muadilinde saklanmalıdır. Örneğin, [Kaspersky Password Manager placeholder] Kaspersky Password Manager[/Placeholder] içinde şifrelenmiş notlar vardır. Tek seferlik kodların listesini bu notlara kaydederseniz, Kaspersky Password Manager için güçlü ve özgün bir ana parola belirlemeniz halinde, güvenli bir şekilde korunurlar.

Bununla birlikte, bu kimlik doğrulama yönteminin ana sakıncası, sık sık doğrulamaya ihtiyacınız varsa, önceden oluşturulmuş kodlarınızın hızla tükenmesidir. Bu, daha fazla yeni parola oluşturup kaydetmeniz gerekeceği anlamına gelir. Birden fazla hesap yönetiyorsanız, tüm bu listeler kolayca kafanızı karıştırır. Bu nedenle, ana kimlik doğrulama yöntemi olarak önceden oluşturulmuş kodlar, tam da ihtiyaç duyduğunuz anda istek üzerine oluşturulan kodlarla değiştirilmiştir.

Bir kimlik doğrulama uygulamasından gelen tek seferlik kodlar

Tek seferlik kodların “anında” oluşturulması, doğrulayıcılar tarafından yapılır. Bunlar bazen geçerli kodu görüntüleyen küçük bir ekrana sahip bağımsız cihazlar olabilir — bazı bankalar müşterilerine bu tür kimlik doğrulayıcılar verir.

Ancak bu günlerde akıllı telefonlarda çalışan özel kimlik doğrulama uygulamalarının, bağımsız cihazlardan daha popüler olduğu söylenebilir. Bunlar hakkında da birkaç yazımız var:

• Kimlik doğrulayıcı uygulamaları ve nasıl çalıştıkları
• Android, iOS, Windows ve macOS için en iyi kimlik doğrulama uygulamaları
• Tek seferlik kodlarla kimlik doğrulama: artıları ve eksileri
• Kimlik doğrulama uygulaması yüklü telefonunuzu kaybederseniz ne yapmalısınız?

Eğer bu kimlik doğrulama yönteminin nasıl çalıştığı, bir kimlik doğrulama uygulamasının nasıl seçileceği ve kullandığınızda nelere dikkat etmeniz gerektiği hakkında bilgi arıyorsanız, yukarıdaki bağlantıları izleyin. Bu arada, kimlik doğrulayıcı uygulamaların rahatlık ve güvenlik arasında en uygun dengeyi sunduğunu ve bu noktanın da bu uygulamaları giderek daha popüler hale getirdiğini kısaca belirtmeliyim.

Google Authenticator: en tanınmış olsa da https://www.kaspersky.com.tr/blog/best-authenticator-apps-2022/10422/” target=”_blank”> sektördeki tek tanınmış kimlik doğrulama uygulaması değil

Biyometri: parmak izi, yüz veya ses

Kısa bir süre önce, çoğu insan için biyometrik kimlik doğrulama yeni bir şeydi. Ancak, işler oldukça hızlı bir şekilde değişti. Artık çoğu akıllı telefon, parmak izi veya yüz tanıma ile kimlik doğrulama yapabiliyor ve bu durum kimseyi şaşırtmıyor.

Ne var ki, bazı biyometri yöntemleri size sıra dışı gelebilir. Bunlara ses, iris, yürüme ve yazma alışkanlığı tabanlı kimlik doğrulama yöntemleri örnek verilebilir. En özgün olanlara gelince, koku tabanlı kimlik doğrulama araştırmasını hatırlayabiliriz (her ne kadar çok iyi çalışmasa da)!

Biyometrik kimlik doğrulamanın birkaç ciddi dezavantajı vardır. Birincisi: Dayandığı tüm özellikler, kullanıcının kalıcı özellikleridir. Güvenliği ihlal edilmiş bir parolayı değiştirebilirsiniz; hatta güvenlik nedeniyle bunu birkaç kez yapabilirsiniz. Ancak kayıtlı bir parmak izi yalnızca sınırlı sayıda değiştirilebilir — yapabileceğiniz denemeler tam anlamıyla iki elin parmaklarıyla sınırlıdır.

İkinci önemli konu, biyometrik verilerin son derece hassas olmasıdır — hem değiştirilemez oldukları hem de yalnızca bir kullanıcının kimliğinin doğrulanmasına değil, aynı zamanda bir kişinin kimliğinin tespit edilmesine de imkan verdikleri için. Bu nedenle, bu verilerin toplanması ve dijital hizmetlere aktarılması son derece dikkatli bir şekilde ele alınmalıdır.

Bu sebeple biyometrik veriler normalde yerel kimlik doğrulama için kullanılır, herhangi bir yere iletilmemesi için cihazda saklanır ve işlenir. Uzaktan biyometrik kimlik doğrulama için dijital hizmetin, normalde almak istemeyeceği bir risk alarak cihaz satıcısına güvenmesi gerekir. Net sonuç şudur: Yalnızca Apple, tam kapsamlı bir uzaktan biyometrik kimlik doğrulama mekanizmasına sahiptir. Çünkü şirket, yazılım geliştirmeden cihaz üretimine kadar tüm ekosistemin kontrolünü elinde tutmaktadır.

Parmak iziyle oturum açma bu günlerde yaygın bir uygulamadır

Ancak biyometrik kimlik doğrulamanın, tüm dezavantajlarını geçersiz kılan önemli bir avantajı vardır. Düzgün bir şekilde uygulanırsa, kullanıcıların hayatını çok daha basit hale getirir Çünkü artık yazmaya gerek yoktur — sadece parmağınızı sensöre bastırmanız veya yüzünüzü kameraya göstermeniz yeter. Ve yine, doğru bir şekilde uygulanırsa, oldukça güvenilirdir.

Konum

Bir başka kullanıcı kimlik doğrulama türü de konumdur. Bu yöntemi etkinleştirmeniz gerekmez, zaten varsayılan olarak açıktır. Bu nedenle genellikle fark edilmez ve yalnızca yabancılar hesabınıza giriş yapmaya çalışırken başarısız olduğunda, yani hizmetin beklemediği bir yerden oturum açma girişimi geldiğinde uyarı alınır. Bu durumda hizmet, ek bir doğrulama yöntemi kullanılmasını gerektirebilir.

Tabii ki konum, çok güvenilir bir kimlik doğrulama faktörü değildir. İlk olarak, benzersiz bir yöntem değildir. Herhangi bir zamanda birçok insan aynı yerde olabilir. İkincisi, manipüle edilmesi oldukça kolaydır. Özellikle IP tabanlı konumdan bahsediyorsak bu durum daha da fazla geçerlidir (doğru GPS konumunu belirleme değil). Ancak konum, kimlik doğrulama yöntemlerinden biri olarak kullanılabilir ve birçok hizmet bunu yapar.

Donanım anahtarları FIDO U2F (başka bir deyişle YubiKey)

Yukarıda açıklanan kimlik doğrulama seçeneklerinin önemli bir dezavantajı vardır: kullanıcının kimliğinin doğrulanmasına izin verirler, ancak hizmetin değil. Bu da onları MitM (ortadaki adam) saldırılarına karşı savunmasız kılar.

Saldırganlar, gerçek hizmetin oturum açma mekanizmasını yakından taklit eden sahte bir sayfa oluşturabilir. Kullanıcı oturum açma bilgilerini ve parolasını girdikten sonra, suçlular hemen bunları gerçek web sitesinde oturum açmak için kullanır. Doğrulama kodu, kullanıcıdan sağlaması istenen bir sonraki şey olacak ve hiç zaman kaybetmeksizin kurbanın hesabını ele geçirmek için kullanılacaktır.

Bu tür tehditlerle başa çıkmak için en popüler modeli YubiKey adıyla da bilinen FIDO U2F anahtarları oluşturulmuştur. Bu yöntemin ana avantajı, kayıt sırasında hizmetin ve U2F anahtarının, hem hizmet hem de her bir kullanıcıya özgü bazı bilgileri hatırlamasıdır. Daha sonra kimlik doğrulama sırasında hizmetin anahtara belirli bir istek göndermesi gerekir. Anahtar, yalnızca bu istek doğruysa yanıt verir.

Böylece bu iletişimin her iki tarafı da isteğin meşru olup olmadığını anlar. Ayrıca, bu kimlik doğrulama mekanizması açık anahtar kriptografisine dayanmaktadır. Bu nedenle tüm süreç sahtecilik, dinleme ve benzeri tehditlere karşı iyi korunmaktadır.

Bir çift FIDO U2F anahtarı örneği: Yubico YubiKey (solda) ve Google Titan (sağda)

FIDO U2F anahtarlarının önemli bir avantaj daha vardır. Arkalarında yatan teknoloji oldukça karmaşık olmasına ve sıkı bir kriptografi kullanmasına rağmen, yüzeyde, yani kullanıcının bakış açısından, her şey çok basit görünür. Anahtarı bir USB soketine takın (veya akıllı telefonunuzu tutun; bu tür anahtarlar genellikle NFC’yi destekler) ve kimlik doğrulamayı tamamlamak için parmağınızla anahtarın üzerindeki sensör pedine dokunun.

U2F donanım anahtarlarını kullanmak, günümüzde mevcut olan en güvenilir kimlik doğrulama yöntemidir ve önemli hesaplar için önerilen bir güvenlik seçeneğidir. Google’da yaptıkları da tam olarak budur. Tüm şirket çalışanları, beş yılı aşkın bir süredir kurumsal hesapları için bu tür anahtarları kullanmaktadır.

FIDO Parolaları, gelecekteki doğrulama adımlarının parolalar olmadan nasıl gerçekleştirileceğine dair bize ipucu verir

Kuruluşunuzdaki tüm çalışanların kimlik doğrulama için donanım anahtarları kullanmasını sağlamak kolay değildir, ancak yine de mümkündür. Yine de bu yöntem, milyonlarca normal internet kullanıcısı için pek uygun değildir. Sıradan insanlar, bırakın bazı özel donanımlar için para ödemeyi, yalnızca iki faktörlü kimlik doğrulama fikrinden bile rahatsız olurlar.

Bu nedenle, U2F anahtarlarının yaratıcısı olan FIDO Alliance, parolalar yerine “geçiş anahtarları” kullanan yeni bir kimlik doğrulama standardı geliştirmiştir. Bu teknoloji, basitçe anlatılacak olursa, kimlik doğrulama verilerini depolamak için herhangi bir özel cihaza ihtiyaç duymamanız dışında, U2F anahtarlarıyla hemen hemen aynıdır.

Parolaları temelde herhangi bir yerde saklayabilirsiniz — akıllı telefon, bilgisayar, tarayıcının kullanıcı profili veya daha da eski usul bir yöntem olan USB anahtarı. Benzersiz parola moduna geçtiğinizde, parolaları bulut aracılığıyla senkronize etmeyi veya hiç senkronize etmemeyi seçebilirsiniz.

Açıkçası, bu uzun depolama seçenekleri listesi, geçiş anahtarlarının güvenilirliğini belli bir miktar düşürür. Ne kadar düşürdüğü, hangi ekipman ve hizmet kombinasyonunu kullandığınıza bağlıdır.

Bu dezavantajın karşılığında kullanıcılar başka bir avantaj elde eder. Geçiş anahtarları hesap parolalarını tamamlamaz, onların yerine geçer. Bunun da ötesinde, bu tür bir kimlik doğrulama hala çok faktörlüdür. Geçiş anahtarlarınızı saklayacak bir cihaz kullanmanın yanı sıra, cihazınızın kilidini açmak için biyometri (cihazınız destekliyorsa) veya PIN kullanarak oturum açmayı doğrulamanız gerekir. Gördüğünüz gibi, bazı durumlarda parolaları tamamen ortadan kaldıramazsınız, ancak en azından geçiş anahtarları parola sayısını büyük ölçüde azaltır.

Bu girişimin temel sorunu, şimdiye kadar yama işi yorgandan hallice bir izlenim vermesidir. Farklı platformlar ve hizmetler, bir bütün olarak veri depolama, kullanıcı kimliği doğrulaması ve güvenlik için çok farklı yaklaşımlar kullanır. Bu nedenle, tek bir yöntem yerine, güvenilirlik açısından büyük farklılıklar gösteren birkaç farklı yöntem kullanılır.

Bu sebeple, geçiş anahtarlarına tamamen geçmek için hala biraz erken olduğu söylenebilir. Ancak bu anahtarları şimdiden deneyebilirsiniz. Bir süre önce Google, geçiş anahtarlarının Google hesapları tarafından tam olarak desteklendiğini duyurdu. Yani, artık ilgilenen herkes bu teknolojinin gerçek hayatta nasıl çalıştığını görebilir.

Hangi iki faktörlü kimlik doğrulama yöntemlerinin daha iyi olduğuyla ilgili son notlar ve hatırlanması gereken diğer konular

Sonuç olarak, kilit noktalar şunlardır:

• 2023’te iki faktörlü kimlik doğrulama artık bir lüks değil, hayati bir gerekliliktir. Mümkün olan her yerde kullanılmalıdır.
• Herhangi bir iki faktörlü kimlik doğrulama yöntemi, hiç bir kimlik koruma yöntemi olmamasından çok daha iyidir.
• Kimlik doğrulama uygulamaları, iki yönlü kimlik doğrulama için idealdir.
• Bir FIDO U2F donanım anahtarı — Yubico YubiKey, Google Titan veya diğerleri — bu iş için daha da iyi bir seçenektir. Özellikle önem derecesi yüksek hesaplar için.
• Geçiş anahtarlarını şimdiden deneyebilirsiniz, ancak bu teknolojiyi tamamen benimsemek için biraz erken görünüyor.
• Bu nedenle, parolaları dikkatli kullanmak hala hayati önem taşıyor. Karmaşık parolaları tercih edin, birden çok hizmet için aynı parolayı yeniden kullanmayın ve bir parola yöneticisi kullanarak parolalarınızı güvende tutun.
• Ve elbette, çoğu iki faktörlü kimlik doğrulama yönteminin (U2F ve geçiş anahtarları dışında) kimlik avına karşı savunmasız olduğunu unutmayın. Bu nedenle, Kaspersky Premium gibi bu tehdidi otomatik olarak ortadan kaldıran güvenilir bir çözüm kullanın.