ABD'nin kendi ulusal Siber Güvenlik ve Altyapı Güvenlik Ajansı'na (CISA) göre, ABD'deki bir numaralı siber suç türü "sahtekarlık" olup, her 5 kişiden 1'i bir olaydan sonra maddi kayıp yaşadığını bildiriyor. Açıkça söylemek gerekirse, sahtekarlık dolandırıcılığı esasen kötü niyetli bir çevrimiçi aktörün, kurbanının kimliğini çaldığı veya ele geçirdiği ve daha sonra kendisinden (veya bağlı bir kuruluştan) gasp etme umuduyla kullandığı bir durumdur. Ayrıca, e-posta adresleri genellikle çevrimiçi ortamdaki çoğu kişisel bilgi türünü (sosyal medya hesaplarından oyun sunucularına ve kişisel alışveriş sepetlerine kadar) açığa çıkarmanın anahtarı olduğundan, siber suçlular genellikle önce kişisel (veya iş) e-postanızı hacklemeye ve çalmaya çalışırlar.

İşte bu nedenle, son yıllarda dünya çapındaki siber güvenlik uzmanları, hem işletmelere hem de kişisel kullanıcılara e-posta hesaplarında (ve mümkün olan her yerde) çok faktörlü kimlik doğrulama protokollerini uygulamalarını öneriyor. Aynı şekilde, işletmelere ve bireysel kullanıcılara, sahte sunuculardan gelen kimlik avı mesajlarından korunmak için güçlü e-posta kimlik doğrulama/doğrulama politikalarına sahip e-posta istemcilerini kullanmaları tavsiye edildi. Siz veya işletmenizin çok faktörlü kimlik doğrulama protokollerini veya güvenli e-posta doğrulama politikalarını kullanmadığı konusunda endişeleriniz varsa, her ikisi hakkında daha fazla bilgi edinmek için okumaya devam edin.

Çok Faktörlü Kimlik Doğrulama Nedir?

Bazen kısaca MFA olarak da adlandırılan çok faktörlü kimlik doğrulama, bir kullanıcıya belirli bir sisteme erişim izni verilmeden önce birden fazla güvenlik seviyesinin kontrol edilmesini sağlayan bir siber güvenlik uygulamasıdır. E-posta hesabı söz konusu olduğunda, kullanıcılardan aşağıdakilerden birini veya birkaçını girmeleri istenebilir: ek bir parola, güvenli bir SMS'ten gelen bir kod veya önceden belirlenmiş bir güvenlik sorusunun yanıtı. MFA, esas olarak bilgisayar korsanlarının ve diğer kötü niyetli çevrimiçi aktörlerin çalıntı kimlik bilgileriyle çevrimiçi hesaplara erişmesini engellemek için kullanılır.

Çok faktörlü kimlik doğrulamanın diğer türleri şunlardır:

• Sesli Mesajlar: Cep telefonunuza yapılan, içinde bir şifre veya tek kullanımlık kod bulunan güvenli ve otomatik bir aramadır.
• Anlık Bildirimler (numara eşleştirmeli veya eşleştirmesiz): Numara eşleşmesi olmayan anlık bildirimler genellikle mobil veya tablet cihazınızda etkileşim gerektiren bir bildirim biçimini alır; örneğin, kimlik doğrulama isteğini onaylamak için kullanıcıdan bildirimdeki sayıları çevrimiçi bir uygulamaya girmesini ister.
• Tek Kullanımlık Şifre (OTP): OTP'ler, ikincil bir e-postaya, cep telefonuna veya tablete güvenli bir şekilde benzersiz ve tek kullanımlık bir şifre gönderen, token tabanlı bir sistemdir. Bunlar genellikle e-posta istemciniz veya sağlayıcınız tarafından işletilir ve kullanıcının belirli bir zaman diliminde tek seferlik bir parola girmesini gerektirir. Bunlar ayrıca belirli güvenli donanım biçimleri tarafından da üretilebilir ve genellikle dört ila on iki rakamdan oluşur.
• Açık Anahtar Altyapısı (PKI): Bunlar, dijital sertifikalar kullanarak verileri şifrelemek, değiştirmek ve doğrulamak için iki anahtarlı asimetrik bir kripto sistemi kullanan temel donanım ve yazılım kümeleridir.
• Hızlı Çevrimiçi Kimlik (FIDO): Bir FIDO kimlik doğrulayıcısı kullanarak kullanıcılar, parmak izi okuyucu, ikinci faktörlü bir cihazdaki bir düğme, güvenli bir şekilde girilmiş bir PIN (genellikle harici bir cihazda), ses tanıma, retina tanıma veya yüz tanıma yazılımı gibi teknolojiler aracılığıyla bir sisteme erişim sağlar.

E-postalarınızda Neden Çok Faktörlü Kimlik Doğrulamayı Kullanmalısınız?

Siber suçlular son on yılda şifrelerinizi hacklemek için giderek daha karmaşık yollar geliştirdiler; bu da şifrelerin (ne kadar güçlü olursa olsunlar) hızla yetersiz kaldığı anlamına geliyor. Sisteminizde çok faktörlü kimlik doğrulaması yoksa, güçlü bir parola (özel karakterler, sayılar, büyük ve küçük harflerden oluşan 10-12 karakter uzunluğunda bir parola) kullanmanızı, asla bir parola dizesini tekrar kullanmamanızı ve tüm benzersiz parolalarınızı yerel makinenizde veya çevrimiçi olarak saklanan parolalarınızı şifreleyen bir Parola Yöneticisi veya Kasa'da saklamanızı öneririz. Yani sisteminizde bir ihlal meydana gelse bile, parolalarınız bilgisayar korsanları ve diğer kötü niyetli çevrimiçi aktörler için anlaşılamaz olacaktır.

Ayrıca, çok faktörlü kimlik doğrulama, doğrulama işlemlerinin çoğunlukla ayrı bir cihazda gerçekleşmesi nedeniyle kaba kuvvet saldırısı olasılığını azaltır; bu da bilgisayar korsanının kişisel bilgilerinize erişmeden önce birden fazla cihaza erişim sağlaması gerektiği anlamına gelir. Veri ihlallerinin yaklaşık %50 ila %60'ının doğrudan çalınan oturum açma bilgilerinden kaynaklandığı göz önüne alındığında, çok faktörlü kimlik doğrulama, sisteminizi savunmanın ve işletmenizin gelişen uyumluluk standartlarını karşılamasını sağlamanın en iyi yollarından biridir.

Çok Faktörlü Kimlik Doğrulama Nasıl Uygulanır?

Günümüzün birçok modern yazılım portalında ve e-posta istemcisinde, çok faktörlü kimlik doğrulama ya standart olarak açıktır ya da ilgili arayüzün güvenlik tercihlerinde basit bir ayar değişikliği gerektirir.

MFA'nın çok temel bir uygulaması, onu sisteminizdeki yöneticiler ve ayrıcalıklı kullanıcılar üzerinde kullanmaktır. Ancak, MFA daha geniş bir ölçekte dağıtılmalı ve işletmenizin (veya ailenizin) tüm üyeleri tarafından, şirket içinde veya yurt dışında kullandıkları tüm donanım veya yazılımlar dahil olmak üzere kullanılmalıdır. Etkili bir MFA uygulaması üç doğrulama bileşenini içermelidir:

1. Kullanıcının bir şeyi: Bu, parmak izi veya yüz tanıma yazılımı gibi bir tür biyometrik güvenlik protokolüdür.
2. Kullanıcının sahip olduğu bir şey: Bu genellikle bir cep telefonuna veya tablete gönderilen bir SMS veya bildirimdeki OTP'dir.
3. Kullanıcının bildiği bir şey: Bu, yalnızca kullanıcının bilebileceği parolaları, parola ifadelerini ve kişisel sorulara verilen akılda kalıcı yanıtları kapsar. Buradaki temel sorun, yukarıdakilerin hiçbirinin kolayca tahmin edilebilir olmaması veya halihazırda internette (örneğin sosyal medyada) bulunan herhangi bir bilgiden çıkarılamamasıdır. İyi ve akılda kalıcı bir cevap ve parola cümlesinin nelerden oluştuğu hakkında daha fazla bilgi edinmek için parola cümleleri hakkındaki makalemizi burada okuyabilirsiniz.

2FA veya İki Faktörlü Kimlik Doğrulama Nedir?

Bazen 2FA, iki adımlı doğrulama veya çift faktörlü kimlik doğrulama olarak da adlandırılan İki Faktörlü Kimlik Doğrulama, bir kullanıcının istediği sisteme erişebilmesi için iki tür doğrulama prosedürü gerektiren çok faktörlü kimlik doğrulamanın bir biçimidir.

E-posta Kimlik Doğrulaması Nedir?

E-posta doğrulaması olarak da bilinen e-posta kimlik doğrulaması, sahte göndericilerden, yani kimlik sahtekarlığından gönderilen e-postaları durdurmayı amaçlayan bir standartlar grubudur. En popüler ve en güvenli e-posta istemcileri, gelen e-postaları doğrulamak için genellikle üç farklı standart kümesini kullanır: SPF (Gönderen Politika Çerçevesi), DKIM (Etki Alanı Anahtarlarıyla Tanımlanmış Posta) ve DMARC (Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk). Bu standartlar, @domain.com adresinden gelen mesajın gerçekten belirtilen alan adından gelip gelmediğini kontrol eder.

Daha açık olmak gerekirse, DMARC "Kimden" adresinin gerçekten meşru olduğunu ve doğru bir şekilde görüntülendiğini doğrulamak için kullanılır, SPF alanınızdan e-posta göndermesine izin verilen sunucuları belirtir ve DKIM, alıcı posta sunucularının göndereni daha kolay doğrulayabilmesi için e-postalara dijital imza ekler.

Sonuç olarak, bu standartlar e-posta istemcilerinin dolandırıcılardan gelen spam ve kimlik avı e-postalarını daha kolay filtrelemesine ve engellemesine olanak tanır. Ancak bu standartlar isteğe bağlı olduğundan, daha küçük e-posta istemcileri bunları uygulamaz ve bu da çok sayıda sahtecilik ve çevrimiçi dolandırıcılık olayına yol açar.

E-posta Kimlik Doğrulaması Nasıl Uygulanır?

En popüler e-posta istemcilerinin birçoğunda SPF, DKIM ve DMARC standartları yazılımlarının normal bir parçası olarak zaten uygulanmıştır. Bunları istemcinizde manuel olarak ayarlamanız gerekiyorsa, üç standardın tümü için ek DNS kayıtlarını düzenlemeniz ve eklemeniz gerekecektir. Neyse ki, bu karmaşık bir işlem olabilir ve bilgisayar konusunda yüksek düzeyde bilgi sahibi olan biri veya bu işe kendini adamış bir BT uzmanı tarafından gerçekleştirilmelidir.

İster işletmeniz ister kişisel sisteminiz için ekstra bir güvenlik katmanı istiyorsanız, Kaspersky'nin VPN bağlantı yazılımını kullanmanızı öneririz. VPN'ler, şifrelenmiş bir dijital tünel aracılığıyla şirketinizin varlıklarına ve sunucularına uzaktan bağlanmanıza olanak tanır. Bu tünel, hareket halindeyken sisteminizi halka açık Wi-Fi ve güvenli olmayan internet bağlantılarının potansiyel tehlikelerinden korur. VPN'lerin nasıl çalıştığı hakkında daha fazla bilgi edinmek isterseniz, ilgili makalemizi okuyun .

Çok faktörlü kimlik doğrulama yöntemleri, kişisel veya profesyonel sistemlerinizi kötü niyetli kişilerin ve diğer çevrimiçi tehditlerin ihlallerine karşı savunmanın en iyi yollarından biri olmasına rağmen %100 güvenli değildir. Sürekli gelişen siber suç dünyasına karşı en iyi savunmayı sunan, kapsamlı ve ödüllü bir siber güvenlik sistemi (uzaktan yardım, mevcut tehditlerin kaldırılması ve 7/24 destek ile) için bugün Kaspersky Premium deneyin.

İlgili makaleler:

• Parola Yöneticisi nedir ve güvenli midir?
• Sahtecilik Nedir ve Nasıl Önlenir?
• IP Sahteciliği ve Sahtecilik Saldırıları
• VPN Nedir ve Nasıl Çalışır?
• Spam E-postalar Nasıl Durdurulur?
• E-posta Şifreleme ve E-postaların Nasıl Şifreleneceği

Önerilen ürünler:

• Kaspersky Premium Antivirüs Yazılımı
• Kaspersky Premium Antivirus - 30 gün boyunca ücretsiz deneme sürümünü indirin
• Kaspersky VPN Secure Connection
• Kaspersky Password Manager