İki faktörlü doğrulama nedir?

“İki faktörlü kimlik doğrulama (2FA) nedir?” sorusuna değinmeden önce, çevrimiçi hesap güvenliğinizi geliştirmek için elinizden gelen her şeyi yapmanın neden önemli olduğundan başlayalım. Dizüstü bilgisayarlar ve mobil cihazlar günlük hayatımızda giderek daha fazla yer edinmeye başladı. Bu sebeple, dijital varlıklarımız suçlular için giderek daha cazip hedefler haline geldi. Hükümetlere, şirketlere ve bireylere yönelik kötü niyetli saldırılar giderek daha da yaygınlaşıyor. Ayrıca bilgisayar korsanlarının (hakalır), veri ihlallerinin ve diğer siber suç türlerinin sayılarının azalacağına dair hiçbir işaret yok!

Neyse ki, şirketlerin genellikle 2FA olarak da bilinen iki faktörlü kimlik doğrulama kullanarak kullanıcı hesaplarının güvenliğini önemli ölçüde artırması pek de zor değil.

Siber suçlardaki artış, 2FA kullanılmasını gerektiriyor
Son yıllarda, kullanıcılarının kişisel verilerini çaldıran web sitelerinin sayısında büyük artış oldu. Siber suçlar daha karmaşık hale geldikçe, şirketler eski güvenlik sistemlerinin modern tehditler ve saldırılarla boy ölçüşemediğini fark ediyor. Bazen basit bir insan hatasının bedeli çok büyük olabilir. Bu olaylar sadece şirkete duyulan güveni sarsmakla kalmaz; küresel şirketler, küçük işletmeler, yeni kurulan şirketler ve hatta kâr amacı gütmeyen kuruluşlar da dahil olmak üzere her tür kuruluşu ciddi mali zarara uğratıp, itibarını zedeleyebilir.

Tüketiciler tarafından bakıldığında ise; kullandıkları şirketlerin haklanması (hacklenmesi) veya kimlik hırsızlıkları yıkıcı sonuçlar doğurabilir. Çalınan kimlik bilgileri, sahte kredi kartları üretmek ve kurbanların kredi notlarına zarar verebilecek alışverişleri finanse etmek için kullanılabilir.  Bazen bütün bir banka hesabı veya kripto cüzdanları bir gecede harcanabilir. 

Bu şartlar göz önünde bulundurulduğunda çevrimiçi sitelerin ve uygulamaların daha güçlü güvenlik önlemleri almaları gerekliliği kendiliğinden ortaya çıkıyor. Tüketiciler de mümkün olduğunca, kendilerini –sadece- parola kullanmaktan daha etkili yöntemlerle korumayı alışkanlık haline getirmeliler. Birçokları için bu ekstra güvenlik katmanı iki faktörlü kimlik doğrulamadır.

Parolaların işlevsiz hale gelmesi
Parolaların bilgisayarlarda ilk kullanımına 1961'de Massachusetts Teknoloji Enstitüsü’nde rastlıyoruz. Bilgisayarı kullanma haklarının eşit olduğundan emin olmak için MIT, tüm öğrencilerin güvenli bir parolayla giriş yapmalarını istedi. Çok geçmeden, öğrenciler sistemi hackleyebileceklerini, parolaları elde edebileceklerini ve daha fazla bilgisayar zamanı elde edebileceklerini keşfettiler.

Yine de, çok daha güvenli alternatifler olmasına rağmen, kullanıcı adları ve parolalar kullanıcı kimlik doğrulamasının en yaygın yöntemi olmaya devam ediyor. Genel kural, bir parolanın yalnızca sizin bildiğiniz ve başkaları tarafından tahmin edilmesi zor bir şey olmasıdır. Bir parolanın  olması hiç korumaya sahip olmamaktan daha iyidir ancak parolalar yine de çok etkin güvenlik önlemleri değildir. Bu durumun ana nedenleri şunlardır:

• İnsanların hafızaları kötüdür: Yakın tarihli bir rapor, 1.4 milyardan fazla çalınan parolayı inceledi ve çoğunun utanç verici derecede basit olduğunu buldu. En kötüleri arasında ‘111111’, ‘123456’, ‘123456789’, ‘qwerty’ ve ‘password’ sayılabilir. Bunları hatırlaması kolay olsa da herhangi bir bilgisayar korsanı, bu basit parolaları kısa sürede kırabilir.

• Çok fazla hesap: Kullanıcılar her şeyi çevrimiçi yapmaya alıştıkça, daha fazla hesap açar. Bu, nihayetinde hatırlanması gereken çok fazla parola oluşturur ve tehlikeli bir alışkanlığın önünü açar: Parolaların birden fazla yerde kullanılması... Hakalırların (bilgisayar korsanlarının) bu eğilimi sevmesinin nedeni ise bu iş için yazılan yazılımların, popüler bankalar ve alışveriş sitelerinde binlerce çalıntı giriş bilgisini saniyeler içinde test edebilmeleridir. Bir kullanıcı adı ve parola tekrar tekrar kullanılmışsa, korsanlara kazanç sağlayabilecek çok sayıda hesabın kilidini açmaları mümkündür.

• Güvenlik yorgunluğu başlar: Bazı tüketiciler kendilerini korumak için daha karmaşık parolalarla saldırganların işini zorlaştırmaya çalışır. Ancak dark web'i kullanıcı bilgileriyle dolduran çok sayıda veri ihlalinden anlaşılan şu ki; kullanıcılar pes ediyor ve birden fazla hesapta aynı zayıf parolaları kullanmaya geri dönüyor.

Çözüm: 2FA
Bu noktada başka bir güvenlik faktörü arayışı başlıyor: 2FA, çevrimiçi bir hesaba erişmeye çalışan kişilerin söyledikleri kişi olduklarından emin olmak için kullanılan ekstra bir güvenlik katmanıdır. Bir kullanıcı ilk olarak, sisteme kullanıcı adını ve parolasını girecektir. Ardından sistem, doğrudan erişime izin vermek yerine, başka bir bilgi parçası daha isteyecektir. Bu ikinci faktör aşağıdaki kategorilerden biri olabilir:

• Bildiğiniz bir şey: Bu bir kişisel kimlik numarası (PIN), bir parola, ‘gizli soruların’ yanıtları veya belirli bir tuş basımı modeli olabilir.

• Sahip olduğunuz bir şey: Tipik olarak, bir kullanıcının elinde kredi kartı, akıllı telefon veya küçük bir donanım token cihazı  vb. bulunur.

• Olduğunuz bir şey: Bu kategori biraz daha ileri seviyedir ve bir parmak izinin biyometrik desenini, bir  göz bebeği taramasını veya bir sesli baskıyı içerebilir.

2FA kullandığınızda, bu faktörlerden yalnızca birinin potansiyel olarak ele geçirilmesi, hesabın kilidini açmaz. Bu nedenle şifreniz çalınsa veya telefonunuz kaybolsa bile ikinci faktör bilgilerinizin de aynı kişilerin eline düşmesi oldukça düşük bir ihtimaldir. Başka bir açıdan bakıldığında, bir tüketici 2FA'yı doğru kullanırsa, web siteleri ve uygulamalar kullanıcının kimliğinden daha emin olabilir ve hesaplarının kilidini açabilir.

2FA'nın yaygın türleri
Kullandığınız bir site giriş için yalnızca parola gerektiriyorsa ve 2FA kullanma seçeneği sunmuyorsa, bu sitenin eninde sonunda haklanma (hacklenme) olasılığı yüksektir. Bu, tüm 2FA sistemlerinin aynı derecede etkili olduğu anlamına gelmez. Günümüzde birkaç çeşit iki faktörlü kimlik doğrulama sistemi seçeneği vardır; bazıları diğerlerinden daha güçlü veya daha karmaşık olabilir ancak hepsi sadece parola kullanmaktan daha iyi koruma sağlar. 2FA'nın en yaygın biçimlerini inceleyelim.

2FA için donanım token cihazları 
Muhtemelen 2FA'nın en eski biçimi olan donanım token cihazları bir anahtarlık gibi küçüktür ve her 30 saniyede bir yeni bir sayısal kod üretir. Bir kullanıcı bir hesaba erişmeye çalıştığında, cihaza bakar ve görüntülenen 2FA kodunu giriş yapmak istediği siteye veya uygulamaya girer. Donanım tokenlerinin diğer sürümleri, bir bilgisayarın USB bağlantı noktasına takıldığında 2FA kodunu otomatik olarak sisteme girer.

Maalesef bu yöntemin birçok kötü yanı da var. İşletmeler için bu token cihazlarının  dağıtımını sağlamak maliyetlidir. Kullanıcılara göre bu token cihazları  boyutlarından dolayı kolayca kaybolabilmektedir. En önemlisi bu tokenler haklanmaya (hacklenmeye) karşı tamamen güvenli değillerdir.

SMS mesajı ve ses tabanlı 2FA
SMS tabanlı 2FA, doğrudan bir kullanıcının telefonuyla etkileşime girer. Bir kullanıcı adı ve şifre aldıktan sonra site, kullanıcıya kısa mesaj yoluyla benzersiz ve tek seferlik bir şifre (OTP) gönderir. Donanım tokenlerinde olduğu gibi, bir kullanıcının erişim elde etmeden önce OTP'yi giriş yapmak istediği uygulamaya girmesi gerekir. Benzer şekilde, ses tabanlı 2FA, bir kullanıcıyı otomatik olarak arar ve 2FA kodunu sözlü olarak iletir. Çok yaygın olmasa da akıllı telefonların pahalı olduğu veya hücre servisinin zayıf olduğu ülkelerde hâlâ kullanılmaktadır.

Düşük riskli bir çevrimiçi etkinlik için, metin veya sesle kimlik doğrulama yeterli olabilir. Ancak kamu şirketleri, bankalar veya e-posta hesapları gibi kişisel bilgilerinizi depolayan web siteleri için bu 2FA düzeyi yeterince güvenli değildir. Genel olarak SMS, kullanıcıların kimliğini doğrulamanın en az güvenli yolu olarak kabul edilir. Bu nedenle, birçok şirket SMS tabanlı 2FA'nın ötesine geçmeyi hedefliyor.


2FA için yazılım tokenleri
İki faktörlü kimlik doğrulamanın en popüler biçimi (ayrıca SMS veya ses seçeneklerinden daha iyi bir alternatif), yazılım tarafından oluşturulan zamana bağlı, tek seferlik bir paroladır (TOTP veya ‘yazılım tokeni’ olarak da adlandırılır).

Kullanıcının ilk olarak akıllı telefonuna veya bilgisayarına ücretsiz bir 2FA uygulaması indirmesi ve yüklemesi gerekir. Daha sonra uygulamayı bu tür kimlik doğrulamayı destekleyen herhangi bir sitede kullanabilirler. Oturum açarken, kullanıcı sisteme önce bir kullanıcı adı ve şifre, sonrasında ise uygulamada gördüğü kodu girer. Donanım tokenleri gibi, yazılım tokeni de genellikle bir dakikadan daha kısa bir süre için geçerlidir ve sonrasında yenilenir. Bu tokenin aynı cihazda üretiliyor ve gösteriliyor olması bir ‘Ortadaki Adam’ (Man in the Middle) saldırısı yapılması tehlikesinin önüne geçer. Bu saldırılar, SMS veya sesli ile doğrulama  yöntemlerinde büyük bir risk oluşturmaktadır.

Uygulama tabanlı 2FA yazılımları mobil, giyilebilir teknoloji ve masaüstü gibi birçok farklı platformda çalışabildiği için kimlik doğrulamasını her koşulda yapmak mümkündür (bu sistemler çevrimdışıyken bile çalışabilir).

2FA için anlık bildirim
Bir 2FA tokeninin alınmasına ve sistemlerine girilmesine güvenmek yerine, web siteleri ve uygulamalar artık kullanıcıya bir kimlik doğrulama girişiminin gerçekleştiğine dair anlık bildirim gönderebilir. Bu durumda cihaz sahibi tek bir dokunuşla hesabına erişim izni verebilir veya erişimi engelleyebilir. Bu yöntem ekstra bir etkileşim veya kod gerektirmeyen bir şifresiz doğrulama yöntemidir.

Anlık doğrulama; şirketler, 2FA servisi ve cihaz arasında direkt ve güvenli bir bağlantı sağlar. Bu durum oltalama ve ortadaki adam saldırılarının da önüne geçer. Ancak bu sistem, internete bağlı ve uygulama indirilebilen bir cihaz gerektirir. Akıllı telefon penetrasyonunun düşük olduğu veya internetin güvenilmez olduğu alanlarda SMS tabanlı 2FA bir alternatif olarak tercih edilebilir. Ancak seçim şansı olduğunda, anlık bildirimler daha kullanıcı dostu ve güvenli bir seçenektir.

Diğer 2FA seçenekleri
Kullanıcıyı token olarak kabul eden kimlik doğrulaması biçimi yani Biyometrik 2FA bu işi bir adım ileri götürdü. Parmak izleri, retina desenleri ve yüz tanıma yoluyla kimlik doğrulama teknolojileri kullanılıyor. Ortam gürültüsü, nabız, yazma kalıpları ve ses tınıları gibi konularda da araştırmalar sürüyor. Bu 2FA yöntemlerinden birinin yaygınlaşması ve bilgisayar korsanlarının bu yöntemleri nasıl aşacağını keşfetmesi sadece an meselesi.

Herkes 2FA kullanmalı
Yakın tarihli bir rapora göre çalınan, yeniden kullanılan ve zayıf parolalar güvenlik ihlallerinin önde gelen nedenlerinden biri olmayı sürdürüyor. Ne yazık ki, parolalar hâlâ birçok şirketin kullanıcılarını korumanın ana (bazen de tek) yoludur. İyi haber şu ki, siber suçlar haberlerde o kadar çok yer alıyor ki 2FA farkındalığı hızla artıyor ve kullanıcılar iş yaptıkları şirketlerden güvenliklerinin iyileştirilmesini talep ediyor. Katılıyoruz: “Herkes 2FA kullanmalıdır.”

Kaynak: https://authy.com/