Çevrimiçi güvenliğiniz için sadece şifre yeterli mi? Bu yazımızda iki aşamalı kimlik doğrulama sistemlerinin önemini ve çalışma mantığını anlatacağız.
Çevrimiçi güvenliğimizin alt üst olmasına sadece bir veri ihlali kadar yakın olabiliriz. Bu konudaki en önemli sorun ise bizim için son derece kıymetli hesap verilerimizi güvence altına almanın kırılgan yolu olan parolalardan kaynaklanmaktadır. Bu koşulun açık hedefi olan insan faktörünü odak noktasına alarak en yüksek güvenliğin sağlanabilmesi adına iki aşamalı kimlik doğrulama sistem yazılımları geliştirilmiştir. İki aşamalı doğrulama, uygulamaya girmek üzere olan kullanıcının hesabın gerçek sahibi olup olmadığının teyidini kapsayan temel güvenlik adımlarından oluşur.
Pek farkında olmasak da iki adımlı kimlik doğrulama günlük yaşamımızda oldukça sık kullandığımız bir yöntemdir. Örneğin, bir kredi kartı sahibiyseniz şifresini girdiğinizde bu yöntemi kullanmışsınız demektir. Finansal işlemleriniz için ekstradan güvenlik duvarı oluşturmasının ötesinde, dijital dünyada oldukça geniş bir uygulama alanı da dâhil olmak üzere pek çok kullanım alanı vardır.
Bu yazımızda, iki adımlı kimlik doğrulamanın tüm detaylarına yer verip neden bu kadar önemli olduğunu tüm yönleriyle ele alacağız.
Bir şifre belirlemek neredeyse bilgisayarın icadından beri en yaygın ve en önemli kimlik doğrulama yöntemidir. Özellikle güçlü ve güvenli parola belirlemek çevrimiçi güvenliğiniz açısından oldukça kritik bir noktada yer alır.
Doğru ve güçlü parola belirlemeyi kısaca tarif etmek gerekirse;
Rakamlar, semboller, büyük ve küçük harfler kullanılarak güçlendirilmelidir.
Ancak internetin bu kadar yoğun bir biçimde hayatımızda olduğu bir çağda sıradan kullanıcılar bakımından her bir hesap için farklı şifre oluşturmak ve akılda tutmak pek de kolay değildir. Bu yüzden de pek çok kullanıcı hem hatırlamak hem de saklamak zor geldiği için kolay hatırlayabileceği şifreleri tercih edip bir ya da birkaç şifreyi hesaplarında kullanmayı tercih ediyor.
Bu durumda, kullanılan şifreler hesabımız olan bir web sitesine ya da uygulamaya siber bir saldırı yapıldığında çalınan diğer verilerle birlikte ele geçirilir. Bununla birlikte tüm hesaplarda kullanılan ortak şifreler de bu kötü niyetli kişiler tarafından saldırıya açık hale gelir. Üstelik alışveriş yaptığımız siteden ya da yemek sipariş ettiğimiz uygulamalardan tutun da bankalara varıncaya değin siber saldırıya uğramayan çevrimiçi bağlantılı hizmet de kalmadı desek abartı sayılmaz.
İki aşamalı doğrulama ilk defa 1984 yılında piyasaya sürülmüş bir teknoloji tanımıdır. İki farklı bileşenden oluşan mekanizma kullanıcıların kimlik bilgilerini korumaya odaklıdır. Bu bileşenler kullanıcıların bilebilecekleri veya sahip olabilecekleri ve onlardan bağımsız ya da onlara bağlı bir şekilde düşünülemeyen bir sistemdir. Günlük yaşamda banka kartınızı kullanmak için kart şifresini girdiyseniz iki aşamalı kimlik doğrulama yöntemini kullanmışsınız demektir. Doğru kombinasyonlar içeren banka kartları ve şifre, ATM’lerden banka işlemlerini yapabilmeye olanak tanır. İki aşamalı kimlik doğrulama siber saldırı ve kart çipinde yer alan bilgilerin kaybolması ya da kötü niyetli kişilerce ele geçirilmesi gibi tehditlere karşı güvenlik için oldukça etkili bir yöntemdir.
İki faktörlü kimlik doğrulama yetki sahibi olmayan kişilerin, yetkiyi ele geçirmek için yeterli bilgilerin hepsine sahip olamaması üzerine kuruludur. Bu türden bir hesap oturum açma denemesinde, yetersiz ya da gerçek kullanıcının bilgisi dışında temin edilmiş bileşen mevcut ise yetki hakkı istenen maddelere erişme yetkisi sağlanamaz.
İki faktörlü kimlik doğrulama yetkilendirme tablosunda yer alması gereken bileşenler ise;
Günümüzde iki aşamalı kimlik doğrulama oldukça yaygın bir kullanıma sahip bir tür güvenlik protokolüdür. Hatta kullanımı o kadar popüler bir hal aldı ki birçok uygulama ve hizmet bu güvenlik protokolünü ayarlarına mutlaka entegre etmeye özen gösteriyor.
Zaman zaman iki aşamalı kimlik doğrulama; iki adımlı kimlik doğrulama ya da iki faktörlü kimlik doğrulama şeklinde de kavramsallaştırılır ancak hangi şekilde söylenirse söylensin temelde yaptıkları iş aynıdır. Temelde işlevi, kullanıcıların hesaplarına girmeden önce kimliklerini teyit etmek için iki yönteme ihtiyaç olan bir süreç yürütür.
Teknik kullanımları açısında ise; iki faktörlü kimlik doğrulama ve iki aşamalı kimlik doğrulama arasında küçük bir farklılıktan söz edilebilir:
2FA yönteminin, çevrimiçi bir hesaba girmeye çalışan kullanıcıların söyledikleri kişi olup olmadığından emin olmak için kullanılan ekstra bir güvenlik katmanı olduğundan söz etmiştik. İlk adımda, kullanıcı hesabını açmak için kullanıcı adını ve şifresini girer. İkinci aşamada ise hemen hesaba erişim sağlamak yerine, başka bilgileri de sağlamaları gerekir.
Bu adımdaki ikinci bilgi şu faktörlerden herhangi biri olabilir:
Sadece sizin bildiğiniz bir bilgi: Kişisel kimlik numarası (PIN), parola, gizli soruların cevabı veya belirli bir tuş deseni olabilir.
Hâlihazırda sahip olduğunuz bir şey: Çoğunlukla kullanıcıların elinde kredi kartı, banka kartı, akıllı mobil cihaz ya da USB gibi bir ürün bulunur.
Fiziksel olarak sahibi olduğunuz şey daha gelişmiş bir kategoridir. Parmak iziniz, göz retinanız ya da sesiniz olabilir.
2FA sistemi sayesinde, bu verilerden yalnızca bir tanesinin doğru girilmemesi durumunda sistem hesaba erişim izni tanımaz. Bunun dışında ise, herhangi bir kullanıcı bu sistemi etkin kullanıyorsa, internet siteleri, platformlar ve uygulamalar müşterilerinin kimliğinden daha emin olabilir ve hesaba girmek için yetki tanıyabilir.
Bu şu anlama gelir; iki aşamalı kimlik doğrulama sistemi sayesinde güvenlik açısından ekstra bir koruma katmanına sahip olursunuz. Böylece bir hacker'ın kötü niyetli bir saldırısı durumunda hesabınıza erişebilmesi için tek başına şifrenizi ele geçirmiş olması yetmez. Aynı zamanda cep telefonunuzu ve cep telefon şifrenizi de ele geçirmesi gerekir.
Bu yöntemle mobil cihaza gönderilen SMS şifresinin aktif olarak kullanılabileceği süre oldukça kısıtlıdır. Web sitesi, uygulama ya da platformda her oturum açılmak istenildiğinde yeni bir şifre alınması gerekir. Günümüzde kullanıcılar olarak hiç olmadığı kadar hızlı bir şekilde işlemlerimizi halletmek istiyoruz. Durum bu olunca, bu yöntem kulağa biraz meşakkatli gelebilir. Ancak ekstradan harcayacağınız birkaç saniye, hesap verilerinizin kötü niyetli kişilerce ele geçirilmesine engel olabilir.
İki aşamalı SMS doğrulamanın dışında kalan ek kimlik doğrulama yöntemleri ise:
Henüz yüzde yüz koruma sağlayan güvenlik protokolü diye bir mekanizmadan maalesef söz etmek mümkün değil. Yine de hesap verilerinizin koruma seviyesini en üst düzeyde tutabileceğiniz bazı yöntemlerden yardım alabilirsiniz. Şöyle düşünebilirsiniz; evinizde ya da iş yerinizde yüklü miktarda para ve değerli eşya bulundurmak zorundasınız. Bunları korumak ve çalınmasını önlemek adına oldukça sağlam bir kasaya sahipsiniz. Son teknoloji güvenlik sistemi de kurdurdunuz ve daha aklınıza gelecek bir dizi önlemler de aldınız. Ancak yine de hiçbir zaman değerli eşyalarınızın çalınmayacağının garantisi yoktur. Yine de riski en aza indirgemiş olursunuz. Bu durum dijital dünyadaki çevrimiçi hesaplarınız için de aynen geçerlidir. Üstelik iki aşamalı kimlik doğrulama yönteminin, çevrimiçi verilerinizi kötü niyetli kişilerin gözünde daha az çekici hedefler haline getirdiğini de bilmenizde fayda var.
Online uygulamalar ve platformlar, müşterilerinin kimlik bilgilerini şifre veri altyapısına sızıp çalan ya da kullanıcıların kişisel şifrelerini ele geçirmek için kimlik avı kampanyaları türünden kötü niyetli kullanımı engellemek için 2FA yönteminden faydalanır. İki aşamalı kimlik doğrulama kimlik bilgilerinizin yanı sıra erişebileceğiniz kaynakları güvende tutmak açısından oldukça önemli bir rol üstlenir.
Çevrimiçi güvenliğimizin alt üst olmasına sadece bir veri ihlali kadar yakın olabiliriz. Bu konudaki en önemli sorun ise bizim için son derece kıymetli hesap verilerimizi güvence altına almanın kırılgan yolu olan parolalardan kaynaklanmaktadır. Bu koşulun açık hedefi olan insan faktörünü odak noktasına alarak en yüksek güvenliğin sağlanabilmesi adına iki aşamalı kimlik doğrulama sistem yazılımları geliştirilmiştir. İki aşamalı doğrulama, uygulamaya girmek üzere olan kullanıcının hesabın gerçek sahibi olup olmadığının teyidini kapsayan temel güvenlik adımlarından oluşur.
Pek farkında olmasak da iki adımlı kimlik doğrulama günlük yaşamımızda oldukça sık kullandığımız bir yöntemdir. Örneğin, bir kredi kartı sahibiyseniz şifresini girdiğinizde bu yöntemi kullanmışsınız demektir. Finansal işlemleriniz için ekstradan güvenlik duvarı oluşturmasının ötesinde, dijital dünyada oldukça geniş bir uygulama alanı da dâhil olmak üzere pek çok kullanım alanı vardır.
Bu yazımızda, iki adımlı kimlik doğrulamanın tüm detaylarına yer verip neden bu kadar önemli olduğunu tüm yönleriyle ele alacağız.
Bir şifre belirlemek neredeyse bilgisayarın icadından beri en yaygın ve en önemli kimlik doğrulama yöntemidir. Özellikle güçlü ve güvenli parola belirlemek çevrimiçi güvenliğiniz açısından oldukça kritik bir noktada yer alır.
Doğru ve güçlü parola belirlemeyi kısaca tarif etmek gerekirse;
Konuya eklenmiş linkleri görmek için kayıt olmalısınız.
en az 15 karakter içermelidir.Rakamlar, semboller, büyük ve küçük harfler kullanılarak güçlendirilmelidir.
Ancak internetin bu kadar yoğun bir biçimde hayatımızda olduğu bir çağda sıradan kullanıcılar bakımından her bir hesap için farklı şifre oluşturmak ve akılda tutmak pek de kolay değildir. Bu yüzden de pek çok kullanıcı hem hatırlamak hem de saklamak zor geldiği için kolay hatırlayabileceği şifreleri tercih edip bir ya da birkaç şifreyi hesaplarında kullanmayı tercih ediyor.
Bu durumda, kullanılan şifreler hesabımız olan bir web sitesine ya da uygulamaya siber bir saldırı yapıldığında çalınan diğer verilerle birlikte ele geçirilir. Bununla birlikte tüm hesaplarda kullanılan ortak şifreler de bu kötü niyetli kişiler tarafından saldırıya açık hale gelir. Üstelik alışveriş yaptığımız siteden ya da yemek sipariş ettiğimiz uygulamalardan tutun da bankalara varıncaya değin siber saldırıya uğramayan çevrimiçi bağlantılı hizmet de kalmadı desek abartı sayılmaz.
İki Aşamalı Kimlik Doğrulama
İki aşamalı doğrulama ilk defa 1984 yılında piyasaya sürülmüş bir teknoloji tanımıdır. İki farklı bileşenden oluşan mekanizma kullanıcıların kimlik bilgilerini korumaya odaklıdır. Bu bileşenler kullanıcıların bilebilecekleri veya sahip olabilecekleri ve onlardan bağımsız ya da onlara bağlı bir şekilde düşünülemeyen bir sistemdir. Günlük yaşamda banka kartınızı kullanmak için kart şifresini girdiyseniz iki aşamalı kimlik doğrulama yöntemini kullanmışsınız demektir. Doğru kombinasyonlar içeren banka kartları ve şifre, ATM’lerden banka işlemlerini yapabilmeye olanak tanır. İki aşamalı kimlik doğrulama siber saldırı ve kart çipinde yer alan bilgilerin kaybolması ya da kötü niyetli kişilerce ele geçirilmesi gibi tehditlere karşı güvenlik için oldukça etkili bir yöntemdir.
İki Faktörlü Kimlik Doğrulama Bileşenleri
İki faktörlü kimlik doğrulama yetki sahibi olmayan kişilerin, yetkiyi ele geçirmek için yeterli bilgilerin hepsine sahip olamaması üzerine kuruludur. Bu türden bir hesap oturum açma denemesinde, yetersiz ya da gerçek kullanıcının bilgisi dışında temin edilmiş bileşen mevcut ise yetki hakkı istenen maddelere erişme yetkisi sağlanamaz.
İki faktörlü kimlik doğrulama yetkilendirme tablosunda yer alması gereken bileşenler ise;
- Kullanıcıların sadece kendine ait veriler olabilir (kullanıcı adı vb.).
- Kullanıcıların yalnızca kendinin bilebileceği veriler olabilir (pin kodu, şifre vb.).
- Kullanıcıların sahibi olduğu ürünler olabilir (Banka kartı, USB bellek, anahtar…).
- Kullanıcıların spesifik fiziksel bilgileri olabilir (parmak izi, göz, ses, yazma hızı gibi).
- E-mail, SMS gibi yalnızca bir kere kullanıma uygun açık parolalar ile şifrelerin kırılma tehlikesi neredeyse olanaksız hale getirilir. Bu şifreler illegal kişilerce ele geçirilmiş olsa dahi bir kereliğine kullanılacağı için şifre süresi dolmuş olur.
- İki aşamalı kimlik doğrulama alanında oldukça ileri teknoloji
Konuya eklenmiş linkleri görmek için kayıt olmalısınız.sayesinde kurumlarınızın verilerini güvende tutabilirsiniz.
İki aşamalı kimlik doğrulama ve iki faktörlü kimlik doğrulama arasında fark var mı?
Günümüzde iki aşamalı kimlik doğrulama oldukça yaygın bir kullanıma sahip bir tür güvenlik protokolüdür. Hatta kullanımı o kadar popüler bir hal aldı ki birçok uygulama ve hizmet bu güvenlik protokolünü ayarlarına mutlaka entegre etmeye özen gösteriyor.
Zaman zaman iki aşamalı kimlik doğrulama; iki adımlı kimlik doğrulama ya da iki faktörlü kimlik doğrulama şeklinde de kavramsallaştırılır ancak hangi şekilde söylenirse söylensin temelde yaptıkları iş aynıdır. Temelde işlevi, kullanıcıların hesaplarına girmeden önce kimliklerini teyit etmek için iki yönteme ihtiyaç olan bir süreç yürütür.
Teknik kullanımları açısında ise; iki faktörlü kimlik doğrulama ve iki aşamalı kimlik doğrulama arasında küçük bir farklılıktan söz edilebilir:
- İki faktörlü kimlik doğrulamada farklı iki faktörden söz edilebilir. Bunlardan ilki paroladır. İkinci faktör ise parmak izi ya da mobil cihaz olabilir.
- İki aşamalı kimlik doğrulamada şifreniz olan tek bir faktör söz konusudur.
- Sonrasında gelen aşamada ise bir dizi güvenlik sorusu yer alır.
İki Faktörlü Kimlik Doğrulama Neden Önemlidir?
2FA yönteminin, çevrimiçi bir hesaba girmeye çalışan kullanıcıların söyledikleri kişi olup olmadığından emin olmak için kullanılan ekstra bir güvenlik katmanı olduğundan söz etmiştik. İlk adımda, kullanıcı hesabını açmak için kullanıcı adını ve şifresini girer. İkinci aşamada ise hemen hesaba erişim sağlamak yerine, başka bilgileri de sağlamaları gerekir.
Bu adımdaki ikinci bilgi şu faktörlerden herhangi biri olabilir:
Sadece sizin bildiğiniz bir bilgi: Kişisel kimlik numarası (PIN), parola, gizli soruların cevabı veya belirli bir tuş deseni olabilir.
Hâlihazırda sahip olduğunuz bir şey: Çoğunlukla kullanıcıların elinde kredi kartı, banka kartı, akıllı mobil cihaz ya da USB gibi bir ürün bulunur.
Fiziksel olarak sahibi olduğunuz şey daha gelişmiş bir kategoridir. Parmak iziniz, göz retinanız ya da sesiniz olabilir.
2FA sistemi sayesinde, bu verilerden yalnızca bir tanesinin doğru girilmemesi durumunda sistem hesaba erişim izni tanımaz. Bunun dışında ise, herhangi bir kullanıcı bu sistemi etkin kullanıyorsa, internet siteleri, platformlar ve uygulamalar müşterilerinin kimliğinden daha emin olabilir ve hesaba girmek için yetki tanıyabilir.
İki aşamalı kimlik doğrulama nasıl çalışır?
İki aşamalı kimlik doğrulama sisteminde süreç, oldukça geniş bir alanda uygulanabilir. Ancak SMS doğrulaması temel doğrulama yöntemlerinden biridir. Daha iyi anlaşılması için şöyle basit bir örnek verebiliriz: Banka hesabınızın kayıtlı olduğu online bir alışveriş mağazasında oturum açtınız ve ürün satın almak istiyorsunuz. Oturum açtığınız web sitesinden mobil cihazınıza SMS aracılığıyla bir parola gönderilir. Yalnızca mobil cihazınıza gelen şifreyi sisteme girdikten sonra hesabınızı aktif hale getirebilir ya da uygulama üzerinden işlem yapabilirsiniz.Bu şu anlama gelir; iki aşamalı kimlik doğrulama sistemi sayesinde güvenlik açısından ekstra bir koruma katmanına sahip olursunuz. Böylece bir hacker'ın kötü niyetli bir saldırısı durumunda hesabınıza erişebilmesi için tek başına şifrenizi ele geçirmiş olması yetmez. Aynı zamanda cep telefonunuzu ve cep telefon şifrenizi de ele geçirmesi gerekir.
Bu yöntemle mobil cihaza gönderilen SMS şifresinin aktif olarak kullanılabileceği süre oldukça kısıtlıdır. Web sitesi, uygulama ya da platformda her oturum açılmak istenildiğinde yeni bir şifre alınması gerekir. Günümüzde kullanıcılar olarak hiç olmadığı kadar hızlı bir şekilde işlemlerimizi halletmek istiyoruz. Durum bu olunca, bu yöntem kulağa biraz meşakkatli gelebilir. Ancak ekstradan harcayacağınız birkaç saniye, hesap verilerinizin kötü niyetli kişilerce ele geçirilmesine engel olabilir.
İki aşamalı SMS doğrulamanın dışında kalan ek kimlik doğrulama yöntemleri ise:
- Biyometrik kimlik doğrulama yöntemi:
- Parmak izi, yüz, göz retinası ya da ses gibi kimlik doğrulama yöntemlerini içerir.
- Donanım kimlik doğrulama yöntemi: USB bellek gibi iki faktörlü kimlik doğrulama düşünülerek tasarlanan özel bir donanımdır.
- Uygulama kimlik doğrulma yöntemi: Benzersiz bir kod oluşturabilen özel bir uygulama tasarımıdır. Birden fazla hesaba erişme işlemi için kullanılır.
İki aşamalı kimlik doğrulama neden kullanılır?
Henüz yüzde yüz koruma sağlayan güvenlik protokolü diye bir mekanizmadan maalesef söz etmek mümkün değil. Yine de hesap verilerinizin koruma seviyesini en üst düzeyde tutabileceğiniz bazı yöntemlerden yardım alabilirsiniz. Şöyle düşünebilirsiniz; evinizde ya da iş yerinizde yüklü miktarda para ve değerli eşya bulundurmak zorundasınız. Bunları korumak ve çalınmasını önlemek adına oldukça sağlam bir kasaya sahipsiniz. Son teknoloji güvenlik sistemi de kurdurdunuz ve daha aklınıza gelecek bir dizi önlemler de aldınız. Ancak yine de hiçbir zaman değerli eşyalarınızın çalınmayacağının garantisi yoktur. Yine de riski en aza indirgemiş olursunuz. Bu durum dijital dünyadaki çevrimiçi hesaplarınız için de aynen geçerlidir. Üstelik iki aşamalı kimlik doğrulama yönteminin, çevrimiçi verilerinizi kötü niyetli kişilerin gözünde daha az çekici hedefler haline getirdiğini de bilmenizde fayda var.
İki aşamalı kimlik doğrulamanın ne tür faydaları vardır?
Online uygulamalar ve platformlar, müşterilerinin kimlik bilgilerini şifre veri altyapısına sızıp çalan ya da kullanıcıların kişisel şifrelerini ele geçirmek için kimlik avı kampanyaları türünden kötü niyetli kullanımı engellemek için 2FA yönteminden faydalanır. İki aşamalı kimlik doğrulama kimlik bilgilerinizin yanı sıra erişebileceğiniz kaynakları güvende tutmak açısından oldukça önemli bir rol üstlenir.
