Birkaç arkadaşıma iki adımlı kimlik doğrulama hakkında bir makale yazdığımdan bahsettiğimde, tipik yanıt bir göz devirme ve “Ah, bu can sıkıcı şey mi?…” Evet, bu sinir bozucu fazladan adımdı. Giriş yapmadan veya çevrimiçi kimliğimizi doğrulamadan önce bir kod almamız gerektiğinde hepimiz bu düşünceye sahiptik. Lütfen bir istek yağmuru olmadan giriş yapabilir miyim?
Ancak, iki faktörlü kimlik doğrulama hakkında yapılan birçok araştırmadan sonra (genellikle 2FA), Artık gözlerimi devireceğimi sanmıyorum. İki faktörlü kimlik doğrulamayı, oradaki farklı seçenekleri biraz daha iyi tanıyalım ve bu “sinir bozucu” ekstra adımı çevreleyen bazı mitleri ortadan kaldıralım.
2FA Kullanmanın En Yaygın Alternatifleri
SMS Doğrulaması
Uygulamaların ve güvenli hizmetlerin, örneğin hesabınıza giriş yaparken, her zaman veya yalnızca yeni bir cihazdan yaparken en azından SMS mesajları yoluyla 2FA eklemenizi önermesi olağan bir durumdur. Bu sistemi kullanarak, cep telefonunuz ikinci kimlik doğrulama yöntemidir.
SMS mesajı, servise girdiğiniz tek kullanımlık kısa bir koddan oluşur. Bu şekilde, Bay Joe Hacker’ın hesabınıza girmesi için şifrenize ve telefonunuza erişmesi gerekecek. Oldukça bariz bir endişe, hücre kapsama alanıdır. Hiçliğin ortasında bir sinyal olmadan mahsur kalırsanız veya ortak operatörünüze erişiminiz olmadan yurt dışına seyahat ederseniz ne olur? Kodu içeren mesajı alamaz ve giriş yapamazsınız.
Ancak çoğu zaman bu yöntem kullanışlıdır (çoğu zaman hepimiz telefonumuzu elimizin altında bulundururuz). Hatta otomatik bir sisteme sahip olan ve kısa mesaj alamıyorsanız sabit hatlı bir telefonla kullanılabilmesi için kodu söyleyen bazı hizmetler bile vardır.
Google Authenticator, Authy, Uygulama Tarafından Oluşturulan Kodlar
Kablosuz operatörünüze bağlı olmadığı için SMS’e potansiyel olarak daha iyi bir alternatif. Google Kimlik Doğrulayıcı kategorisindeki en popüler uygulamadır, ancak bu tür bir hizmet için Google’a güvenmek istemiyorsanız, aşağıdakiler gibi kapsamlı alternatifler vardır: doğruzaman içinde oluşturulan kodların şifrelenmiş yedeklerinin yanı sıra çok platformlu ve çevrimdışı destek sunan. Microsoft Ve Son Geçiş ayrıca kendi doğrulayıcıları da vardır.
Bu uygulamalar, internet bağlantısı olsun ya da olmasın, krallık gelene kadar zamana özel kodlar üretmeye devam edecek. Tek değiş tokuş, uygulama kurulumunu ayarlamanın biraz karmaşık olmasıdır.
Belirli bir hizmeti Kimlik Doğrulayıcı ile kurduktan sonra, kullanıcı adınız ve parolanıza ek olarak bir kimlik doğrulama kodu girmeniz istenecektir. Size yeni bir kod sağlamak için akıllı telefonunuzdaki Google Authenticator uygulamasına güveneceksiniz. Kodların süresi bir dakika içinde sona erer, bu nedenle bazen geçerli kodu süresi dolmadan önce girmek için hızlı çalışmanız gerekir ve ardından kullanılacak olan yeni kod olur.
Fiziksel Kimlik Doğrulama Anahtarları
Kodlar, uygulamalar ve kısa mesajlarla uğraşmak baş ağrısı gibi geliyorsa, popülerliğinin eşiğinde olan başka bir seçenek daha var: Fiziksel kimlik doğrulama anahtarları. Bu, anahtarlığınıza taktığınız küçük bir USB aygıtıdır; güvenlik anahtarı aşağıda resmedilmiştir. Hesabınıza yeni bir bilgisayarda giriş yaparken, USB anahtarını takın ve düğmesine basın. Bitti ve bitti.
Bu konuda bir standart var U2F denir. Google, Dropbox, GitHub hesapları ve diğer birçok hesap U2F belirteci ile uyumludur. Fiziksel kimlik doğrulama anahtarları, USB bağlantı noktaları olmayan cihazlarla da iletişim kurmak için NFC ve Bluetooth ile çalışabilir.
Uygulama Tabanlı ve E-posta Tabanlı Kimlik Doğrulama
Birçok uygulama ve hizmet, yukarıdaki seçenekleri tamamen atlar ve mobil uygulamaları aracılığıyla doğrular. Örneğin, Twitter’da “Giriş doğrulama” özelliğini etkinleştirin ve yeni bir cihazdan Twitter’a ilk kez giriş yaptığınızda, bu girişi telefonunuzdaki oturum açmış uygulamadan doğrulamanız gerekir. Twitter, oturum açmadan önce telefonunuza Bay Joe Hacker’ın değil, sahip olduğunuzdan emin olmak istiyor.
Benzer şekilde, Google hesapları yeni bir bilgisayarda oturum açarken benzer bir şey sunar, telefonunuzda Gmail’i açmanızı ister. Apple ayrıca yeni cihaz girişlerini doğrulamak için iOS’u kullanır. Yeni bir cihazda oturum açtığınızda, zaten kullanmakta olduğunuz bir Apple cihazına gönderilen tek kullanımlık bir kod alacaksınız.
E-posta tabanlı sistemler, muhtemelen açıklamadan anladığınız gibi, e-posta hesabınızı ikinci faktörlü kimlik doğrulama olarak kullanır. Bu seçeneği kullanan bir uygulama veya hizmette oturum açtığınızda, ek doğrulama için kayıtlı e-posta adresinize tek kullanımlık kod gönderilecektir.
Mitler / SSS
2FA’nın etkinleştirilmesinin önerildiği yaygın hizmetler nelerdir?
- Google / Gmail, Hotmail / Outlook, Yahoo Mail **
- Lastpass, 1Password, Keepass veya kullandığınız diğer herhangi bir şifre yöneticisi **
- Dropbox, iCloud, OneDrive, Google Drive (ve değerli verileri barındırdığınız diğer bulut hizmetleri)
- Bankacılık, PayPal ve onu destekleyen kullandığınız diğer finansal hizmetler
- Facebook / Twitter / Linkedin
- Steam (oyun kitaplığınızın ortalama banka hesabı bakiyenizden daha değerli olması durumunda)
** Bunlar özellikle önemlidir, çünkü genellikle çevrimiçi yaptığınız diğer her şeye bir geçit görevi görür.
Bir güvenlik ihlali varsa, en kısa zamanda iki faktörlü kimlik doğrulama açılsın mı?
Sorun şu ki, bir anahtarı çevirip 2FA’yı açamazsınız. 2FA’yı başlatmak, belirteçlerin verilmesi veya kriptografik anahtarların diğer cihazlara gömülmesi gerektiği anlamına gelir. Bir hizmet ihlali durumunda, önce şifrelerinizi değiştirmenizi, ardından 2FA’yı etkinleştirmenizi öneririz. Tahmin edilmesi zor parolalar kullanmak ve parolanızı farklı hizmetlerde/web sitelerinde tekrar kullanmamak gibi en iyi uygulamalar hâlâ geçerlidir.
İki faktörlü kimlik doğrulamayı etkinleştirmeli miyim, etkinleştirmemeli miyim?
Evet. Özellikle kişisel verilerinizi ve finansal bilgilerinizi içeren kritik hizmetler için.
İki faktörlü kimlik doğrulama tehditlere karşı dayanıklıdır
Hayır. 2FA, kusurlu olan hem teknolojilere hem de kullanıcılara bağlıdır, dolayısıyla o da kusurludur. İkinci faktör olarak SMS metnini kullanan bir 2FA, kablosuz operatörün güvenliğine dayanır. Ayrıca, bir telefondaki kötü amaçlı yazılımın araya girip saldırgana SMS mesajları gönderdiği durumlarda da oldu. 2FA’nın yanlış gidebileceği başka bir yol da, bir kullanıcının dikkatini vermemesi ve bir saldırganın oturum açma girişimiyle başlatılan bir kimlik doğrulama isteğini (belki de Mac’lerinde açılan bir mesajdır) onaylamasıdır.
Başarılı bir kimlik avı girişimi durumunda 2FA nasıl başarısız olabilir?
Saldırgan, kullanıcıyı sahte bir sayfada 2FA kodunu girmesi için kandırırsa, iki faktörlü kimlik doğrulama bir kimlik avı saldırısında başarısız olabilir. Saldırgan daha sonra 2FA’nın güvenliğini atlayarak hem kullanıcının oturum açma kimlik bilgilerine hem de 2FA koduna erişebilir. Bunu önlemek için, kullanıcıların kimlik avı girişimlerinin farkında olması ve bilgileri girmeden önce oturum açma ve 2FA sayfalarının gerçekliğini doğrulaması önemlidir.
İki faktörlü çözümler (temelde) aynıdır
Bu bir noktada doğru olabilir, ancak 2FA’da çok fazla yenilik var. SMS mesajlarını veya e-postaları kullanan 2FA çözümleri vardır. Diğer çözümler, bir kullanıcının tarayıcısında saklanan bir kriptografik sır veya anahtarlama bilgisi içeren bir mobil uygulama kullanır. Üçüncü taraf hizmetlerine güvenmek, üzerinde düşünülmesi gereken bir şeydir ve bazı durumlarda ihlal edildiği ve kimlik doğrulaması başarısız olduğu için iyileştirilmelidir.
İki faktörlü kimlik doğrulama, çok az faydası olan can sıkıcı bir ekstradır
Bu tür bir tavırla asla bir yere varamayız. Gerçekte, bazı işletmeler veya hizmetler 2FA’ya dolandırıcılığı azaltmaya yardımcı olabilecek bir şey yerine bir uyumluluk gerekliliği olarak yaklaşır. Bazı şirketler, yalnızca 2FA kutusunu işaretlemek için neredeyse hiçbir şey yapmayan gerekli minimum 2FA’yı kullanır. Bir kullanıcı olarak 2FA kullanmak can sıkıcı olabilir, ancak şirket esnek bir kimlik doğrulama yöntemi kullanıyorsa (yalnızca minimum değil), dolandırıcılık olasılığını azaltabilir. Ve bunu kim istemez?
