İki faktörlü kimlik doğrulama nedir ve nasıl kullanılır?

Kimlik doğrulama, hesaplarınızı siber saldırganlara karşı güvende tutmanın en iyi yollarından biridir. Bu özellik Apple işletim sistemleri, Google Drive, Windows 10 ve popüler sosyal medya platformları tarafından desteklenmektedir. İki faktörlü kimlik doğrulama, basit ancak etkili bir güvenlik çözümüdür.

Bu özellik, hesabınıza ikinci bir güvenlik katmanı ekler ve kötü niyetli kişilerin siber saldırılar ile verilerinizi çalmasını zorlaştırır. Kimlik doğrulama ile korunan bir hesaba erişmek için iki şey gerekmektedir:

1. Bildiğiniz bir şey (bir şifre veya PIN kodu)
2. Sahip olduğunuz bir şey (belirli bir cihaza erişim)

2FKD ile hesabınıza giriş yapmak istediğiniz her seferinde önce şifrenizi girmeniz istenecektir. Bundan sonra, cep telefonunuza tek kullanımlık bir doğrulama kodu otomatik olarak gönderilecektir. Cep telefonu da o anda sizin elinizdeyse, hesabınıza giriş yapmanız mümkün olacaktır.

Diğer bir deyişle, siber saldırganlar şifrenizi ele geçirse bile, cep telefonunuza fiziki olarak erişemedikleri sürece, hesabınıza giriş yapmaları mümkün olmayacaktır.

Zaten iki adımlı doğrulama (2AD) kullanıyorsanız, yani örneğin hesabınızı cevabını sadece sizin bildiğiniz kimlik doğrulama soruları ile koruyorsanız, ayrıca iki faktörlü kimlik doğrulama kullanmanız da gerekir mi?

2AD doğrulama da belirli bir koruma sağlar ancak yukarıda bahsettiğimiz “sahip olduğunuz bir şey” özelliğinden yoksundur. 2AD ile korunan bir hesaba erişmek için iki adet USB güvenlik anahtarı, iki adet şifre veya şifre ile güvenlik sorularının bir kombinasyonunu kullanmak gerekir.

Bu ikisi arasındaki temel fark basittir:

• 2FKD özelliğinde, saldırganlar iki farklı türden hırsızlık gerçekleştirmek zorundadır: Hem şifrenizi (“bildiğiniz bir şey”) hem de fiziki bir cihazı (“sahip olduğunuz bir şey”) çalması gerekir.
• 2AD özelliğinde ise, saldırganların tek türden bir hırsızlığı birden çok kez yapmaları gerekir. Örneğin şifrenizi ve güvenlik sorunuzun cevabını çalmaları yeterlidir. Saldırgan eğer bir casus yazılım kullanıyor veya bir veri sızıntısı ile elde ettiği bilgileri kullanıyorsa, her ikisini de çoktan elde etmiş olabilir.

Bu güvenlik önlemlerinin her ikisi de hesabınıza ek bir koruma katmanı ekler ve mümkün olduğu sürece kullanılmaları gerekir. Zira herhangi bir korumaya sahip olmak, hiç korunmuyor olmaktan daha iyidir. Ancak 2FKD daha fazla özellik ve avantaj sunmaktadır.

macOS üzerinde 2FKD özelliğini etkinleştirmek için Apple menüsünde Sistem Tercihleri penceresini açın ve Apple ID kısayoluna tıklayın. Şifre & Güvenlik sekmesine gidin ve buradan İki Faktörlü Kimlik Doğrulama özelliğini aktif hale getirin.

MacOS, Mojave veya daha eski bir işletim sistemi sürümü kullanıyorsanız, Sistem Tercihleri penceresin de iCloud kısayoluna tıklamalısınız. Daha sonra sırasıyla Hesap Bilgileri – Güvenlik bağlantılarını takip ederek İki Faktörlü Kimlik Doğrulama özelliğini aktif hale getirebilirsiniz.

iPhone, iPad veya iPod kullanıyorsanız, Ayarlar ekranını açın ve Şifre & Güvenlik kısayoluna tıklayın. iOS 10.2 veya daha eski bir sürüm kullanıyorsanız Ayarlar, iCloud, Apple ID bağlantılarını takip ederek İki Faktörlü Kimlik Doğrulama özelliğini aktif hale getirebilirsiniz.

Daha sonra, doğrulama kodunun gönderileceği cep telefonunun numarasını girin. Apple bunu doğrulamak için size bir SMS gönderecek veya sizi arayacak (tercihlerinize göre değişecektir). Numaranızı doğrulayarak kurulumu tamamlayın.

Google 2FKD özelliği için “2 Adımlı Doğrulama” terimini kullanıyor ve bu biraz kafa karışıklığına yol açabiliyor. Bu terim sanki 2AD doğrulama özelliğine aitmiş gibi görünse de aslında 2FKD özelliği için kullanılıyor. Giriş ve güvenlik sayfasını açarak başlayın. Doğrulama kodu almak için şifrenizi ve telefon numaranızı girin.

Varsayılan seçeneği kullanırsanız, doğrulama kodu SMS veya sesli mesajlar ile gönderilecektir. Doğrulama işlemini hızlandırmak için Google bildirimlerini veya Authenticator uygulamasını da kullanabilirsiniz.

Google bildirimleri, hesabınıza giriş yapmak istediğiniz her seferinde doğrulama kodlarını yazma zorunluluğundan sizi kurtarır. Bunun yerine, giriş yapmak isteyen kişinin gerçekten de siz olup olmadığını soran bir bildirim alırsınız. Basitçe “evet” yazan yere dokunarak giriş yapabilirsiniz.

Windows 10 kullanıyorsanız, 2FKD kurulumu basittir ve Microsoft hesabınız üzerinden çevrimiçi olarak gerçekleştirilebilir. Kimlik doğrulama sürecinin bir parçası olarak e-posta, telefon numarası veya Microsoft'un özel Authenticator uygulamasını kullanabilirsiniz.

Microsoft'un “Güvenlik Esasları” sayfasını açın ve Microsoft hesabınıza giriş yapın. Ardından “Diğer Güvenlik Seçenekleri” menüsünü açarak iki faktörlü kimlik doğrulama özelliğine erişebilirsiniz. Ekrandaki talimatları takip ederek kurulumu tamamlayabilirsiniz.

İki faktörlü kimlik doğrulama özelliğinin en büyük problemi, doğrulama kodu gönderimi için büyük ölçüde SMS kullanılması ve bunların da ele geçirilmesinin çok zor olmamasıdır. SMS mesajların güvenlik açıkları uzun süredir biliniyor ve güvenlik çevrelerinde tartışılıyor. Nitekim Positive Technologies'de çalışan güvenlik uzmanları, kısa bir süre önce konuyla ilgili bir video da yayımladı.

Anlaşılan, doğrulama kodu almak için SMS kullanıyorsanız, saldırganların iki faktörlü kimlik doğrulama özelliğini etkisiz hale getirmek için ihtiyacı olan tek şey adınız, soyadınız ve telefon numaranız.

Bu örnekte Coinbase'i hizmetlerini güvence altına almak için yeterli çabayı göstermemekle de suçlayabilirsiniz, ancak asıl zayıflık telefon sisteminin kendisinde bulunuyor. Güvenlik uzmanları, kendi geliştirdikleri araçları kullanarak dünyadaki hemen her telekomünikasyon sistemi tarafından aramaları ve SMS mesajlarını yönetmek için kullanılan 7 Numaralı Sinyalizasyon Sistemindeki (SS7) bilinen açıklardan yararlanmayı başardılar. Positive Technologies'de araştırmacı olarak çalışan Dmitry Kurbatov, şöyle diyor: “Bu mobil ağlardaki bir güvenlik açığı. Bu da herkesi etkileyen bir sorun, özellikle de doğrulama kodu göndermek için mobil ağları kullanan hizmetleri etkiliyor”.

Telekom şirketlerinin bu ağdan faydalanan kullanıcıların iletişimlerine erişimi kısıtlanmış olsa da siber saldırganların becerilerini satışa sunduğu suç pazarlarında “ele geçirme” (hijacking) hizmeti oldukça popüler bir seçenek olmaya devam ediyor. Ancak siber saldırganların böyle bir hizmeti satın almalarına bile gerek yok: Bir ağı doğrudan ele geçirmeleri mümkün. “SS7 ele geçirme hizmeti satın almak yerine, SS7 bağlantı ağına doğrudan erişim elde etmek ve ardından belirli SS7 mesajları oluşturmak çok daha kolay ve ucuz bir seçenek.”

Gördüğünüz gibi, siber suçluların telefon ağına saldırması ve iletişiminizi kesmesi oldukça kolay oluyor. Bir bilgisayar korsanı ağı ele geçirmeyi başarırsa, size SMS ile gönderilen 2FKD doğrulama kodlarını da kullanabilir ve herhangi bir hesaba giriş yapabilir. Dmitry Kurbatov konu hakkında şunu söylüyor: “Bu saldırı türü, şifre kurtarma işlemi için SMS kullanan herhangi bir kaynak (gerçek veya sanal para birimi) için işe yarıyor.”

Ele geçirilebiliyor olsa bile, SMS tabanlı 2FKD halen hiç koruma kullanmamaktan daha iyi bir seçenek. Ancak veri güvenliğiniz konusunda ciddiyseniz, Google Authenticator uygulaması gibi alternatif bir kimlik doğrulama yöntemi kullanmayı düşünmelisiniz.

Güvenlik uzmanları ayrıca dijital hizmetler için farklı bir telefon numarası (örneğin Google Voice) kullanmayı öneriyor. Güvenli bir 2FKD hizmeti için güvenlik anahtarları veya güvenlik açıkları bulunan SMS protokolünü kullanmayan Google bildirimlerini de kullanabilirsiniz.

Güvenliğine ve gizliliğine önem veren tüm kullanıcıların hizmet sağlayıcılardan talep etmesi gereken diğer bir şey de SMS tabanlı olmayan 2FKD seçeneğinin de sunulması. Böylelikle, kullanıcılar saldırıya uğrama endişesi taşımadan hesaplarına gönül rahatlığıyla giriş yapabilirler.

Tüm hesaplarınızı (Amazon, Dropbox, Facebook, PayPal, vs.) kontrol edip ek bir güvenlik katmanı eklemek için daha fazla gecikmeyin.

Popüler hizmetlerin büyük bir bölümü ya 2FKD ya da 2AD seçeneklerini müşterilerine zaten sunuyor. Aynı amaç için kullanılabilen özel bazı uygulamalar da (örneğin Authy veya Duo Mobile) bulunuyor. Bir web sitesinin 2FKD veya 2AD kullanıp kullanmadığından emin değilseniz, bunu kontrol edebileceğiniz bazı siteler de var.

Güvenliğinizi bir sonraki seviyeye taşımak istiyorsanız, çevrimiçi güvenliğinizi artırmak için bir VPN kullanmayı da düşünmelisiniz. NordVPN internet trafiğinizi yeni nesil şifreleme teknikleriyle korur ve siber saldırganların şifreleriniz ile hassas bilgilerinize erişmesini zorlaştırır. 2FKD ve NordVPN kullanmaya hemen şimdi başlayarak verilerinizin kontrolünü elinize alın.