İki Faktörlü Kimlik Doğrulama Nedir? Neden Kullanmalıyız?
Bu içeriğimizde iki faktörlü kimlik doğrulama nedir? Sorusunu cevaplarken aynı zamanda ‘ilgili’ alt başlığı ile Google Auth ve Microsoft Auth gibi şifrematiklerin ne işe yaradığını, ne olduklarını detaylı bir şekilde siz okuyucularımıza önereceğiz. Birçok kişi tarafından 2FA nedir? Sorusu olarak da gündeme gelen iki faktörlü kimlik doğrulama konusuna gelin hep birlikte yakından bakalım!
İki Faktörlü Kimlik Doğrulama Nedir?
İki faktörlü kimlik doğrulama, bir kullanıcının (bu herhangi bir platformun kullanıcısı olabilir. Örneğin; Gmail, Proton mail veya bazı kripto para alım satım platformları vb.) en az iki farklı şekilde, kullandığı profilin sahibi olduğunu kanıtlama, doğrulama durumudur diye açıklanabilir. Kısacası, profilinize ya da hesabınıza ekstra bir güvenlik katmanı ekleme durumudur.
Çevrimiçi ortamda geçirilen zaman gün geçtikçe artıyor. Bu artışın yanında dünyanın her noktasından yeni kullanıcılar da çevrimiçi oluyor. Birçok kişi çevrimiçi güvenlikten bir haber. Bu yüzden bu içeriği hazırlamamızın en önemli nedenlerinden bir tanesi de kişisel olarak profillerimizin güvenliğini artırabilmemiz.
Farklı platformlardaki farklı kişilerin birçoğu (Özellikle Twitter ve Telegram) SS7 saldırısına maruz kalmış olabilir. SS7 saldırısı temelde size gelen SMS kodunu almakla sonuçlanır. Twitter’a giriş için kullandığınız SMS kodunun bir başkasının eline geçmesi demek, o kişinin Twitter profilinize giriş yapabiliyor olması demektir. Unutmayın; artık SMS kodu almak o kadar da güvenli bir yol değil. Bu yüzden şifrematikleri kullanmak şimdilik daha güvenli.
Android işletim sistemine sahip cihazları kullanan kişilerin indirdikleri uygulamalara dikkat etmeleri gerekiyor. Mobil Uygulama Dolandırıcılığı! 150’den Fazla Uygulama Dolandırıcı Çıktı!Çünkü zararlı yazılım gömülü bazı uygulamaların şifrematiklere müdahale ettiği ve kodları çaldıkları geçmişte yaşanan korkunç olaylardan sadece birisi.
En çok bilinen ve en çok kullanılan şifrematik şu an için Google Authenticator adlı uygulama. Uygulamanın isminden de anlaşılacağı üzere geliştiricisi Google! Fakat her ne kadar geliştirici Google olsa da birçok kişide güven problemi var. Bu yüzden kullanıcıların bir kısmı açık kaynak kodlu şifrematiklere yöneliyor. Google’ın veri toplama sistemini ve çalışma sistemini düşününce de aslında pek de mantıksız gelmiyor.
İki faktörlü kimlik doğrulama | Örnekler:
Bir Twitter hesabınız olsun. Bu hesaba parolanız ile giriş yaparsanız otomatik olarak açarsınız. Bu güvenlik konusunda aslında büyük bir problem. SMS doğrulaması SS7 saldırısına maruz kalmanızı sağlar. Bu siber saldırının gerçekleştirilmesi bu kadar kolay mı? Tabii ki değil. Bu saldırı temelinde genel bir güvenlikten bahsetmemiz mümkün. Bu, sadece bir örnek. Bu yüzden ekstra güvenlik katmanı olarak en güvenli yol Auth.
Google Authenticator örneğini verdik, buradan gidelim. Google Auth kullandığınız zaman; Twitter parolanızı girdiğinizde Google Auth tarafından size belli bir süreliğine bir şifre gösterir. Bu şifre 6 haneden oluşur. Eğer söylenen süre içerisinde o kodu girmezseniz Google Auth size yeni bir şifre oluşturur. Her girişinizde buradan şifre almak zorundasınız. Biraz zahmetli olduğunu düşünebilirsiniz fakat kesinlikle diğer yönteme göre (SMS doğrulaması) daha güvenli.
Google Auth yerine açık kaynaklı güvenilir bir şifrematik kullanabilirsiniz. Bunun için direkt ismi Auth olan uygulamadan yukarıda da bahsettik. Tabii ki araştırmadan kullanmamalısınız. Ayrıca şunu sakın unutmayın: Eğer şifrematiği telefondan silerseniz ya da telefona format atarsanız vs. o şifre olmadan profilinize asla giremezsiniz. Aslında asla dememeliyiz. Çünkü 2 yol var. Birincisi Auth’a bağladığınızda profilinizin size verdiği yedek şifreyi kaydetmelisiniz. İkinci yol ise oldukça kötü ve zor. Eğer şifrematiğe erişiminizi kaybederseniz ve platformun size sunduğu şifreyi kaydetmediyseniz o platform ile iletişime geçmelisiniz. Kimlik doğrulaması yapmanız gerek.
Bazı platformlarda kimlik doğrulaması yapılsa bile hesabınıza erişiminize izin verilmeyebilir. Bu yüzden dikkatli kullanılmalıdır. Not: Auth kullanırken internete gerek yoktur.
İlgili:
- Google Authenticator Nasıl Kurulur? Google Auth Hakkında!
- Microsoft Authenticator Nasıl Kurulur? Microsoft Auth Nasıl Kullanılır?
- İkili Doğrulama Kullanın: Google Auth’a En İyi 5 Alternatif!
