Yeni başlayanlar için iki faktörlü doğrulama

Yeni+ba%C5%9Flayanlar+i%C3%A7in+iki+fakt%C3%B6rl%C3%BC+do%C4%9Frulama
ABONE OL

Gazeteci Oğuz Bakır, iki faktörlü doğrulamaya (2FA) dair merak edilenleri Medyakoridoru için kaleme aldı...

Oğuz Bakır - Serbest Gazeteci

[email protected]

 

Şifreler, istenmeyen ziyaretçileri hesaplarınızdan uzak tutan kırılgan duvarlardır. Hep koruması söz konusu olduğunda, iki faktörlü kimlik doğrulama, mevcut olan en etkili önlem ya da savunmalardan biridir.

İki faktörlü kimlik doğrulama (veya kısaca 2FA), şifrenizin ötesinde ikinci bir faktör olan ikinci bir bilgi parçası gerektirerek oturum açma güvenliğini güçlendirir. İkinci bilgi parçası, genellikle telefonunuz (ya da parmak izleriniz) gibi sahip olduğunuz bir cihaz tarafından iletilen geçici bir koddur.

İki faktörlü doğrulamanın çeşitli isimler ile duyabilirsiniz (örneğin; çok faktörlü kimlik doğrulama, iki adımlı doğrulama) ancak bu içerikte iki faktörlü doğrulama ya da kısaca 2FA olarak bahsedeceğim.

NEDEN 2FA KULLANMALISINIZ?

Büyük ölçekli parola ihlalleri gerçekleştiğinde kimlik bilgileri genellikle online ortamlarda ve bilgisayar korsanlığı forumlarında satılır veya değiştirilir. Bazı korsanlar bunu eğlence için yaparken bazıları da bu konuda ücretli olanlar tarafından yapılır. Diğer yandan genellikle bu yapılan kişisel değildir. Nadir olarak korsanların hedefinde belirli grup ya da kişi bulunur.

E-posta hesapları genellikle korsanlar tarafından en fazla ele geçirilenlerdendir. Çünkü, e-postalar diğer web hesaplarına giriş yapmak için kullanılır.

Hesabınızın ele geçirilme olasılığının yüksek olduğunu şunlar üzerinden tahmin edebilir ve yol izleyebilirsiniz:

  • Korsanlar ilk olarak kısa veya tahmin edilebilir şifreler üzerinden hareket ederler.
  • Aynı şifreyi her hesabınız için kullanmamaya çalışın.
  • Korsanlar, kimlik bilgilerinizi ifşa etmeniz için sizi kandırma yollu sahte kimlik avı sayfaları oluşturur. Bunlar, güvenilir bir kaynaktan (Örneğin; Twitter) geliyormuş gibi görünen ve sizi güvendiğiniz gerçek bir site için sıradan görünen bir giriş sayfasına yönlendiren bir e-postalar olabilir. Ancak o siteler onların kontrolündeki sahte bir sitedir. Bu nedenle, giriş safasının URL’sinin yanı sıra e-posta’yı gönderenin adresine de yakından bakmak oldukça önemlidir.
  • Korsanlar genellikle kimlik avı e-postası için iyi bir bahane oluşturmak için herkese açık bilgilerinizi toplayarak çalışmalarını yaparlar. Bir arkadaşınızı veya iş arkadaşınızı taklit edebilir veya sizi sahe bir giriş sayfasına yönlendirebilir.

Bunlar, tüm e-posta hizmetlerini etkileyen yaygın saldırılardır. Mümkün olan her yerde, özellikle e-posta’nızda 2FA’yı etkinleştirmelisiniz. Favori servisinizi 2fa.directory’de destekleyip desteklemediğinizi kontrol edebilirsiniz.

O halde 2FA’yı kullanmanın birkaç yolunu şu şekilde inceleyebiliriz;

2FA YAKLAŞIMLARI

Hesaplarınıza 2FA eklemek için yaygın olan desteklenen birkaç basit yaklaşım vardır. Ancak bunları kullanmanın tek bir “doğru” yolu yoktur ve her birinin güvenlik konusunda kendine özgü hususları vardır.

OLDUKÇA İYİ BİR SEÇENEK: SMS KULLANIMI

2FA’yı kurarken, çoğu hizmet SMS seçeneğini kullanmanıza izin verir. Giriş yaptığınızda, mobil cihazınıza kısa bir onay kodu alacaksınız. Giriş sırasında kodu da şifreniz ile girmeniz yeterli olacaktır.

 

Metin mesajları, 2FA kodlarına erişmenin ilk olarak en sağlam yoludur. Ancak yalnızca telefon ağı kadar güvenilirdir. Örneğin, ağ erişiminizi kabederseniz veya ülke dışına seyahat ederseniz metin mesajlarını alamayabilirsiniz.

Çoğu kişi için SMS tabanlı 2FA, tek başına bir parola kullanmaktan çok daha iyidir.

Buna konuya şöyle bir örnek ile bakabiliriz;

Bir korsan, Verizon’u SMS alımından uzak bir cihazdaki yeni bir SIM karta yönlendirmeye ikna ederek önde gelen bir Black Lives Matter aktivisti olan Deray McKesson’un Twitter ve e-posta hesaplarına girmeye çalışırken SMS ile olan 2FA nedeniyle başarısız oldu.

Elbette bu kulağa ürkütücü geliyor ama asıl konu: Korsan, sadece bir parola ile sisteme girmekten çok daha fazla çalışmak zorunda kaldı.

Az önce de belirttiğim gibi SMS ile 2FA oldukça kullanışlı ve güvenilirdi.

İKİNCİ SEÇENEK: KİMLİK DOĞRULAMA UYGULAMALARI

Bazı hizmetler, bir mobil uygulamadan geçici oturum açma kodunuzu almanızı sağlar. Google Authenticator, Authy, Duo Mobile ve diğerleri gibi birçok seçenek arasından seçim yapabilirsiniz. 
 

 

Bazı web hizmetleri, aynı hesaba birden fazla kimlik doğrulama uygulaması eklemenize izin verir. Bu, birden fazla kişinin erişmesi gerektiğinde oturum açma kodlarını almak için inanılmaz derecede yardımcı olabilir. Kimlik doğrulama uygulamaları, bulunduğu cihazınıza erişiminiz olmadığında (Örneğin; uluslararası seyahat ederken) çalıştıkları için de harikadır.

Ancak, giriş bilgilerinizi çalmak için sahte bir web sitesine parola girilmesi gibi sahte bir web sitesine de kimlik doğrulama kodları girilebilir. Bunun için daha da iyi bir yol izleyebiliriz.

EN İYİ SEÇENEK: GÜVENLİK ANAHTARLARI

Şu anda güvenlik anahtarları, 2FA’yı kullanmanın en güvenli ve verimli yollarından biridir. Güvenlik anahtarı, hesabınızda kimlik doğrulaması yapmak için kullanabileceğiniz fiziksel bir USB cihazıdır.

Dünyadaki en popüler seçeneklerden biri olan YubiKey’in fiyatı ise 25 dolardan başlıyor.

2FA kimlik bilgilerinizi girmenizi istediğinde, bir kod yazmak yerine güvenlik anahtarınızı girmeniz ve oturum açma sırasında isteğe bağlı olarak tek bir dokunuşunuz yeterlidir.

Güvenlik anahtarları, kimlik avı saldırılarına karşı oldukça dirençlidir ve bu da onları mevcut olan en iyi seçeneklerden biri  haline getirir. Kod tabanlı 2FA’nın aksine, kimlik avı sitelerinin güvenlik anahtarlarından gelen bilgileri ele geçirmenin bir yolu yoktur.

Ancak, YubiKey ile ilgili tek sorun, bir tanesini denediğiniz anda onları her yerde kullanmak istemenizdir ama maalesef kullanamazsınız.

Güvenlik anahtarları henüz kimlik doğrulama uygulamaları kadar iyi desteklenmemektedir. Ancak standart olarak büyük web sitelerinde ilgi görmektedir. Örneğin; Google, Facebook. Dropbox ve diğer hizmetlere giriş yapmak için kullanılabilir. Hatta güvenlik anahtarları çoğu büyük tarayıcı tarafından da desteklenmektedir.

Özetle; sizin için en uygun ve prtaik olan 2FA yönetimini kullanmalısınız. SMS tabanlı 2FA, önemli bir başlangıçtır. Ancak mümkünse kimlik doğrulama uygulamalarını veya güvenlik anahtarlarını kullanmayı da bir düşünün…

2FA NASIL KULLANILIR?

2FA’yı dakikalar içerisinde kurarak kullanmaya başlayabilirsiniz. ?

Örneğin, Gmail için nasıl kullanılacağına bakalım:

İlk olarak kurulum sayfasına giriş yapmalısınız.

Hesap simgesi (sağ üst) > Hesabım > Oturum açma ve güvenlik > Google’da oturum açma > 2 Adımla Doğrulama > Başlayın

 

 

 

 

 

 

 

 

İlk olarak, cihazınızı, telefon numaranızı ekleyerek kaydetmeniz gerekmektedir. Cihazınıza kayıt sayfasına gireceğiniz bir onay kodu gönderilecektir. Telefon numaranızı kullanmayı tercih ederseniz, daha sonra her zaman bu ayarı değiştirebilirsiniz.

Cihazınızı kaydettikten sonra SMS aracılığı ile 2FA kodlarını kullanabilirsiniz.

Kimlik doğrulayıcı uygulaması

2FA’yı kullanmanın bir diğer yolu olan kimlik doğrulama uygulamalarına bakacak olursak;

Öncelikle, seçtiğiniz uygulama mağazasına giriş yapıp ve Google Authenticator, Authy veya Duo Mobile gibi bir kimlik doğrulama uygulaması indirmelisiniz.

2FA sayfasında aşağı kaydırarak “Authenticator uygulamasına” girdikten sonra “Ayarla” seçeneğine tıklayın. Uygulamaya yeni bir hizmet kaybetmek için ekranınızda görünen barkodu taramanız istenecektir. Barkodu telefonunuzun kamerasıyla tarayın. Kod, uygulamanızda göründükten sonra kodu kurulum istemine yazın.

Bir kimlik doğrulama uygulamanız varsa artık SMS seçeneğini kullanmanıza gerek yoktur (Daha önce de belirttiğimiz gibi SMS 2FA yalnızca bir kimlik doğrulama uygulaması kullanarak kolayca kaçınabileceğimiz bazı risklerle birlikte gelir). Mümkün olduğunca bir kimlik doğrulama uygulaması kurduktan sonra SMS yoluyla yaptığınız 2FA’yı kaldırmayı unutmayın.

Güvenlik anahtarı

Yukarıda da belirttiğimiz gibi 25 dolardan başlayan fiyatlar ile YubiKey gibi bir güvenlik anahtarı satın alabilirsiniz. 

Güvenlik anahtarı ayarları oldukça kolaydır.


 

 

“Güvenlik anahtarlarına” gidin ve “Güvenlik anahtarı ekle” seçeneğine tıklayın. İstenildiği zaman tek yapmanız gereken USB’yi takıp doğrulama işlemini yapabilirsiniz.

Ancak, bazı dizüstü bilgisayarlarda (Örneğin; Macbook’larda 2016 serisi ve sonrası) yalnızca USB Type-C girişleri bulunur. Geleneksel bir USB 2.0 veya 3.0 girişi kullanmıyorsanız Type-C girişli bir güvenlik anahtarı cihazı almanız gerekecektir.

Güvenlik anahtarınızı ya da kimlik doğrulama uygulamanızı kaybetseniz bile yedek kodları kullanabilirsiniz. Bunun için de yedek kodlar ayarlarını aktif etmeyi unutmayın.

Bu yedek kodlar bölümünde bir dizi sayısal kodlar göreceksiniz. Bunu mümkünse bir şekilde (elbette en özel şekilde) not edip saklarsanız kayıp sorununu rahatça çözebilirsiniz.

SON ADIM

Kullandığınız platform 2FA özelliğine uygun olup olmadığını 2fa.directory üzerinden öğrenebilirsiniz.

Tüm bu anlatılanlar sonrasında hâlâ 2FA kullanmıyorsanız, bu durumu tekrar düşünmelisiniz.  

 

 

 

twitter takip