İki faktörlü doğrulama bilgi güvenliğini sağlayan bir güvenlik önlemidir. İki farklı bileşenin birlikte kullanılmasından oluşan, kişinin kimliğinin belirlenmesi durumudur. Bu sayede kullanıcının kimlik bilgilerinin ve erişim sağlayacağı kaynakların korunması hedeflenmektedir. İki faktörlü kimlik doğrulaması, günlük hayatta artık sıklıkla karşılaşmaya başladığımız bir güvenlik önlemidir. Dijitalleşmenin hızla geliştiği günümüzde artık tek şifreleme yöntemi güvenilirliği sağlayamamaktadır. Bu durumun etkileri ile karşılaşmamak için geliştirilen iki faktörlü doğrulama yönteminde asıl amaç, kullanıcının bilgi güvenliğidir. Özellikle finansal alanda ihtiyaç duyulan bu yöntem, en sık kullanım alanı olarak da banka hesapları üzerinden ilerlemektedir.
Kimlik doğrulama ağ, cihaz, uygulama gibi kaynakların etkin olma durumlarında kullanılır. Basit olarak kullanımı, kullanıcının yalnızca kendisinin bilebileceği bir parola ve sadece kullanıcıya ait özellikte bir nesnenin birleşimi ile kullanılmaktadır. Bir kaynağa erişim sağlayabilmek için kullanıcının kimliğini doğrulaması ve bu iki bileşenin aynı anda doğru olarak girilmesi gerekmektedir. Bu sayede sistem kişinin kimliği tespit edilmeden giriş yapılmasının önüne geçebilmektedir. Kişi, sistemin istediği iki kanıtı da yanlışsız girdiği anda erişim sağlayabilecektir. Burada bahsedilen iki kanıt; öncelikle kullanıcın sadece kendisinin bildiği bir parola ve yalnız kendisinin erişimi olan bir cihazın birlikte kullanılması zorunluluğudur.
İki faktörlü doğrulama yönteminden önce kullanılan sistemde, tek bir parola yeterli görülüyordu. Şimdi ise kullanıcının parolası dışında bir de kimliğinin tespiti için kullanıcıya ait bir cihazın varlığı gerekmektedir. Kullanıcı bu ikili doğrulamayı doğru sunduğu takdirde işlem yapmak istediği sisteme ulaşabilir. Bu sistem kullanıcı bilgilerinin korunması için fazlasıyla önemli etkide olması gerekirken, olması gerektiği kadar etkin kullanılamamaktadır. Bu durum da bilgi açığını ve saldırıları beraberinde getirebilmektedir.
Kimlik Doğrulama Faktörleri Nelerdir?
İki faktörlü doğrulama kullanılan farklı yollar bulunabilmektedir. Genelde kullanılan parola ile doğrulamaların bilgi faktörüne dayanıyor olmasının aksine, iki faktörlü kullanımda sahiplik faktörü geçerlidir.
Bilgi faktörü: bu alanda istenilen bilgiler, kimlik numarası, kullanıcı adı, kullanıcı parolası ve ya kullanıcın kendisin bildiği bir sorunun cevabı olabilmektedir.
Sahip olma faktörü: bu alanda istenilen şartlar; kullanıcıya ait kimlik kartı, akıllı telefon, mobil cihazlar ve akıllı telefon uygulamaları olarak sayabiliriz.
Biyometrik faktörler: Kullanıcının fiziksel olarak taşıdığı nitelikler ile kullanılan bir yöntemdir. Parmak izi, göz retinası, ses ve yüz tanıma gibi durumlar gerekli koşulu sağlayabilmektedir.
Konum faktörü: Belirli konum ve belirtilen cihazlar ile korumanın sınırlandırılması durumudur. Kullanıcı doğrulama işlemi için konum ve cihaz belirterek sınırlandırma yapabilir. İp adresi veya GPS verileri de konum faktörü ile getirilen sınırlandırmaya örnek olarak verilebilir.
Zaman Faktörü: Kullanıcının kimlik doğrulama işlemini belirli zaman aralığı ile sınırlandırması durumudur. Bu belirlenen aralığın dışında erişim engeli ile karşılaşılabilir.
İki faktörlü kimlik doğrulaması akıllı telefonlarda farklı olanaklar sağlayabilmektedir. Son dönemde cihazlar parmak izi okuma, yüz tanıma, göz retinası taraması yapabilme özelliklerini barındırabilmektedir. Bu özellikler için gerekli olanlar, ses tanıması özelliği için mikrofon, ve gerekli durumlarda kullanmak için ise kamera olması yeterlidir. Özellikle akıllı cihazlarda bulunan GPS desteği sayesinde konum bilgisi güvenlik önlemi için kullanılan faktörlerdendir.
Mobil Cihazlarda İki Faktörlü Kimlik Doğrulama
İki faktörlü kimlik doğrulaması mobil cihazlarda kullanabilirliği artırmaya yönelik geliştirilmiştir. Kullanıcının sahip olduğu akıllı telefon, tablet gibi cihazlar kullanıcının yalnızca kendisinin kullanımına sunulan kişisel cihazlar olarak görülmektedir. Cihaz kullanımında kullanıcının yetkinliği olabilmesi için, yalnızca kullanıcının bildiği bilgi ve tek kullanımlık olan oluşturulan bir kod ile kullanması gerekmektedir. Burada kullanılması gereken kod kullanıcıya akıllı telefonuna kısa mesaj olarak ve ya e-posta gibi, kişiye özel uygulamalar yolu ile yönlendirilmektedir. Mobil cihazlar üzerinden kullanılan kimlik doğrulamalarının avantajı, kullanıcının cihazı her an yanında taşıyabiliyor olmasıdır. Bu durumda da gerekli anlarda bilgi güvenliğini de sağlamış olmaktadır. Kimlik doğrulamasında kullanılan bazı uygulamalar kullanıcı için tek seferlik parola belirleyebilir. Kullanıcı bu parolayı kullandığında geçerli parola sıfırlanır ve sistem tarafından kullanıcıya yeni şifre yönlendirmesi yapılabilir. Bu işlem her parola kullanımının ardından tekrar edilir. Ayrıca güvenliğin yanısıra yanlış parola kullanılan durumlar da kayıt altında tutulmaktadır.
Mobil cihazlarda kimlik doğrulama kullanmanın,
Avantajları;
- Kullanmak için ek bir varlığa ihtiyaç duyulmaz, kullanıcının her an yanında olan cihazlar sıklıkla tercih edilenlerdir.
- Parola kullanıldığı anda otomatik olarak sıfırlanmakta ve her kullanımda yeniden oluşturulmaktadır. Bu özellik sabit olarak kullanılan parolalara göre daha güvenli olabilir.
- Parola denemelerin bir sınırı vardır. Bunun getirisi olarak da yetki dışında kullanılma riskini azaltabilir.
Dezavantajları;
- Ani gelişen yetkilendirme gerektiğinde mobil cihaza gerek olmaktadır. Eğer cihaz kullanıcının erişim sağlayabileceği alan dışında veya kullanımına engel olabilecek durumda ise işlem gerçekleştirilemeyebilir.
- Kimlik doğrulaması için kullanıcının cihaz bilgisini paylaşması gerekmektedir. Bu durum da kişisel veri güvenliğinin sorunlarla karşılaşmasına neden olabilmektedir. Özellikle spam potansiyelinde artışlar görülebilmektedir.
- Kullanıcı tarafına yönlendirilen parola güvenli olmayabilir. Parola iletimi aşamasında araya üçüncü bir şahısın girme olasılığı durumu doğabilir.
- Parolaya ihtiyaç halinde gecikmeler yaşanabilir bu durum da yetkilendirme aşamasını etkileyebilir.
- Kullanıcının cihazının çalınması durumu ile karşılaşılabilir. Bu da tüm yetkilerin farklı kişilerin eline geçmesine neden olabilir.
- Kötü amaçlı kullanılan yazılımlar ile kullanıcının bilgilerine erişilebilir.
İki Faktörlü Kimlik Doğrulaması Nasıl Çalışır?
- Kimlik doğrulamanın çalışabilmesi için kullanıcının yetkinliğinin istendiği sayfaya oturum açması gerekmektedir. Sistemin kullanıcıyı tanımasının ardından gerekli eşleşme gerçekleştirilir.
- Parola gerekliliğinin olmadığı durumlarda site kullanıcının güvenlik anahtarı kullanmasına olanak vermektedir. Kimlik doğrulama araçları güvenli anahtarını işler ve site sunucusunu anahtarı doğrular.
- Bu adımın ardından, kullanıcıdan ikinci oturum açma adımına geçilir. Bu adımda, genel anlamda kullanıcının biyometri, mobil cihaz, kimlik kartı gibi kullanıcının kendisine ait olduğunu kanıtlayacağı faktörlerin olduğu aşamadır.
- Bu adımların ardından kullanıcının tek seferlik sahip olduğu parola adımı gelmektedir. Her iki faktörün sağlanmasından sonra siteye giriş izni verilir.
İki Faktörlü Kimlik Doğrulaması Nasıl Kullanılır?
İki faktörlü kimlik doğrulaması yapabilmek için gerekli uygulamalar yüklenmelidir. Yüklenen uygulama tarama işlemi sonucu gerekli bilgileri doğrulama işlemi gerçekleştirmektedir. Sıklıkla karşılaşılan uygulamalara örnek olarak;
- Google Authenticator
- Duo Mobile
- Amazon AWS MFA
- Authenticator
Kimlik doğrulaması uygulamaları, yükleme adımları doğru izlendiğinde sorunsuz çalışmaya başlayacaktır.
İki Faktörlü Kimlik Doğrulama Kullanan Siteler Hangileri?
Kullanabilmek için hesap oluşturulan ve giriş yapılması zorunlu olan sitelerin birçoğu iki faktörlü kimlik doğrulaması kullanmaktadır. Özellikle sık kullanılan Facebook, Google, Linkedln ve Twitter gibi sitelere, doğrulama yapılabilmesi için telefon numarasına ihtiyaç olmaktadır.
Sayfanın ayarlar bölümünde iki faktörlü kimlik koruması olup olmadığı kontrol edilebilir. Bu alan sayesinde hangi sitede doğrulama kullanımına izin verildiğine ulaşılabilir.
İki Faktörlü Kimlik Doğrulaması ile Her Saldırı Engellenebilir Mi?
Kullanıcı, kimlik doğrulaması kullansa dahi şüpheli gördüğü noktalarda tedbirli olmalıdır. İki faktörlü kimlik doğrulamasının engelleyemediği durumlarla karşılaşma olasılığının bulunduğunun bilinmesi faydalı olabilir. Özellikle kullanıcının parola için kullandığı telefon numarasına erişilebilme olasılığı bulunabilmektedir.
İki Faktörlü Kimlik Doğrulama Özelliği Nasıl Kapatılır?
İki faktörlü kimlik doğrulama özelliğini kapatmak için gerekli adımlar izlendiğinde oldukça kolay olmaktadır. Cihazın ayarlar kısmında yer alan iki adımlı doğrulamayı kapat kısmında aktif özelliğini kaldırabilirsiniz. Bu işlemin gerçekleştirilmesinin ardından, doğrulamaya gerek kalmamaktadır. Fakat bu durumun getirisi olarak dolandırıcılıklara karşı açıklar oluşabilmektedir.
Güvenli internet kullanımı konusunda SSL güvenlik sertifikasının önemi hakkında daha fazla bilgi için tıklayın.