Evinizin kapısının kaç tane kilidi bulunmakta? Hem alt hem üst mü? Belki bir de sürgülü kilidiniz vardır. Peki, kilitleri ne için kullanıyoruz? Can ve mal güvenliğini sağlamak adına, değil mi? Fiziksel dünyada güvenliğimize önem veriyorken, neden siber dünyada da aynı şeyi yapmayalım? Tam da bu noktada devreye 2 faktörlü kimlik doğrulama(2FA) girmektedir. Bu sayede dijital güvenliğimizi sağlayıp, kötü niyetli ataklara karşı kendi kilidimizi devreye alabiliriz. Öyleyse ‘2FA nedir’ diye sorarak keşfetmeye başlayalım.
2FA Nedir?
Benim ismim nedir? Doğukan. Peki, benim Doğukan olduğuma gerçekten nasıl inanırsınız? Belki kimliğimi görmek isteyebilir belki de çevremdeki insanlara ismimin ne olduğunu sorarak teyit alabilirsiniz. Two Factor Authentication(2FA) da, adından da anlaşılacağı üzere 2 adımlı bir doğrulama ve güvenlik prosedürüdür.
İki, birden iyidir, değil mi? Gerçek hayattan örneklerle zihnimizi canlı tutmaya devam edelim. Bir düşünün. Bankanızda bir kasanız var ve içinde maddi-manevi sizin için çok kıymetli varlıklarınız var. Bankanızdaki kasanıza erişmek için yalnızca size tanımlı bir parola bulunuyor. Bu parolayı, unutmamak adına bir kağıda yazıyorsunuz. Fakat günün birinde kötü niyetli bir kişi bu gizli bilgiye erişiyor. Bankanızdaki kasanıza gidiyor ve size ait olan parola ile içindeki tüm varlıklara ulaşıyor. Eğer bankanın güvenlik kıstası yalnızca “parolanın doğru olup olmadığını sorgulamaksa”, bu durum oldukça zaiyata sebebiyet verecektir. Peki, bir de şöyle düşünelim. Bu kasanıza erişmek için sadece parola yeterli olmasaydı ve kimlik bilgileriniz de istenseydi? O zaman ek bir güvenlik katmanı oluşurdu, değil mi? İşte iki faktörlü kimlik doğrulama(2FA) da tam olarak buna hizmet etmektedir. Ek bir güvenlik katmanı.
Hadi gelin birlikte bir de 2FA’nın nasıl çalıştığını inceleyelim, ne dersiniz?
2FA Nasıl Çalışır?
İki faktörlü doğrulamanın ne olduğunu, örnek senaryolarla daha iyi kavradığımızı düşünüyorum. Şimdi ise bu ek katmanlı güvenlik prosedürünün nasıl çalıştığını keşfedelim. Ancak öncesinde size bir soru sormak istiyorum. Aşağıda listelediğim mecralardan hangilerini kullanıyorsunuz?
– Instagram,
– Twitter,
– Mobil Bankacılık,
– Google/Gmail,
– Apple/iCloud
Çok yüksek bir olasılıkla bunlardan bir veya daha fazlasını aktif olarak kullanıyorsunuzdur. Yalnızca bu listelediğim 5 madde özelinde değil, aynı zamanda daha birçok platform ve uygulama için de 2FA uygulanabilmektedir. Şimdi… Nerede kalmıştık…
- Adım: Kullanıcı Girişi Başlatır
Kullanıcı, erişmek istediği sisteme veya uygulamaya kullanıcı adını ve parolasını girer.
- Adım: İlk Faktörün Doğrulanması
Girilen kimlik ve parola bilgileri doğrulanır/onaylanır.
- Adım: İkinci Faktörün İstenmesi
İlk faktörün doğrulanmasının akabinde sistem, kullanıcıdan ikinci faktörü doğrulamasını istemektedir. Bu doğrulama, genel itibari ile gönderilen bir kod ile teyit edilmektedir. Bankadaki kasanızın bulunduğu örneği hatırlayın. Parola + kimliğin teyit edilmesi aşaması…
- Adım: İkinci Faktörün Doğrulanması
Kullanıcı tarafından girilen kodun doğruluğu sistem tarafından teyit edilir.
- Adım: Kimlik Doğrulamanın Sonuçlanması
Birinci ve ikinci faktörün doğrulanmasının ardından kullanıcı erişmek istediği sisteme giriş yapabilecektir. Eğer bu adımlardan herhangi biri doğrulanamamışsa, erişim de söz konusu olmayacaktır.
Siber Güvenlik Açısından 2FA’nın Önemi
Bu kısma kadar birçok çıkarımda bulunduk. Bununla birlikte kötü niyetli kişilerin hesaplarımızı ele geçirebilme olasılığını minimize etmekle birlikte kendi güvenlik seviyemizi de arttırmış olduk. Peki, siber güvenlik penceresinden, 2FA’nın başka ne gibi önemleri olabilir? Bu konuya açıklık getirmek adına, alt başlıklar halinde detaylandırarak keşiflerimize devam edelim, ne dersiniz?
Şifre Zafiyetlerini Azaltmak için 2FA Kullanımı
İnternette kolaylıkla insanların kullandığı wordlistlere erişebilirsiniz. Bu listelerin içerisinde binlerce parola bilgisi bulunmaktadır. Brute force denemesi yapan kişi(ler), eğer sızıntı sonucu şifreniz internette geziyorsa hesabınızı da ele geçirmesi işten bile olmayacaktır. Ayrıca bu işlem olmaksızın da zararlı bir yazılımın cihazınıza bulaşması halinde yine hesap bilgilerinizin çalınması kuvvetle muhtemeldir. Tüm bunların önüne geçmek adına 2FA kullanımı büyük önem arz etmektedir.
Güvenliği Arttırmak için 2FA Kullanımı
İki faktörlü kimlik doğrulamanın zaten bir güvenlik prosedürü olduğunu belirtmiştim. Özellikle hassas ve kritik bilgilerinizin bulunduğu sistem/uygulamalarda 2FA’yı etkin olarak kullanmak elzem bir gerekliliktir.
Phishing Saldırılarını Engellemek için 2FA Kullanımı
Bedava peynir, yalnızca fare kapanında olur! Eğer bir yerlerden size ‘harika bir fırsat’ niteliğinde bir içerikle gelirse, bunu 2 hatta 3 kez gözden geçirmenizi öneririm. Örneğin, iletisim@turkcelI.com’dan size 20 milyonuncu abonemiz olarak 20.000 TL değerinde hediye çeki kazandınız. Gibisinden bir mail gelebilir. Üstelik tek yapmanız gerekenin mail içerisindeki linke tıklayıp, üye olduktan sonra bilgilerinizi doldurmak olduğu da söylenebilir. Böyle bir işlemi yapar mısınız? Kesinlikle yapmamalısınız. Dikkatli arkadaşlar fark etmiştir, @turkcelI.com’da bir L bir de büyük I(alfabede H harfinden sonraki harf) bulunmaktadır. Bunu gözden kaçırıp, böyle bir teklifi kabul ederseniz ve sisteme üye olursanız, kötü niyetli kişi(ler) parola ve diğer bilgilerinizi ele geçirecektir. Üstelik internet kullanıcılarının büyük bir bölümünün farklı platformlarda aynı şifreyi kullanmasını göz önünde bulundurursak…
Bununla beraber sosyal mühendislik kullanılarak da phishing ataklarının kurbanı olabilirsiniz. Bu konunun detayları için ilgili blog yazımı inceleyebilirsiniz. Eğer 2FA kullanıyorsanız, şifreniz ele geçirilse dahi iki faktörlü doğrulama sayesinde siber suçlular, hesaplarınıza erişemeyecektir.
Regülasyonlara Uyumluluk için 2FA Kullanımı
Kullanıcıların güvenliğini sağlamak ve veri sızıntısı gibi olayların önüne geçmek adına birçok standart, 2FA kullanımını zorunlu kılmaktadır. Buna uymayan firmalara ise yaptırımlar uygulanmaktadır. Örneğin, bir şirket çalışanın parolası siber suçlular tarafından ele geçirildi. Siber suçlular, bu şirket çalışanın hesabını kullanarak diğer personellerin ve dolayısıyla şirketin de verilerini ele geçirdi. Sonuç? Elbette ki itibar kaybı, maddi kayıp ve büyük bir hüsran. Eğer 2FA kullanımı mevcut olsaydı, bu durum gerçekleşemez miydi? Meçhul… Neden mi meçhul? Eğer telefona gelebilecek bir kod ile iki faktörlü doğrulama söz konusu ise ve telefonda ele geçirildiyse, ne olurdu? Tabii ki bu konunun da bir çözümü var; ‘MFA nedir?’ konusunu araştırabilirsiniz.
Gelgelelim bahsettiğim 2FA’yı zorunlı kılan regülasyon ve standartlara. Bunlar;
- GDPR
- NIST
- PCI DSS
- HIPAA
- FFIEC
Peki, siz 2FA kullanıyor musunuz? Eğer kullanmıyorsanız artık kullanmayı düşünüyor musunuz? Konu ile ilgili görüş ve fikirlerinizi yorumlar kısmından yazabilirsiniz. Sağlıkla ve güvenle kalın.