İki faktörlü kimlik doğrulama (2FA), kullanıcıların kimliklerini doğrulamak ve ek bir hesap güvenliği katmanı sağlamak için kullanılan bir tür çok faktörlü kimlik doğrulamadır (MFA). Bu doğrulama türü ile kullanıcıların, çevrimiçi hesaplarına erişmelerine izin verilmeden önce iddia ettikleri kişi olduklarını kanıtlamaları için iki faktör sağlamaları gerekir.

2FA, parola veya geçiş kodu gibi sadece bir faktöre dayanan tek faktörlü kimlik doğrulamadan (SFA) daha yüksek düzeyde güvenlik sunar. Hesap güvenliği, bilgisayar korsanlarının özellikle kullanıcıların hassas verilerine yetkisiz erişim elde etmek için çeşitli gelişmiş yöntemler kullandığı günümüzün tehdit ortamında oldukça önemlidir.

İki Faktörlü Kimlik Doğrulama Nasıl Çalışır?

2FA, kullanıcıları iki faktör veya kimlik doğrulama ile onaylayarak çalışır. SFA yöntemlerine benzer şekilde, kullanıcı oturum açma alanına kullanıcı adını ve şifresini girer. Sistem daha sonra kullanıcıdan aşağıdaki kategorilerden birinden ikinci bir faktör girmesini isteyecektir:

Bilgi faktörü: Tek seferlik bir parola (OTP), kişisel kimlik numarası (PIN), bir güvenlik sorusunun yanıtı

Sahip olma faktörü: Bir mobil cihaz veya başka bir fiziksel cihaz, bir donanım veya güvenlik belirteci

Kalıtım faktörü: Parmak izi, yüz tanıma, retina taraması vb. biyometrik onaylar

İki kimlik doğrulama faktörünün kullanılması ek hesap güvenliği sağlar. Bir siber suçlu, parola gibi bir faktörü ele geçirse bile ikinci faktöre erişme olasılığı düşüktür. 

İki Faktörlü Kimlik Doğrulama Neden Önemlidir?

İşletmelerin her yıl milyonlara mal olan veri ihlalleri nedeniyle, daha sıkı veri güvenliği uygulamalarını benimsenmesi çok önemlidir. 

Bu noktada sıfır güven mimarisini (ZTA), hassas verilere erişmeden önce yeterli kimlik doğrulama ister veya doğrulama sağlayana kadar hiçbir kullanıcıya güvenilmeyeceğini varsayar. 

2FA, bilgisayar korsanlarının ayrıcalıklı bilgilere yetkisiz erişim elde etmesini engellemeye yardımcı olduğu için sıfır güven mimarisinde yaygın olarak kullanılan bir güvenlik mekanizmasıdır.

İki Faktörlü Kimlik Doğrulama Hassas Verileri Nasıl Korur?

2FA yöntemleri, veri ihlallerine yol açan aşağıdaki siber tehditlere karşı korunmaya yardımcı olabilir:

1. Ele Geçirilmiş Parolalar

Siber suçlular, bir kullanıcının hesabına anında erişim elde etmek için çalınan parolaları kullanabilir. Bu parolalar genellikle, bilgisayar korsanlarının daha sonra kötü amaçlarla yararlandığı kazara veri sızıntıları yoluyla internette kolayca bulunur.

Bu uygulama o kadar yaygındır ki, Apple, iOS kullanıcılarının proaktif olarak parolaları değiştirebilmesi için güvenliği ihlal edilmiş parolaları algılayan bir güvenlik özelliği bile yayınlamıştır. 2FA, siber suçluların daha parola değiştirilmeden bir hesabı ele geçirmesini önleyerek daha fazla güvenlik sağlar.

2. Sosyal Mühendislik Saldırıları

Yaygın bir kimlik avı saldırı tekniği olan sosyal mühendislik saldırıları, meşru bir hizmetin/uygulamanın kimliğine bürünerek kullanıcıları cezbetmeye ve oturum açma kimlik bilgilerini girmeye teşvik eder. Siber suçlular daha sonra bu bilgileri, kullanıcıların gerçek hesaplarında oturum açmak ve kredi kartı veya banka hesabı bilgileri gibi değerli kişisel verileri tehlikeye atmak için kullanır.

Bilgisayar korsanlarından sahip olmadıkları ek bir doğrulama faktörü girmeleri isteneceğinden 2FA bu işlemi engelleyebilir.

3. Kaba Kuvvet Saldırıları (Brute-Force Attacks)

Kaba kuvvet saldırıları, bir bilgisayar korsanı doğru parolayı kırana kadar bir kullanıcının parolası üzerinde art arda rastgele tahmin denemeleri yaptığında meydana gelir. 2FA, tahmin edilemeyen ek doğrulama isteyerek bu sürecin tamamlanmasını engeller.

4. Keylogging

Keylogger’lar, kullanıcı adlarını ve parolaları girdikleri zamanlar da dahil olmak üzere, kullanıcıların tuş vuruşlarını kaydedebilen bir tür kötü amaçlı yazılımdır. Bilgisayar korsanları, hesapları hacklemek ve hassas verileri çalmak için bu çalınan kimlik bilgilerini kullanır. 2FA, kullanıcıları oturum açma girişimleri hakkında bilgilendirir ve ikinci kimlik doğrulama faktörü olmadan erişime izin verilemez.

5. Ortadaki Adam Saldırıları (Man-in-the-Middle-Attacks)

Ortadaki adam (MITM) saldırıları, bilgisayar korsanı bir kullanıcı ile bir web sunucusu arasındaki iletişimi kesip müdahale ettiğinde gerçekleşir. Örneğin, bir kullanıcı oturum açma kimlik bilgilerini bir web sitesine girerken bilgisayar korsanı yetkisiz erişim elde etmek için bu veri alışverişini gizlice dinleyebilir.

Fakat bilgisayar korsanı bu iletişimleri ele geçirse bile 2FA etkinleştirilmişse hesabı başarılı bir şekilde ele geçirmek için yine de ek doğrulamaya ihtiyaç duyar.

İki Faktörlü Kimlik Doğrulama Türleri 

Aşağıda en yaygın iki faktörlü kimlik doğrulama türlerini bulabilirsiniz:

1. SMS Doğrulaması

SMS doğrulama kodlarını kullanan hizmetler, kullanıcı oturum açmaya çalıştığında kullanıcının telefon numarasına bir metin mesajı gönderir. SMS, erişim elde etmek için ikinci faktör olarak kullanılan tek seferlik bir şifre (OTP) doğrulama kodu içerir.

Çoğu akıllı telefon kullanıcısı cihazlarını her zaman yanında taşıdığından, SMS doğrulamasına erişim kolaydır, ancak bu çok güvenli değildir. Bilgisayar korsanları, SIM kartları hackleyerek, klonlayarak veya metin mesajlarını engellemek için değiştirerek kolayca SMS bilgilerinize ulaşabilir.

2. Kimlik Doğrulama Kodu Oluşturma Uygulamaları

İki faktörlü kimlik doğrulama kullanan birçok hizmet sağlayıcı, ikinci doğrulama faktörünü oluşturmak için Google Authenticator gibi üçüncü taraf kimlik doğrulama uygulamalarına güvenir. Kimlik doğrulama uygulamaları, hem Apple hem de Android cihazlardaki herhangi bir üçüncü taraf hizmet sağlayıcıyla uyumlu hale getiren açık bir standart kullanır. Kullanıcılar, cep telefonlarında bir QR kodu tarayarak kimlik doğrulama uygulamalarını bu hizmetlere bağlayabilir.

Google Authenticator gibi uygulamalarda her kod yaklaşık 30 saniye sonra zaman aşımına uğradığından, diğer kimlik doğrulama kodu oluşturma yöntemlerinden daha fazla güvenlik sağlar. Ayrıca, kullanıcının cihazını kaybetmesi durumunda ileride başvurmak üzere not edilmesi gereken hesap kurtarma kodlarıyla birlikte gelirler.

3. Fiziksel Kimlik Doğrulama

Fiziksel kimlik doğrulama anahtarları nispeten yeni bir kimlik doğrulama ortamıdır. YubiKey gibi donanım belirteçleri, 2FA’yı kolaylaştırmak için doğrudan bir cihaza yerleştirilebilir. Yubikey, OTP destekli hizmetlerle güvenlik anahtarı olarak çalışan küçük bir USB sürücüsüdür.

Bir kullanıcı böyle bir hizmete giriş yapmaya çalıştığında, YubiKey’i cihazının USB portuna takar, hesap şifresini girer ve YubiKey’i kullanarak bir OTP oluşturur ve iki aşamalı doğrulama sürecini tamamlar.

Donanım belirteçleri, doğrudan web tarayıcılarıyla iletişim kurarak oturum açma sayfalarını doğrulamalarına ve kimlik avı girişimlerini önlemelerine izin verdiği için daha güvenli bir seçenek olarak kabul edilir. Aksi takdirde, kullanıcılar bilmeden kimliğe bürünme sitelerine kimlik doğrulama kodları girebilir. Bilgisayar korsanları, ele geçirilen bu kodları izin verilen süre içinde kullanırsa, kullanıcıların hesaplarına kolayca erişebilir.

4. Uygulama Tabanlı Kimlik Doğrulama

Artık birçok mobil uygulama, push bildirimleri aracılığıyla uygulamanın kendi içinde iki faktörlü kimlik doğrulama sunar. Örneğin, Google, kullanıcıların mobil uygulama aracılığıyla giriş yapma girişimlerini onaylayarak bilgisayar girişlerini doğrulamalarına izin verir. Microsoft da benzer bir özellik sağlar. Apple, iOS kullanıcılarının bağlı başka bir iOS aygıtına erişmek için bir aygıtta oturum açma bilgilerini doğrulamasına izin verir.

5. E-posta Kimlik Doğrulama Kodları

Bazı çevrimiçi uygulama ve hizmetler, kullanıcılara kimlik doğrulama kodları gönderir. Hala SFA’dan daha güvenli bir kimlik doğrulama yöntemi olsa da, e-posta hesapları bilgisayar korsanları için oldukça kolay bir saldırı vektörüdür. Kimlik doğrulama uygulamaları, doğrulama kodları için daha iyi veri güvenliği sağlar.