İki Faktörlü Kimlik Doğrulama

İngilizce ismiyle two-factor authentication… (hatta multi-factor de denilir, en az iki faktör olması önemlidir.) Hiç duymadıysanız ya da duyup ne olduğunu bilmiyorsanız özellikle son zamanlarda çok sık hacking konularında karşılaştığımızdan bu yazı sizin için.

Neden Bu Yazıyı Yazma İhtiyacı Duydum?

Gerek bilgi güvenliği süreçlerini yazarken gerekse Kişi Verilerinin Korunması Kanunu (KVKK) sürecinde aslında bu konuya bilgi güvenliği alanına dahil olan tüm çalışanlar olarak önem veriyorduk. Örneğin Kişi Verilerinin Korunması Kanunu (KVKK) Özel Nitelikli Kişisel Veriye uzaktan erişimde iki faktörlü kimlik doğrulama istiyordu. Ya da bankacılıkta son kullanıcılar farkında olsun ya da olmasın internet bankacılığı işleminde iki faktörlü kimlik doğrulama kullanıyorlar.

Ancak benim bugün bu yazıyı yazmamdaki sebep son zamanlarda sosyal medyada yaşanan, hesaplara gönderilen oltalama mesajları ile hesapların ele geçirilmesi. Çoğu kullanıcı iki faktörlü kimlik doğrulaması kullanmadığı için gerek ticari gerekse bireysel hesaplarını dolandırıcılara kaptırıyor. Tabii ki bu sadece sosyal medya için önemli değil örnek vermek gerekirse 2019 yılında 700 milyon e-posta adresi ile 1,1 milyardan fazla kullanıcı adı ve parolasını içeren veri tabanı sızıntısı ortaya çıktı. Veri tabanı 87GB büyüklüğünde ve 1,1 milyar kullanıcının e-posta adreslerini barındırıyor. Burada aslında şunu da biliyoruz ki tek başına parola yeterli değil.

Bu konu ile ilgili sadece bireylerin değil kurumların da kendi çalışanlarını bilgilenmesi gerektiğini düşünüyorum. Kurumlar da bize gerekli teknolojileri sunarak aslında bizim verilerimizi korumaya çalışıyor. Ancak güvenlik kullanıcı seçimine bırakıldığında, kullanıcı kendini farkındalığı kadar koruyabiliyor.

Bizler de birey olarak e-posta hesaplarımızı ya da sosyal medya hesaplarımızın güvenliğini önemsiyoruz. Ayrıca bu hesapları özellikle e-ticaret, eğitim, oyun ve diğer sosyal medya hesaplarında ayrı bir profil yaratmamak için de kullanıyoruz. Yani örneğin e-posta hesabımız ele geçirildiğinde sadece e-postayı değil, o e-postayla erişim sağladığımız her platforma olan erişimimizi kaybediyoruz.

İki Faktörlü Kimlik Doğrulama Nedir?

İki faktörlü kimlik doğrulama; kullanıcı kimliklerini saptamaya yarayan bu teknoloji iki farklı bileşenden oluşur. Üç farklı bileşen vardır ve bu bileşenlerin ikisinin de doğrulanması halinde bir son kullanıcı sisteme giriş yapabilir. Bu bileşenleri aşağıda verelim:

• Bildiğin: Size sorarak sizden bilgi alabildiğimiz veriler, örneğin parolanız.
• Olduğun: Sizin fiziksel özelliğinizi oluşturan bir biyometrik veriniz, örneğin parmak izi, el izi ya da göz taraması.
• Sahip olduğun: Size ait, sizin dışınızda bir varlık, örneğin cep telefonunuz.

Bu 3 faktörden ikisini kullanarak kötü niyetli kişilerin sizin hesaplarınızı ele geçirme ve sizin yerinize işlem yapma ihtimalini düşürürsünüz. Çünkü kötü niyetli bir kişinin aynı anda hem sizin parolanıza hem cep telefonunuza sahip olma olasılığı tek başına parolanıza sahip olma olasılığından çok daha düşüktür.

Örneğin;

• Bankacılıkta, önce şifre girişi (bildiğin) ardından telefonunuza gelen tek kullanımlık şifre (sahip olduğun)
• Spor salonuna girerken, önce kart okutma (sahip olduğun), sonra el izi okuyan cihazda el izini okutma (olduğun)

Bu örneklerdeki gibi kombinasyonlar çoğaltılabilir. Önemli olan iki farklı faktörün bir araya gelmesiyle güvenlik sağlamaktır.

Nasıl İki Faktörlü Kimlik Doğrulamayı Aktif Edebilirim?

Yukarıdaki bilgiler doğrultusunda iki faktörlü kimlik doğrulamaya ihtiyacınız olabileceğini ancak bunu nasıl yapacağınızı bilmiyorsanız Gmail ve Facebook kullananlar için aşağıda örnekliyorum.

Google için: Profil resminize tıkladığınızda “Google Hesabı” yazısını tıklayın. “Güvenlik” kısmından “İki adımlı doğrulama” kısmı eğer “Açık” olarak görünmüyorsa bu alana tıklayın. Bu adımdan sonra Google sizi bu ayarı açmanız için gerekli yönlendirmeyi yapacaktır.

Facebook için: Facebook sayfanızın en sağ kısmına tıklayıp açılan menüden “Ayarlar” seçeneğini seçiyorsunuz. Soldaki menüden “Güvenlik ve Giriş” seçeneğini seçip “İki Faktörlü Kimlik Doğrulama” ayarını “Açık” konuma getiriyorsunuz. Eğer sayfanın tasarımı farklılaştıysa ve yerini bulamadıysanız yardım alanına “iki faktörlü” yazdığınız anda karşınıza seçenekler çıkmaktadır.

Bu ayarları yaptıktan sonra her hesaba bağlandığınız yeni cihazda bu sistemler mesaj gönderecektir. Böylece kötü niyetli bir kişi sizin parolanızı ele geçirse dahi, bağlandığı cihaz tanımlı olmadığından dolayı sistem doğrulama mesajı gönderecektir. Ancak mesaj kötü niyetli kişiye değil size gelecektir. Siz de bu durumda en kısa zamanda bu parolayı, hatta başka sitelerde de bu parolayı kullanıyorsanız (ki kullanmayın) onları da değiştireceksiniz.

İki faktörlü kimlik doğrulama aslında sizin açınızdan çok basit bir güvenlik önlemi. Mutlaka kullanın, çok faydasını görürsünüz.

Kişisel bilgi güvenliğiniz için uygulayabileceğiniz başka pek çok başka önlemler de bulunmaktadır. Parolalarınızı karmaşık seçmeniz (rakam, büyük-küçük harf, özel karakter), parolalarınızı düzenli aralıklarla değiştirmeniz gibi.