İki Faktörlü Kimlik Doğrulama

Ya da daha çok duyduğumuz İngilizce ismiyle two-factor authentication… (hatta multi-factor de denilir, en az iki faktör olması önemlidir) Hiç duymadıysanız ya da duyup ne olduğunu bilmiyorsanız bu yazı sizin için.

Neden Bu Yazıyı Yazma İhtiyacı Duydum?

Gerek bilgi güvenliği süreçlerini yazarken gerek KVKK sürecinde aslında bu konuya bilgi güvenliği alanına dahil olan tüm çalışanlar olarak önem veriyorduk. Örneğin KVKK Özel Nitelikli Kişisel Veriye uzaktan erişimde iki faktörlü kimlik doğrulama istiyordu. Ya da bankacılıkta son kullanıcılar farkında olsun ya da olmasın internet bankacılığı işleminde iki faktörlü kimlik doğrulama kullanıyorlar.

Ancak benim bugün bu yazıyı yazmamdaki sebep 17 Ocak 2019 tarihinde gerçekleşen 700 milyon kişinin e-posta ve şifresi bilgilerinin açığa çıkma durumuydu. Detay için BGA Security’nin Yalnız Değilsiniz, 700 Milyon Kişiyle Birlikte Hacklendiniz! yazısını inceleyebilirsiniz. Bu sızıntıyla aslında şunu da biliyoruz ki tek başına parola yeterli değil.

Bu konu ile ilgili sadece kurumların değil bireylerin de kendi kişisel hayatında bilgilenmesi gerektiğini düşünüyorum. Kurumlar da bize gerekli teknolojileri sunarak aslında bizim verilerimizi korumaya çalışıyor. Ancak güvenlik kullanıcı seçimine bırakıldığında, kullanıcı kendini farkındalığı kadar korunabiliyor.

Bizler de birey olarak e-posta hesaplarımızı ya da sosyal medya hesaplarımızın güvenliğini önemsiyoruz. Ayrıca bu hesapları özellikle e-ticaret, eğitim, oyun ve diğer sosyal medya hesaplarında ayrı bir profil yaratmamak için de kullanıyoruz. Yani örneğin e-posta hesabımız ele geçirildiğinde sadece e-postayı değil, o e-postayla erişim sağladığımız her platforma olan erişimimizi kaybediyoruz.

İki Faktörlü Kimlik Doğrulama Nedir?

Vikipedi’den aldığım tanıma göre iki faktörlü kimlik doğrulama; kullanıcı kimliklerini saptama yarayan bu teknoloji iki farklı bileşenden oluşur.

Üç farklı bileşen vardır ve bu bileşenlerin ikisinin de doğrulanması halinde bir son kullanıcı sisteme giriş yapabilir. Bu bileşenleri aşağıda verelim:

  • Bildiğin: Size sorarak sizden bilgi alabildiğimiz veriler, örneğin parolanız.
  • Olduğun: Sizin fiziksel özelliğinizi oluşturan bir biyometrik veriniz, örneğin parmak izi, el izi ya da göz taraması.
  • Sahip olduğun: Size ait, sizin dışınızda bir varlık, örneğin cep telefonunuz.
İki faktörlü kimlik doğrulama
İki faktörlü kimlik doğrulama

Bu 3 faktörden ikisini kullanarak kötü niyetli kişilerin sizin hesaplarınızı ele geçirme ve sizin yerinize işlem yapma ihtimalini düşürürsünüz. Çünkü kötü niyetli bir kişinin aynı anda hem sizin parolanıza hem cep telefonunuza sahip olma olasığı tek başına parolanıza sahip olma olasılığından çok daha düşüktür.

Örneğin;

  • Bankacılıkta, önce şifre girişi (bildiğin) ardından telefonunuza gelen tek kullanımlık şifre (sahip olduğun)
  • Spor salonuna girerken, önce kart okutma (sahip olduğun), sonra el izi okuyan cihazda el izini okutma (olduğun)

Bu örneklerdeki gibi kombinasyonlar çoğaltılabilir. Önemli olan iki farklı faktörün bir araya gelmesiyle güvenlik sağlamaktır.

Örneğin bir sistem iki kademede de bize kimlik doğrulama için parola sorsaydı bu iki faktörlü kimlik doğrulama yaptığı anlamına gelmiyordu. Ama belki büyüktür tek paroladan diyebiliriz.

Nasıl İki Faktörlü Kimlik Doğrulamayı Aktif Edebilirim?

Yukarıdaki bilgiler doğrultusunda iki faktörlü kimlik doğrulamaya ihtiyacınız olabileceğini ancak bunu nasıl yapacağınızı bilmiyorsanız Gmail ve Facebook kullananlar için aşağıda örnekliyorum.

Google için: Profil resminize tıkladığınızda “Google Hesabı” yazısını tıklayın. “Güvenlik” kısmından “İki adımlı doğrulama” kısmı eğer “Açık” olarak görünmüyorsa bu alana tıklayın. Bu adımdan sonra Google sizi bu ayarı açmanız için gerekli yönlendirmeyi yapacaktır.

Facebook için: Facebook sayfanızın en sağ kısmına tıklayıp açılan menüden “Ayarlar” seçeneğini seçiyorsunuz. Soldaki menüden “Güvenlik ve Giriş” seçeneğini seçip “İki Faktörlü Kimlik Doğrulama” ayarını “Açık” konuma getiriyorsunuz. Eğer sayfanın tasarımı farklılaştıysa ve yerini bulamadıysanız yardım alanına “iki faktörlü” yazdığınız anda karşınıza seçenekler çıkmaktadır.

Bu ayarları yaptıktan sonra her hesaba bağlandığınız yeni cihazda bu sistemler mesaj gönderecektir. Böylece kötü niyetli bir kişi sizin parolanızı ele geçirse dahi, bağlandığı cihaz tanımlı olmadığından dolayı sistem doğrulama mesajı gönderecektir. Ancak mesaj kötü niyetli kişiye değil size gelecektir. Siz de bu durumda en kısa zamanda bu parolayı, hatta başka sitelerde de bu parolayı kullanıyorsanız (ki kullanmayın) onları da değiştireceksiniz.

Son Söz

İki faktörlü kimlik doğrulama aslında sizin açınızdan çok basit bir güvenlik önlemi. Mutlaka kullanın, çok faydasını görürsünüz.

Kişisel bilgi güvenliğiniz için uygulayabileceğiniz başka pek çok başka önlemler de bulunmaktadır. Parolalarınızı karmaşık seçmeniz (rakam, büyük-küçük harf, özel karakter), parolalarınızı düzenli aralıklarla değiştirmeniz gibi. Yine yukarıda verdiğim BGA’nın yazısında önerileri inceleyebilirsiniz.