İki Adımlı Doğrulama ve Hesap Güvenliği

in #tr7 years ago

Online güvenlik artık neredeyse her şeyden daha önemli hale gelmeye başladı. Banka hesaplarımız, e-posta hesaplarımız, dijital içeriklerimiz, sosyal medya hesaplarımız ve gelecekte de var olmaya devam edecek olan dijital mirasımız çok büyük değerlere sahip. Bu değerlere erişmeye devam edebilmek ve onları korumak için kullandığımız en önemli güvenlik önlemi elbette şifrelerimiz. Güçlü bir şifre seçmenin, her hesapta farklı ve eşsiz şifreler kullanmanın önemi gün geçtikçe artıyor. Ancak sadece güçlü bir şifre kullanmanın malesef yeterli olmadığı bir döneme girdik. Hesaplarımız her geçen gün daha büyük tehditlerle karşılaşıyor ve onları korumak da gün geçtikçe zorlaşıyor. Bu yazıda sıklıkla tercih edilen ve çift adımlı doğrulama olarak bildiğimiz bazı ekstra güvenlik önlemlerinden, her bir farklı sistemin eksilerinden ve artılarından bahsedeceğim. 

İki Adımlı Doğrulama nedir?
iki Adımlı Doğrulama (two-step verification - 2SV veya two-factor authentication - 2FA) online hesaplarınız için ikinci bir güvenlik katmanı ekleyen sisteme verilen isimdir. İki Adımlı Doğrulama açık olduğu zaman hesabınıza erişmek için sadece şifrenizi girmeniz yeterli olmaz ve sizden ikinci bir şifre girmeniz istenir. Bu ikinci şifre SMS veya authentication uygulamaları üzerinden size anlık olarak iletilir. Bu güvenlik önlemi sayesinde hesabınıza erişmek isteyen kişilerin sadece şifrenizi bilmesi yetmez aynı zamanda telefonunuza da erişiminin olması gerekir.

SMS mesajları güvenli değil mi?
Bu soruya cevap vermenin en basit yolu SMS mesajlarınızın ele geçirilmesinin telefonunuzun ele geçirilmesinden daha kolay olmasıdır. Hesaplarınıza erişmek isteyen birisi eğer yeterince istekliyse SIM kartınızın kopyasını alarak 2FA mesajlarının kendisine ulaşmasını sağlayabilir. Bunun için elbette yedek SIM çıkarttırması gerekir ancak yedek SIM çıkarttırmak göründüğünden çok daha kolaydır. Birçok kişinin kişisel bilgileri, kimlik numaraları ve adresleri günümüzde internette bulunabiliyor. Hesabınıza erişmek için geriye sadece bu bilgiler ile yedek SIM çıkarttırılacak yeri ikna etmek kalıyor. İngiltere'de ve Amerika'da bu tip dolandırıcılıklar gün geçtikçe artıyor. Ülkemizde de benzer yöntemlerle yedek SIM çıkartmış olan dolandırıcılar olduğu ve sayılarının da arttığı biliniyor.

SMS yerine hangi güvenlik önlemleri kullanılmalı?
Günümüzde SMS alternatifi olarak Google Authenticator ve Authy gibi uygulamalar bulunuyor. Bu tip uygulamaların avantajı cep telefonu operatörünüze bağlı olmadan size güvenlik kodlarını ulaştırabilmeleridir. 2FA kodları telefonunuza yüklü olan uygulamalar ile alınabiliyor ve genellikle 30 saniye ila 1 dakika kadar aktif oluyorlar. Bu sürenin sonunda kullanılmamışlarsa tekrar kullanılamıyorlar. Cep telefonu numaranızın kopyalanmış olması durumunda dahi uygulamaya erişilemediği için hesaplarınız güvende kalmaya devam edebiliyor.

Authenticator uygulamaları haricinde Twitter, Facebook ve Google'ın kendi hesapları için sunmakta olduğu farklı güvenlik önlemleri de bulunuyor. Örnek olarak Facebook ve Twitter'a giriş yapmak istediğinizde bu uygulamalar size bir bildirim gönderiyor ve hesabınıza erişmek isteyenin siz olduğundan emin olmak için onay vermenizi istiyorlar. Google'ın da Google Prompt adında Twitter ve Facebook'a benzer şekilde çalışan bir güvenlik önlemi bulunuyor. Android cihazlarda çok daha doğal bir çalışma mantığı olmasına rağmen iOS kullanıcıları da bu güvenlik katmanını Google uygulaması sayesinde kullanabiliyorlar.

Son olarak doğrulama kodları veya bildirimlerle uğraşmak istemeyen kişiler için bir de Güvenlik Anahtarı kullanma seçeneği bulunmaktadır. Güvenlik anahtarları basitçe USB belleklere benzerler. Ancak USB belleklerden farkı içlerinde hesaplarınıza erişebilmek için gerekli olan bilgileri barındırıyor olmalarıdır. Örnek olarak Google hesabınıza erişmek için şifrenizi girip Güvenlik Anahtarı'nızı USB üzerinden bağlayarak ikinci güvenlik katmanını tamamlamış olursunuz ve hesabınız açılır.

Aşağıda sıklıkla kullanılan bazı 2FA yöntemlerini, bu yöntemlerin artılarını ve eksilerini görebilirsiniz. Yöntemler arasında veya sırasında popülerlik ya da güvenlik bakımından özel bir numaralandırma bulunmamaktadır. Sıralama tamamen rastgele hazırlanmıştır.

1- SMS ile İkinci Bir Güvenlik Katmanı Oluşturma

Artıları

  • SMS ile gelen kodlar kullanışlı ve pratiktir. Uygulama indirmeye ya da her bir hesap için farklı bir tanımlama yapmaya ihtiyaç duymaz.
  • Akıllı telefonu olmayan kullanıcılar için Güvenlik Anahtarı haricindeki tek ve en çok kullanılan seçenektir.
  • Hesabınıza ulaşmak istendiğinde SMS üzerinden güvenlik kodları almaktaysanız bunu gelen mesaj nedeniyle hemen anlayabilir ve gerekli önlemleri almaya başlayabilirsiniz.
  • SMS ile gelen kodlar tamamen rastgele oluşturulur.

Eksileri

  • SMS mesajlarına ulaşmak göründüğü kadar zor değildir. Operatörünüzden yedek SIM çıkartılması durumunda bütün güvenlik duvarınız bir anda çökebilir.
  • Telefonunuz kapsama alanı dışındaysa güvenlik kodları size SMS ile ulaşamaz ve bu nedenle hesabınıza erişemezsiniz.
  • NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) SMS yöntemiyle güvenlik kodlarının alınmasını artık onaylamıyor.

2- Authenticator Uygulamaları

Artıları

  • Yedek SIM çıkartılması durumunda dahi hesabınızın güvende kalmasını sağlarlar.
  • Telefonunuz kapsama alanı dışındayken dahi çalışmaya devam ederler.
  • Güvenlik kodları kısa süreliğine aktif olurlar ve belirlenen süre içinde kullanılmazlarsa iptal olurlar.

Eksileri

  • Authenticator uygulamalarının çalışabilmesi için bağlanmak istediğiniz site ile uygulamanızın arasında gizli bir ortak çalışan sistem olması gerekir. Bu sistem zaman damgası ile birlikte güvenlik kodunu oluşturur ve size gösterir. Eğer uygulamanız veya bağlanmak istediğiniz sitenin güvenliği ihlal edilirse 2FA kodlarına ulaşılabilir.

3- Güvenlik Anahtarları

Artıları

  • Güvenlik anahtarlarının en büyük avantajı herhangi bir online yöntem ile kod üretmiyor olması ve bu nedenle de sistemin ele geçirilmesinin çok zor olmasıdır.
  • Aşağıda göreceğiniz eksilerin büyük kısmı aslında güvenliğin çok yüksek olmasından dolayı artı olarak da belirtilebilir. Tamamen konuya nasıl baktığınızla alakalı.

Eksileri

  • Bu güvenlik yöntemine sahip olmak için güvenlik anahtarının satın alınması gerekir.
  • Yanınızda sürekli küçük bile olsa bir cihaz taşımanız gereklidir.
  • Kaybedilmesi veya bir şekilde kullanılamayacak şekilde bozulması mümkündür ve bu da hesaplarınıza ulaşmayı çok daha zor hale getirir.
  • Google gibi sitelere erişmek için güncel Chrome yüklü bir bilgisayara ihtiyaç duyarlar.
  • USB bağlantı noktası olmayan tabletler gibi cihazlar üzerinden hesaplarınıza erişemezsiniz.

----------

Image Resource

Pixabay.com - CCO Creative Commons

Sort:  

Congratulations @suhayunus! You have received a personal award!

1 Year on Steemit
Click on the badge to view your Board of Honor.

Do not miss the last post from @steemitboard:

The Meet the Steemians Contest is over - Results are coming soon ...

Support SteemitBoard's project! Vote for its witness and get one more award!

Congratulations @suhayunus! You received a personal award!

Happy Birthday! - You are on the Steem blockchain for 2 years!

You can view your badges on your Steem Board and compare to others on the Steem Ranking

Vote for @Steemitboard as a witness to get one more award and increased upvotes!

Coin Marketplace

STEEM 0.21
TRX 0.20
JST 0.033
BTC 97309.89
ETH 3288.22
USDT 1.00
SBD 2.99