İnternet her zaman kişisel bilgilerinizi nasıl ve kimlerle paylaştığınız konusunda dikkatli olmanız gereken bir yer olmuştur. Ancak hayatımızın daha büyük bir kısmını çevrimiçi olarak yaşadığımız ve bağımlı olduğumuz hizmetlerin daha fazlasının web tabanlı olduğu için, kritik kişisel verilerimizle güvende olma ihtiyacı önemli ölçüde arttı.
Parolalarımızın gücünü artırmanın çevrimiçi kötüye kullanıma karşı yeterli bir siper olacağını düşünmek cazip gelebilir, ancak veri ihlallerinde her ay milyonlarca parola çalınıyor. Bu noktada, çevrimiçi hesaplarınızdan en az birinin güvenliğinin ihlal edildiğini varsaymak güvenlidir.
Parolalar, web sitelerinin kimliğinizi doğrulama yöntemi olduğundan ve parolalar giderek güvenilmez hale geldiğinden, çevrimiçi hizmetler, hesaplarınıza erişmek için başka bir güvenlik katmanı sunmaya başlıyor: çok faktörlü kimlik doğrulama.
Çok faktörlü kimlik doğrulama nedir?
Çok faktörlü kimlik doğrulama, bir hizmetin erişmek için birden fazla kimlik kanıtı gerektirdiği zamandır. Banka kartınızla para çekmek gibidir. Kartınızın olması yeterli değil. Nakit paranıza erişmek için ayrıca dört haneli bir kişisel kimlik numaranız olmalıdır. Bu ekstra kimlik doğrulama katmanı, olası yankesicilerin cüzdanınızı kaptıktan sonra banka hesabınızı boşaltmasını engeller.
Aynı şekilde, Apple hesabınızda çok faktörlü kimlik doğrulama (çoğu web sitesi iki faktörlü kimlik doğrulama kullanır) kullanmak, parola hırsızlarının icloud hesabınıza ulaşmasını engeller.
Çok faktörlü kimlik doğrulama, gerçek dünyada kimlik sahtekarlığını önlemenin yaygın bir yöntemidir ve genellikle birden çok kimlik biçimine sahip olmayı içerir. Pasaport başvurusunda bulunduysanız, gerçekte siz olduğunuzu doğrulamak için belgeler sağlamanız gerekiyordu. Çoğu kredi kartı satın alma işlemi, kartın üzerindeki adla eşleşen bir kimlik sağlamanızı gerektirir. Geçmiş yıllarda (PİN sistemi gelmeden) işletmeler, kartınızdaki imzanın makbuza koyduğunuz imzayla eşleşip eşleşmediğini kontrol etti. Dijital dünyada, kimliğinizi kimsenin ele geçirmediğinden emin olmak bir o kadar önemli olabilir, ancak bunu başarmak için kullanılan yöntemler biraz farklıdır.
Dijital iki faktörlü kimlik doğrulama nasıl çalışır?
Digital 2FA, aynı kimlik doğrulama yöntemlerini kullanarak gerçek dünyada geçerli olan aynı ilkelere dayalı olarak çalışır. Genel olarak, MFA aşağıdaki faktörlerin bir veya daha fazlasının kombinasyonuna dayanır: olduğunuz bir şey, bildiğiniz bir şey veya sahip olduğunuz bir şey. Bu bilgilerin doğrulanması, hesaplarınıza yetkisiz erişimi önlemek için dijital güvenlik anahtarınız gibi davranır.
Olduğun bir şey
Hizmetlerin (ve cihazların) bir kullanıcının kimliğini doğrulamak için biyometrik bilgileri kullanması yaygın hale geliyor. Çoğu Android ve iOS telefon, parmak izi okuyucularla birlikte gelir ve uygulama geliştiriciler, hesap güvenliklerini artırmak için bundan hızla yararlanırlar. Yüz tanıma da giderek daha popüler hale geliyor (özellikle iPhone’larda). Üst düzey güvenlik sistemlerinin en yükseği için hükümetler ve endüstri, retinayı biyometrik güvenlikte son nokta olarak kullanıyor.
Bildiğin bir şey
Bilgi faktörleri, çoğu internet kullanıcısının kendilerini çevrimiçi kurarken karşılaştıkları ilk kimlik doğrulama faktörlerinden biridir. Muhtemelen farklı web siteleri için kafanızda dolaşan birkaç şifreniz vardır. Aynı şekilde, bu web sitelerine kaydolduğunuzda, muhtemelen hangi sokakta büyüdüğünüz, ilk evcil hayvanınızın adı ve anne babanızın tanıştığı şehir gibi güvenlik sorularını belirlemeniz ve yanıtlamanız gerekiyordu.
Sahip olduğun bir şey
Birçok fiziksel ve dijital kimlik doğrulama sistemi, güvenliği sağlamak için fiziksel bir nesneye veya sahiplik faktörüne güvenir. Pasaport alırken sosyal güvenlik numaranızı ve hayati detayları bilmeniz yeterli değildir. Fiziksel belgelere sahip olmanız gerekir. Birçok işletme, daha yüksek düzeyde güvenlik sağlamak için çalışanlarına USB anahtarlıklar verir.
2FA neye benziyor?
MFA’nın ilk uygulamaları, bir bilgi faktörü ve bir sahip olma faktörü içeriyordu. 1990’larda veya 2000’lerin başında uzaktan çalışma yapmak isteseydiniz, oturum açma kimlik bilgilerinize ek olarak, güvenlik belirteci (genellikle RSA SecurID gibi bir anahtarlık) adı verilen amaca yönelik bir donanıma da ihtiyacınız olurdu. Bu cihazlar hesabınıza erişmenizi sağlayacak tek seferlik bir şifre adı verilen doğrulama kodu üretirdi.
Tek kullanımlık şifreler
Tek seferlik parolalar, tüketiciler tarafından kullanılan yaygın bir iki faktörlü kimlik doğrulama türüdür. Çoğumuzun günlük hayatımızda karşılaştığı OTP’ler artık anahtarlıklar tarafından üretilmiyor. Bunun yerine, Amazon, eBay ve PayPal tarafından oluşturulurlar ve cihazlarımıza SMS veya e-posta yoluyla gönderilirler; bunlar, güvenlik belirteçleri yerine sahiplik faktörü görevi görür.
SMS ve e-posta tabanlı kimlik doğrulamayla ilgili bir sorun, bilgisayar korsanlarına karşı savunmasız olmalarıdır. Bilgisayar korsanları, operatörünüzü rakamlarınızın kontrolünü SIM kartlarına geçirmeye ikna ederek SMS mesajlarınızı almalarına izin vererek telefon numaranızı ele geçirebilir. Aynı şekilde, e-posta hesabınızın güvenliği keylogging veya kimlik avı yoluyla ele geçirildiyse, bilgisayar korsanları Gmail’inize gönderilen tüm OTP’leri engelleyebilir.
Bu riski atlatmak için daha fazla kişi uygulama tabanlı kimlik doğrulama çözümlerine yöneliyor. Bankanız veya Amazon bir OTP oluşturduğunda, gizli bir kaynak değeri (yalnızca hesabınızla ilişkilendirilmiş) zamanla kriptografik olarak birleştirir. Authy, Duo ve Google Authenticator gibi kimlik doğrulayıcı uygulamaları, web servis sağlayıcınızdan tohum değerinize erişerek ve bir OTP oluşturmak için aynı şifreleme algoritmasını kullanarak çalışır. Cihazınıza erişiminiz olduğu sürece, hiç kimse OTP’nizi engelleyemez. En iyi 2FA uygulama seçeneklerinden bazıları olduğunu düşündüğümüz şeylere göz atın.
Push bildirimleri
Tüketici MFA’sı söz konusu olduğunda tek seferlik parolalar havuzdaki en büyük balıktır, ancak başka seçenekler de vardır. Son beş yılda Google ve Apple, üçüncü taraf uygulamalara ve kısa mesajlara olan ihtiyacı ortadan kaldıran mobil cihaz anlık bildirimlerini kullandı. Bununla birlikte, internet bağlantısı olan bir akıllı telefona ihtiyacınız var, bu nedenle, flip telefonlarına şevkle tutunan çılgınlar, bu 2FA biçiminden yararlanamazlar.
Donanım tokenları
Birçok kuruluş ve hükümet, bu yöntemlerin doğasında bulunan siber güvenlik sorunlarını atlamak için MFA uygulamalarında donanım tokenları kullanır. Tokenlar birçok biçimde olabilir, ancak hangi hizmete erişilirse erişilsin kimliği doğrulanabilen kriptografik olarak benzersiz bir tanımlayıcıya sahiptir.
Muhtemelen şu anda cüzdanınızda akıllı banka kartı biçiminde bir donanım belirteciniz vardır. Akıllı kartlar, yapmaları ucuz ve taşıması kolay oldukları için jeton olarak iyi bir seçim olabilir. Dezavantajı, yerleşik işlevselliğe erişmek için geleneksel olarak özel donanıma ihtiyaç duymanızdır. Ancak, bu sorun temassız akıllı kartlarla hafifletiliyor.
Tüketici sınıfı donanım belirteçlerinin çoğu, bilgisayarınıza veya cep telefonunuza takılması gereken bir USB sürücü biçimini alır. Bu tokenlar (YubiKey son zamanlarda en popüler olanıdır) Amazon’dan veya üreticilerden almak kolaydır ve Amazon ve GitHub’dan Microsoft ve YouTube’a kadar her yerde çalışır.
Donanım tokenlarının geleceği muhtemelen kablosuzdur. İnternette kimlik doğrulama için açık standartları belirleyen endüstri grubu FIDO, telefonunuzu iki adımlı bir doğrulama sürecinin ikinci faktörü olarak kullanmak için baskı yapıyor. SMS yoluyla bir parola almak yerine, telefonunuzda bir şifreleme anahtarı depolanır ve bu anahtar daha sonra kendi kimliğini doğrulamak için Bluetooth aracılığıyla iletişim kurar.
Çevrimiçi güvenliğe kolay bir yanıt yok
E-ticaretin yükselişinden önce, çevrimiçi hesaplarınızın ele geçirilmesi o kadar da önemli değildi. Bugün, bu farklı bir hikaye. Her site için aynı kullanıcı adını ve şifreyi kullanıyorsanız, kendinizi kimlik hırsızlığına açık hale getirmek için 10 yıldır üyesi olduğunuz bir forumda veri ihlali yapmanız yeterlidir.
Parola ihlalleri kaçınılmazdır ve kendinizi nasıl koruyacağınız kişisel bir karardır. İster bir parola yöneticisi, ister SMS tabanlı iki adımlı doğrulama veya bir USB güvenlik belirteci seçin, her şey, her zaman biri verilerinizi çalmaya çalışmıyormuş gibi işinizi sürdürmekten daha iyidir.
En iyi yanıt, sizin için en kullanıcı dostu olan ve çevrimiçi yaşam tarzınızı içeren yanıttır. Geçim kaynağınız YouTube veya Twitch kanalınıza bağlıysa, standart OTP tabanlı 2FA’dan daha fazlasını kullanmak ve hesaplarınızı kilitlemek için bir donanım token’ına yatırım yapmak muhtemelen iyi bir fikirdir. Öte yandan, çevrimiçi bir şey satın almıyorsanız ve çevrimiçi olarak sahip olduğunuz en hassas bilgi parçaları Instagram’da beğendikleriniz ise, muhtemelen şimdilik 2FA olmadan iyisinizdir.