İki Faktörlü Kimlik Doğrulama SMS'inin Farklı Formları, Yetki Verici Uygulamalar ve Daha Fazlası
Birçok çevrimiçi hizmet, oturum açmak için yalnızca şifrenizden fazlasını gerektirerek güvenliği artıran iki faktörlü kimlik doğrulama sunar. Kullanabileceğiniz birçok farklı türde ek kimlik doğrulama yöntemi vardır..
Farklı servisler farklı iki faktörlü kimlik doğrulama yöntemleri sunar ve bazı durumlarda birkaç farklı seçenek arasından seçim yapabilirsiniz. İşte nasıl çalıştıkları ve nasıl farklı oldukları.
SMS Doğrulama
Pek çok hizmet, hesabınıza her giriş yaptığınızda SMS mesajı almak için kaydolmanızı sağlar. Bu SMS mesajı, girmeniz gereken kısa bir defalık kullanım kodunu içerecektir. Bu sistemde, cep telefonunuz ikinci kimlik doğrulama yöntemi olarak kullanılır. Birisi şifreniz varsa hesabınıza giremez - şifrenize ihtiyaç duyar ve telefonunuza veya SMS mesajlarına erişir.
Bu özel bir şey yapmanız gerekmediğinden ve çoğu kişinin cep telefonu olması nedeniyle kullanışlıdır. Hatta bazı servisler bir telefon numarasını çevirir ve otomatik bir sistemin bir kod konuşmasını sağlayarak, bunu kısa mesaj alamayan bir sabit hatlı telefon numarasıyla kullanmanıza olanak tanır..
Ancak, SMS doğrulamasında büyük sorunlar var. Saldırganlar, hücresel ağdaki kusurlar sayesinde güvenli kodlarınıza erişmek veya bunları engellemek için SIM takas saldırılarını kullanabilir. Mümkünse SMS mesajlarını kullanmamanızı öneririz. Ancak, SMS mesajları hiçbir şekilde iki faktörlü kimlik doğrulama kullanmamaktan çok daha güvenlidir!
Uygulama Tarafından Oluşturulan Kodlar (Google Authenticator ve Authy gibi)
Ayrıca, kodlarınızın telefonunuzda bir uygulama tarafından üretilmesini de sağlayabilirsiniz. Bunu yapan en yaygın uygulama Google'ın Android ve iPhone için sunduğu Google Authenticator'dır. Ancak, Google Authenticator’ın yaptığı her şeyi yapan Authy’yi tercih ederiz. İsmine rağmen, bu uygulamalar açık bir standart kullanıyor. Örneğin, Google Authenticator uygulamasına Microsoft hesapları ve diğer birçok hesap türünü eklemek mümkündür.
Uygulamayı kurun, yeni bir hesap kurarken kodu tarayın ve bu uygulama yaklaşık her 30 saniyede bir yeni kodlar üretecektir. Bir hesapta oturum açtığınızda, telefonunuzdaki uygulamada görüntülenen geçerli kodu ve şifrenizi girmeniz gerekecektir..
Bu hiç bir hücresel sinyal gerektirmez ve uygulamanın bu zaman sınırlı kodları üretmesine izin veren "tohum" yalnızca cihazınızda depolanır. Bu, telefon numaranıza erişen veya metin mesajlarınızı engelleyen bir kişi bile kodlarınızı bilmeyeceğinden, daha güvenli olduğu anlamına gelir..
Bazı servisler - örneğin, Blizzard'ın Battle.net Authenticator - ayrıca kendilerine özel kod üreten uygulamalara sahiptir..
Fiziksel Kimlik Doğrulama Anahtarları
Fiziksel kimlik doğrulama anahtarları, daha popüler olmaya başlayan başka bir seçenektir. Teknoloji ve finans sektörlerinden büyük şirketler U2F olarak bilinen bir standart yaratıyor ve Google, Dropbox ve GitHub hesaplarınızı güvenceye almak için fiziksel bir U2F belirteci kullanmak zaten mümkün. Bu, anahtarlığınıza taktığınız küçük bir USB anahtarıdır. Hesabınıza yeni bir bilgisayardan giriş yapmak istediğinizde, USB anahtarını yerleştirmeniz ve üzerindeki bir düğmeye basmanız gerekir. Bu öyle - tipik kod yok. Gelecekte, bu cihazlar USB portu olmayan mobil cihazlarla iletişim kurmak için NFC ve Bluetooth ile çalışmalıdır..
Bu çözüm, SMS doğrulaması ve bir kerelik kullanım kodlarından daha iyi çalışır, çünkü ele geçirilemez ve karıştırılamaz. Aynı zamanda kullanımı daha basit ve daha uygundur. Örneğin, bir phishing sitesi size sahte bir Google giriş sayfası gösterebilir ve giriş yapmaya çalıştığınızda bir kerelik kullanım kodunuzu alabilir. Bu kodu Google’a giriş yapmak için kullanabilir. Ancak, tarayıcınızla uyumlu çalışan bir fiziksel kimlik doğrulama anahtarıyla, tarayıcı gerçek web sitesiyle iletişim kurmasını ve kodun bir saldırgan tarafından yakalanmamasını sağlayabilir.
Gelecekte bunlardan daha fazlasını görmeyi bekleyin.
Uygulama Tabanlı Kimlik Doğrulama
Bazı mobil uygulamalar, uygulamanın kendisini kullanarak iki faktörlü kimlik doğrulama sağlayabilir. Örneğin, Google şimdi telefonunuzda yüklü Google uygulaması olduğu sürece kodsuz iki faktörlü bir kimlik doğrulama sunar. Google’a başka bir bilgisayardan veya cihazdan giriş yapmaya çalıştığınızda, telefonunuzdaki bir düğmeye dokunmanız yeterlidir, kod gerekmez. Google, giriş yapmayı denemeden önce telefonunuza erişim sağlamak için kontrol ediyor.
Apple'ın iki adımlı doğrulaması benzer şekilde çalışır, ancak bir uygulama kullanmasa da iOS işletim sisteminin kendisini kullanır. Yeni bir cihazdan giriş yapmaya çalıştığınızda, iPhone veya iPad'iniz gibi kayıtlı bir cihaza gönderilen bir defalık kullanım kodunu alabilirsiniz. Twitter'ın mobil uygulaması da giriş doğrulama olarak adlandırılan benzer bir özelliğe sahip. Google ve Microsoft bu özelliği Google ve Microsoft Authenticator akıllı telefon uygulamalarına ekledi.
E-posta Tabanlı Sistemler
Diğer hizmetler sizi doğrulamak için e-posta hesabınıza güvenir. Örneğin, Steam Guard'ı etkinleştirirseniz, Steam, yeni bir bilgisayardan her giriş yaptığınızda e-postanıza gönderilen bir defalık kullanım kodunu girmenizi ister. Bu, en azından bir saldırganın bu hesaba erişmek için hem Steam hesabı şifrenize hem de e-posta hesabınıza erişmesine ihtiyaç duymasını sağlar.
Bu, diğer iki adımlı doğrulama yöntemleri kadar güvenli değildir, çünkü özellikle üzerinde iki aşamalı doğrulama kullanmıyorsanız, birisinin e-posta hesabınıza erişmesi kolay olabilir! Daha güçlü bir şey kullanabiliyorsanız, e-posta tabanlı doğrulamayı engelleyin. (Neyse ki, Steam mobil uygulamasında uygulama tabanlı kimlik doğrulaması sunuyor.)
Son Tatil: Kurtarma Kodları
Kurtarma kodları, iki faktörlü kimlik doğrulama yöntemini kaybetmeniz durumunda güvenlik ağı sağlar. İki faktörlü kimlik doğrulaması ayarladığınızda, genellikle yazmanız ve güvenli bir yerde saklamanız gereken kurtarma kodları bulunur. İki aşamalı doğrulama yönteminizi kaybederseniz onlara ihtiyacınız olacak.
İki aşamalı kimlik doğrulaması kullanıyorsanız, kurtarma kodlarınızın bir kopyasının bir yerde olduğundan emin olun..
Her bir hesap için bu kadar fazla seçenek bulamazsınız. Bununla birlikte, birçok servis, seçebileceğiniz birçok iki adımlı doğrulama yöntemleri sunar..
Birden fazla iki faktörlü kimlik doğrulama yöntemini kullanma seçeneği de var. Örneğin, hem kod üreten bir uygulama hem de bir fiziksel güvenlik anahtarı ayarlarsanız, fiziksel anahtarı kaybederseniz, hesabınıza uygulama yoluyla erişebilirsiniz..