İki faktörlü kimlik doğrulama nedir ve neden kullanılır?
İki faktörlü kimlik doğrulama (2FA), bazen iki adımlı doğrulama veya çift faktörlü doğrulama olarak da adlandırılır, kullanıcıların kendilerini doğrulamak için iki farklı kimlik doğrulama faktörü sağladığı bir güvenlik sürecidir.
2FA, hem bir kullanıcının kimlik bilgilerini hem de kullanıcının erişebileceği kaynakları daha iyi korumak için uygulanır. İki faktörlü kimlik doğrulama, genellikle yalnızca bir faktöre – genellikle bir şifre veya parola – dayanan kimlik doğrulama yöntemlerinden daha yüksek bir güvenlik seviyesi sağlar. İki faktörlü kimlik doğrulama yöntemleri, kullanıcının ilk faktör olarak bir şifre sağlamasına ve genellikle bir güvenlik jetonu veya biyometrik bir faktör olan, parmak izi veya yüz taraması gibi farklı bir ikinci faktör sağlamasına dayanır.
İki faktörlü kimlik doğrulama, saldırganların bir kişinin cihazlarına veya çevrimiçi hesaplarına erişmesini zorlaştırarak kimlik doğrulama kontrolünü geçmek için yalnızca bir parolanın yeterli olmaması nedeniyle kimlik doğrulama sürecine ek bir güvenlik katmanı ekler.
İki faktörlü kimlik doğrulama uzun süredir hassas sistemlere ve verilere erişimi kontrol etmek için kullanılmaktadır. Çevrimiçi hizmet sağlayıcıları, kullanıcıların parola veritabanını çalan veya kullanıcı parolalarını elde etmek için kimlik avı kampanyalarını kullanan hacker’ların kullanıcı kimlik bilgilerini korumak için giderek daha fazla 2FA kullanmaktadır.
Kimlik doğrulama faktörleri nelerdir?
Bir hesabı birden fazla kimlik doğrulama yöntemi kullanarak doğrulamak mümkündür. Şu anda, çoğu kimlik doğrulama yöntemi, geleneksel bir şifre gibi bilgiye dayalı faktörlere güvenirken, iki faktörlü kimlik doğrulama yöntemleri ya bir sahiplik faktörü ya da miras faktörü ekler.
Yaklaşık benimsenme sırasına göre sıralanan kimlik doğrulama faktörleri şunlardır:
Bilgiye dayalı bir faktör, kullanıcının bildiği şeydir, örneğin bir şifre, kişisel kimlik numarası (PIN) veya başka bir türde paylaşılan gizli bilgi.
Sahiplik faktörü, kullanıcının sahip olduğu şeydir, örneğin bir kimlik kartı, bir güvenlik jetonu, bir cep telefonu, bir mobil cihaz veya bir akıllı telefon uygulaması, doğrulama isteklerini onaylamak için.
Biyometrik faktör, aynı zamanda miras faktörü olarak da bilinir, kullanıcının fiziksel özünde bulunan bir şeydir. Bunlar, parmak izleri gibi fiziksel özelliklerden haritalanan kişisel özellikler olabilir. Diğer yaygın olarak kullanılan miras faktörleri arasında yüz ve ses tanıma veya davranışsal biyometrikler bulunur, bu da klavye vuruş dinamikleri, yürüyüş veya konuşma kalıpları gibi özelliklerdir.
Konum faktörü genellikle kimlik doğrulama girişiminin yapıldığı konumla belirtilir. Bu, belirli bir konumda belirli cihazlarla kimlik doğrulama girişimlerini sınırlayarak veya kimlik doğrulama girişiminin kaynak İnternet Protokol adresine veya kullanıcının mobil telefonundan veya başka bir cihazdan türetilen diğer coğrafi konum bilgilerinden, örneğin Küresel Konumlama Sistemi (GPS) verilerinden, kaynaklanan coğrafi kaynağını takip ederek uygulanabilir.
Zaman faktörü, kullanıcı kimlik doğrulamasını izin verilen belirli bir zaman penceresine sınırlar ve bu pencere dışındaki sistem erişimini kısıtlar.
İki faktörlü kimlik doğrulama yöntemlerinin büyük çoğunluğu, ilk üç kimlik doğrulama faktörüne dayanırken, daha fazla güvenlik gerektiren sistemler, daha güvenli kimlik doğrulaması için iki veya daha fazla bağımsız kimlik bilgisine dayalı çoklu faktörlü kimlik doğrulamasını uygulamak için bunları kullanabilir.
İki faktörlü kimlik doğrulama nasıl çalışır?
İki faktörlü kimlik doğrulamanın etkinleştirilmesi, belirli bir uygulamaya veya satıcıya bağlı olarak değişir. Ancak, iki faktörlü kimlik doğrulama işlemleri genel olarak aynı çok adımlı süreci içerir:
Kullanıcı, uygulama veya web sitesi tarafından giriş yapması için teşvik edilir.
Kullanıcı, bildiği şeyi girer – genellikle kullanıcı adı ve parola. Ardından, sitenin sunucusu bir eşleşme bulur ve kullanıcıyı tanır.
Parola gerektirmeyen işlemler için, web sitesi kullanıcı için benzersiz bir güvenlik anahtarı oluşturur. Kimlik doğrulama aracı anahtarı işler ve sitenin sunucusu bunu doğrular.
Daha sonra, site kullanıcıyı ikinci giriş adımını başlatmaya teşvik eder. Bu adım birçok şekilde gerçekleşebilir ancak kullanıcının sadece kendisinin sahip olacağı bir şeyi kanıtlaması gerekir, örneğin biyometrik veriler, bir güvenlik jetonu, bir kimlik kartı, bir akıllı telefon veya başka bir mobil cihaz. Bu, miras veya sahiplik faktörüdür.
Sonra, kullanıcı adım dört sırasında oluşturulan tek kullanımlık bir kodu girmesi gerekebilir. Her iki faktörü de sağladıktan sonra, kullanıcı kimlik doğrulanır ve uygulamaya veya web sitesine erişim sağlanır.
İki faktörlü kimlik doğrulamanın unsurları nelerdir?
İki faktörlü kimlik doğrulama, çoklu faktörlü kimlik doğrulamasının bir türüdür. Teknik olarak, bir sisteme veya hizmete erişim sağlamak için iki kimlik doğrulama faktörünün gerektiği her zaman kullanılır. Ancak, aynı kategoriden iki faktör kullanmak 2FA’yı oluşturmaz. Örneğin, bir şifre ve paylaşılan bir sırrın gerektirilmesi hala bilgi kimlik doğrulama faktörü türüne ait oldukları için 2FA olarak kabul edilmez.
Bir SFA hizmeti olarak, kullanıcı adları ve şifreler en güvenli seçenekler değildir. Şifre tabanlı kimlik doğrulamanın bir sorunu, güçlü şifrelerin oluşturulması ve hatırlanması için bilgi ve dikkat gerektirmesidir. Şifreler, login kimlik bilgilerini dikkatsizce saklayan yapışkan notlar, eski sabit diskler ve sosyal mühendislik saldırıları gibi pek çok iç tehditten korunmalıdır. Şifreler ayrıca brute-force, sözlük veya gökkuşağı tablosu saldırıları gibi harici tehditlere de maruz kalır.
Yeterli zaman ve kaynak sağlandığında, bir saldırgan genellikle şifre tabanlı güvenlik sistemlerini ihlal edebilir ve kurumsal verileri çalabilir. Şifreler, düşük maliyetleri, uygulamanın kolaylığı ve yaygınlığı nedeniyle en yaygın SFA biçimi olarak kalmıştır.
Birden fazla meydan okuma-cevap sorusu, uygulanma şekline bağlı olarak daha fazla güvenlik sağlayabilir ve bağımsız biyometrik doğrulama yöntemleri de daha güvenli bir SFA yöntemi sağlayabilir.
İki faktörlü kimlik doğrulama ürünlerinin türleri
2FA uygulamak için birçok farklı cihaz ve hizmet bulunmaktadır – jetonlardan radyo frekansı tanımlama (RFID) kartlarına kadar akıllı telefon uygulamalarına kadar.
İki faktörlü kimlik doğrulama ürünleri iki kategoriye ayrılabilir:
Kullanıcılara giriş yaparken kullanmaları için verilen jetonlar; ve Kullanıcıların jetonlarını doğru şekilde kullananları tanıyan ve kimlik doğrulamasını gerçekleştiren altyapı veya yazılım. Kimlik doğrulama jetonları, fiziksel cihazlar olabilir, örneğin anahtarlıklar veya akıllı kartlar, veya mobil veya masaüstü uygulamalar olarak yazılım olarak bulunabilir ve kimlik doğrulaması için PIN kodları oluşturabilir. Bu kimlik doğrulama kodları, tek kullanımlık şifreler (OTP) olarak da bilinir, genellikle bir sunucu tarafından oluşturulur ve bir kimlik doğrulama cihazı veya uygulama tarafından geçerli olarak tanınabilir. Kimlik doğrulama kodu, belirli bir cihaz, kullanıcı veya hesapla ilişkilendirilmiş kısa bir dizidir ve kimlik doğrulama sürecinin bir parçası olarak yalnızca bir kez kullanılabilir.
Organizasyonlar, kullanıcıların jetonlarıyla kimlik doğrulayanların erişimini kabul etmek, işlemek ve izin vermek veya reddetmek için bir sistem dağıtmalıdır. Bu, sunucu yazılımı veya bir üçüncü taraf satıcısı tarafından sunulan bir hizmet olarak dağıtılabilir.
2FA’nın önemli bir yönü, doğrulanmış kullanıcının onaylanan tüm kaynaklara ve yalnızca bu kaynaklara erişim sağlanmasıdır. Sonuç olarak, 2FA’nın önemli bir işlevi, kimlik doğrulama sisteminin bir organizasyonun kimlik doğrulama verileriyle bağlantı kurmasını sağlamaktır. Microsoft, Windows Hello aracılığıyla Windows 10’da 2FA’yı desteklemek için organizasyonların ihtiyaç duyduğu altyapının bazılarını sağlar. Bu, Microsoft hesapları ile çalışabilir ve Microsoft Active Directory, Azure AD veya Fast IDentity Online (FIDO) aracılığıyla kullanıcıları kimlik doğrulayabilir.
İki faktörlü kimlik doğrulama donanım jetonlarının çalışma prensibi
2FA için donanım jetonları, kimlik doğrulamada farklı yaklaşımları destekleyen bir şekilde mevcuttur. Popüler bir donanım jetonu olan YubiKey, OTP’leri, genel anahtar şifrelemesi ve kimlik doğrulamasını destekleyen ve FIDO Alliance tarafından geliştirilen Evrensel 2. Faktör protokolünü destekleyen küçük bir Evrensel Seri Veri Yolu (USB) cihazıdır. YubiKey jetonları, Palo Alto, California merkezli Yubico Inc. tarafından satılmaktadır.
YubiKey’i kullanan kullanıcılar, Gmail, GitHub veya WordPress gibi OTP’leri destekleyen çevrimiçi bir hizmete giriş yaptıklarında, YubiKey’i cihazlarının USB portuna takarlar, şifrelerini girerler, YubiKey alanına tıklarlar ve YubiKey düğmesine dokunurlar. YubiKey bir OTP üretir ve bunu alana girer.
OTP, 44 karakterlik, tek kullanımlık bir şifredir; ilk 12 karakter, hesapla kaydedilen güvenlik anahtarını temsil eden benzersiz bir kimlik numarasıdır. Geri kalan 32 karakter, yalnızca cihaz ve Yubico’nun sunucuları tarafından bilinen bir anahtar kullanılarak şifrelenmiş bilgileri içerir, bu anahtar hesap kaydı sırasında kurulur.
OTP, çevrimiçi hizmetten Yubico’ya kimlik doğrulama kontrolü için gönderilir. OTP doğrulandığında, Yubico kimlik doğrulama sunucusu, bu kullanıcı için doğru jeton olduğunu doğrulayan bir mesaj gönderir. 2FA tamamlanır. Kullanıcı, iki faktörlü kimlik doğrulama sağlamıştır: Şifre bilgi faktörüdür ve YubiKey sahiplik faktörüdür.
Mobil cihazlar için iki faktörlü kimlik doğrulama
Akıllı telefonlar, şirketlerin kendileri için en iyi çalışan yöntemi kullanmalarını sağlayan çeşitli 2FA yetenekleri sunar. Bazı cihazlar parmak izlerini tanıyabilir, dahili kamerayı yüz tanıma veya iris tarama için kullanabilir ve mikrofonu ses tanıma için kullanabilir. GPS ile donatılmış akıllı telefonlar, bir ek faktör olarak konumu doğrulayabilir. Ses veya Kısa Mesaj Servisi (SMS), dışarıdan yapılan doğrulama için bir kanal olarak da kullanılabilir.
Güvenilir bir telefon numarası, doğrulama kodlarını metin mesajı veya otomatik telefon araması ile almak için kullanılabilir. Bir kullanıcının mobil 2FA’ya kaydolabilmesi için en az bir güvenilir telefon numarasını doğrulaması gerekir.
Apple iOS, Google Android ve Windows 10, tümü de 2FA’yı destekleyen uygulamalara sahiptir, bu da telefonun kendisinin sahiplik faktörünü karşılamak için fiziksel cihaz olarak hizmet etmesini sağlar. Ann Arbor, Michigan merkezli ve 2018 yılında Cisco tarafından 2.35 milyar dolar karşılığında satın alınan Duo Security’nin müşterilerin güvendiği cihazlarını 2FA için kullanmalarını sağlayan bir platformu bulunmaktadır. Duo’nun platformu, bir kullanıcının güvenilir olduğunu ilk olarak doğrular ve ardından mobil cihazın da bir kimlik doğrulama faktörü olarak güvenilir olup olmadığını doğrular.
Kimlik doğrulayıcı uygulamalar, doğrulama kodunu metin, sesli çağrı veya e-posta yoluyla almayı gerektirme ihtiyacını ortadan kaldırır. Örneğin, Google Authenticator’ı destekleyen bir web sitesine veya web tabanlı bir hizmete erişmek için, kullanıcılar kullanıcı adlarını ve şifrelerini girer – bir bilgi faktörü. Kullanıcılar daha sonra altı haneli bir numara girmeleri istenir. Bir metin mesajı almak için birkaç saniye beklemek yerine, bir kimlik doğrulayıcı numarayı onlar için oluşturur. Bu numaralar her 30 saniyede bir değişir ve her giriş için farklıdır. Doğru numarayı girerek, kullanıcılar doğrulama sürecini tamamlar ve doğru cihaza sahip olduklarını kanıtlar – bir sahiplik faktörü.
Bu ve diğer 2FA ürünleri, 2FA’yı uygulamak için gerekli minimum sistem gereksinimleri hakkında bilgi sunar.
2FA için İtme Bildirimleri
Bir itme bildirimi, bir kullanıcıyı doğrulayan ve kimlik doğrulama girişimi olduğunu bildiren bir bildirimi doğrudan kullanıcının cihazındaki güvenli bir uygulamaya göndererek parolasız kimlik doğrulamadır. Kullanıcı, kimlik doğrulama girişiminin ayrıntılarını görüntüleyebilir ve genellikle tek bir dokunuşla erişimi onaylayabilir veya reddedebilir. Kullanıcı, kimlik doğrulama isteğini onaylarsa, sunucu bu isteği alır ve kullanıcıyı web uygulamasına oturum açar.
İtme bildirimleri, kullanıcının kimlik doğrulama sistemiyle kayıtlı olan cihazının – genellikle bir mobil cihazın – kullanıcı tarafından elinde tutulduğunu doğrulayarak kullanıcıyı kimlik doğrular. Bir saldırgan cihazı ele geçirirse, itme bildirimleri de tehlikeye girer. İtme bildirimleri, araya girme saldırıları, yetkisiz erişim ve sosyal mühendislik saldırıları gibi tehditleri ortadan kaldırır.
İtme bildirimleri, diğer kimlik doğrulama yöntemlerinden daha güvenlidir, ancak yine de güvenlik riskleri vardır. Örneğin, kullanıcılar, itme bildirimleri aldıklarında onaylamaya dokunmaya alışkın oldukları için yanlışlıkla sahte bir kimlik doğrulama isteğini onaylayabilirler.
İki faktörlü kimlik doğrulama güvenli midir?
İki faktörlü kimlik doğrulama, güvenliği artırır ancak 2FA düzenekleri, en zayıf bileşenleri kadar güvenlidir. Örneğin, donanım jetonları, üreticinin veya üreticinin güvenliğine bağlıdır. En yüksek profilli iki faktörlü sistemlerden biri, güvenlik şirketi RSA security’nin 2011’de SecurID kimlik doğrulama jetonlarının hacklendiğini bildirmesiyle meydana geldi.
Hesap kurtarma süreci kendisi de, genellikle bir kullanıcının mevcut şifresini sıfırlar ve kullanıcının tekrar oturum açmasına izin vermek için geçici bir şifre gönderen e-postaları içerdiğinden, iki faktörlü kimlik doğrulamayı geçmek için kullanılabilir. Cloudflare’in baş yöneticisinin iş Gmail hesapları bu şekilde hacklendi.
SMS tabanlı 2FA, ucuz, uygulaması kolay ve kullanıcı dostu olarak kabul edilmesine rağmen, birçok saldırıya karşı savunmasızdır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Dijital Kimlik İlkeleri adlı Özel Yayını 800-63-3’te, SMS’in 2FA hizmetlerinde kullanılmasını tavsiye etmemiştir. NIST, SMS aracılığıyla gönderilen OTP’lerin, cep telefonu numarası taşınabilirliği saldırıları, cep telefonu ağına yönelik saldırılar ve metin mesajlarını yakalamak veya yeniden yönlendirmek için kullanılan kötü amaçlı yazılımlar nedeniyle çok savunmasız olduğuna karar vermiştir.
Kimlik doğrulamanın geleceği
Daha yüksek güvenlik gerektiren ortamlar genellikle biyometrik verilerle birlikte kullanılan bir fiziksel belirteç ve bir şifreyi içeren üç faktörlü kimlik doğrulamaya ilgi duyabilir. Kullanıcıyı doğrulayıp bloke edilip edilmeyeceğine karar vermek için coğrafi konum, cihaz türü ve günün saati gibi faktörler de kullanılmaktadır. Ayrıca, kullanıcının klavye vuruş uzunluğu, yazma hızı ve fare hareketleri gibi davranışsal biyometrik tanımlayıcılar da gerçek zamanlı olarak gizlice izlenebilir ve giriş sırasında tek seferlik bir kimlik doğrulama kontrolü yerine sürekli kimlik doğrulama sağlamak için kullanılabilir.
Şifreleri temel kimlik doğrulama yöntemi olarak kullanmak, yaygın olmasına rağmen, genellikle şirketlerin ve kullanıcıların talep ettiği güvenliği veya kullanıcı deneyimini sunmaz. Ayrıca, şifre yöneticisi ve çok faktörlü kimlik doğrulama gibi eski güvenlik araçları, kullanıcı adı ve şifrelerin sorunlarıyla başa çıkmaya çalışsa da, temelde eski bir mimariye dayanır: şifre veritabanı.
Sonuç olarak, birçok organizasyon şifresiz kimlik doğrulamaya yönelmektedir. Biyometrik veriler ve güvenli protokoller gibi yöntemler kullanılarak, kullanıcılar uygulamalarında güvenli bir şekilde kimlik doğrulayabilirler ve şifre girmek zorunda kalmazlar. İş dünyasında, bu, çalışanların şifre girmeden işlerine erişebilmeleri anlamına gelir ve BT her girişte tam kontrolü sürdürür. Örneğin, merkezi olmayan kimlik veya öz-hükümetli kimlik aracılığıyla blockchain’in kullanımı, geleneksel kimlik doğrulama yöntemlerine bir alternatif olarak dikkat çekmektedir.