İki kat güvenlik

İki faktörlü kimlik doğrulama, kullanıcıların internette kendilerini daha iyi korumalarına yardımcı olabilir. Google Hesabı birkaç seçenek sunar.

Başarılı veri korsanlığının can sıkıcı sonuçları olabilir. Bazı vakalarda kimliği belirsiz saldırganlar, kurbanların hesaplarından sahte e-postalar göndermiş veya sosyal medyada kullanıcı adına trol yapmıştır. Diğer bazı vakalarda kurbanların internet kullanımına açık banka hesaplarındaki paralar ortadan kaybolmuştur. Çoğu durumda, kurbanlar hesaplarının ele geçirildiğini zarar gerçekleşene kadar fark etmezler.

Veri hırsızlığına bu kadar sık rastlanmasının bir nedeni, çoğu kullanıcının internette kendilerini korumak için şifrelerine gereğinden fazla güvenmesidir. Bu kişiler milyonlarca kullanıcı adı ve şifre kombinasyonunu içeren listelerin internette dolaştığından habersizlerdir. Uzmanların listeler olarak adlandırdığı bu “şifre yığınları” başarıya ulaşmış çok sayıdaki veri hırsızlığından elde edilen verilerden derlenir. Birçok kişi aynı şifreyi farklı hesaplarda kullanır. Bu kişilerin Google Hesapları saldırıya uğramamış olsa bile, hesaplarına giriş yaparken kullandıkları veriler bu “şifre yığınlarında” bulunabilir. Diğer bir potansiyel tehdit ise kimlik avıdır (görünüşte güvenilir e-postalar veya web siteleri aracılığıyla şifre ve diğer bilgileri elde etmeye yönelik sahtekarlık girişimleri).

Bu yüzden, Google gibi şirketler kullanıcılara çevrimiçi hesaplarını iki faktörlü kimlik doğrulama ile güvence altına almalarını önermektedir (giriş yapmak için bir şifre ve kısa mesajla gönderilen bir kod gibi iki ayrı faktör kullanılır). Bu kimlik doğrulama yöntemi özellikle bankalar ve kredi kartı şirketleri arasında çok yaygındır.

Güvenlik uzmanlarına göre güvenlik faktörleri temel olarak üç farklı türe ayrılır. Bunların ilki, belirli bir bilgidir (“bildiğiniz bir şey”): ör. kullanıcı kısa mesajla aldığı kodu girer veya bir güvenlik sorusunu yanıtlar. İkincisi, kredi kartı gibi kimlik doğrulamak için kullanılabilecek fiziksel bir nesnedir (“sahip olduğunuz bir şey”). Üçüncüsü, akıllı telefonların parmak iziyle açılmasında olduğu gibi biyometrik verilerdir (“sizi tanımlayan bir şey”). Tüm iki faktörlü kimlik doğrulama stratejilerinde bu faktörlerin ikisinin bir bileşimi kullanılır.

Google, iki faktörlü kimlik doğrulamanın farklı türlerini sunar. Kullanıcılar geleneksel şifrenin yanı sıra kısa mesaj veya sesli arama yoluyla aldıkları ya da Google Authenticator uygulamasında (Android veya Apple'ın mobil işletim sistemi iOS kullanan cihazlarda çalışır) oluşturdukları tek kullanımlık güvenlik kodunu girebilirler. Kullanıcılar Google Hesaplarında güvenilen cihazların bir listesini de oluşturabilirler. Bir kişi listede olmayan bir cihazdan giriş yapmaya çalışırsa Google'dan güvenlik uyarısı alınır.

Son üç yıldır Google, güvenlik anahtarı adı verilen fiziksel güvenlik jetonu kullanma seçeneği de sunuyor. Fiziksel güvenlik jetonu, giriş yapılacak cihaza bağlanan bir USB, NFC veya Bluetooth donanım kilididir. Sistem, FIDO konsorsiyumu tarafından geliştirilen Evrensel 2. Faktör (U2F) adlı açık kimlik doğrulama standardına dayanır. Bu konsorsiyumda Google'ın yanı sıra Microsoft, Mastercard ve PayPal gibi şirketler de yer almaktadır. U2F standardına dayalı güvenlik jetonları küçük bir ücret karşılığında çeşitli üreticilerden temin edilebilir. Güvenlik anahtarları son derece başarılı olduklarını kanıtlamışlardır. Kullanıma sunulmalarından bu yana veri hırsızlığı riskini önemli ölçüde azalttılar. Bir çevrimiçi hesap dünyanın herhangi bir yerinden saldırıya uğrayabilir. Buna karşın, fiziksel güvenlik jetonu kullanıldığında jetonun da hırsızların elinde olması gerekir (saldırganların hesaba erişmek için kurbanın oturum açma bilgilerine de ihtiyacı olacaktır). Google ve diğer bazı şirketler bu güvenlik jetonlarını zaten desteklemektedir.

Elbette, iki faktörlü kimlik doğrulamanın dezavantajları da vardır. Kısa mesaj kodlarını kullananların bir cihazdan oturum açarken cep telefonlarını yanlarında bulundurmaları gerekir. Ayrıca USB ve Bluetooth donanım kilitlerinin kaybedilmesi tehlikesi de vardır. Ancak bunlar aşılmaz sorunlar olmayıp donanım kilitlerinin sunduğu ek güvenlik seviyesi göz önüne alındığında bu risklere kesinlikle değer. Güvenlik anahtarını kaybedenler kayıp jetonu hesaptan kaldırarak yeni bir jeton ekleyebilirler. Diğer bir seçenek de en başta ikinci bir güvenlik anahtarı kaydedip bu anahtarı güvenli bir yerde saklamaktır.

Daha fazla bilgi için:

g.co/2step

Resim: Birgit Henne