Parolalar, yaşantımızın artık her alanında kendine yer bulmaya başlayan bir kavram haline geldi. ATM’den işlem yaparken, banka hesaplarına ulaşmak için internet bankacılığına girdiğimiz esnada, cep telefonumuza erişirken, e-mail, sosyal medya hesaplarımızda hatta ev ve iş yerlerimize kurdurduğumuz güvenlik sistemlerinde dahi kullanıyoruz. Çok değil bundan 15 sene önce minimum sadece 4 adet rakam seçebildiğimiz mail hesaplarımızın parolalarında artık küçük/büyük harf, özel karakter ve en az 8 hane zorunluluğu kaçınılmaz olarak karşımıza çıkıyor.
Şifrelerimizi her ne kadar tahmin edilemeyecek şekilde oluşturmaya çalışsak da kötü niyetli kişilerin eline geçmesi hususunda bazı zafiyetler yaşanabiliyor. Bunların sonucunda da istemediğimiz şekilde;
-E-mail hesaplarımız ele geçirilip adımıza işlem yapılabiliyor.
-Paramıza ve saygınlığımıza zarar gelebiliyor.
-Adımız kullanılarak suç işlenebiliyor.
Ancak kötü niyetli kişiler yani hackerlar şifrelerimize ulaşmaya, onları ele geçirmeye çalıştıkça güvenlik önlemleri de aynı ölçüde gelişme gösteriyor. Günümüzde yaygınlaşmaya başlayan ve artık birçok alanda standartlaşan Two-factor authentication yani bildiğimiz adıyla iki adımlı kimlik doğrulama, bizi güvenlik anlamında öne çıkarmada başarılı bir yöntem olarak karşımıza çıkıyor.
Two-factor authentication Nedir?
Birçok hesabımızda hala yaygın olarak kullanmaya devam ettiğimiz sadece kullanıcı adı ve parola ile giriş yaptığımız güvenlik sistemi literatürde single-factor authentication olarak yer almaktadır. Bu tek adımlı doğrulama sisteminde şifre her ne kadar tahmin edilemez olursa olsun, hackerlar tarafından geliştirilen virüs, worm, keylogger, spyware, trojan gibi yazılımlarla kolaylıkla elde edilebiliyorlar. İki adımlı kimlik doğrulama da ise bu kötü niyetli yazılımlar yetersiz durumda kalıyorlar. Her ne kadar günümüzde yaygınlaşmaya başlayan bu güvenlik sistemi yeni gibi görünse de tarihi oldukça eski. İlk olarak şu anda US Robotics şirketinin CEO’su olarak görev yapan Kenneth P. Weiss tarafından 30 Kasım 1984 tarihinde patenti alınıyor. Patent, o zaman için tahmin edilemeyen kodlar üretecek bir cihazın üretilmesi amacıyla alınıyor ve öngörülebilir olmayan birinci kod ile tahmin edilemeyen ikinci bir kodun karşılaştırılması için bir hesaplama mekanizması içeriyor. Günümüzde ise hala “token” adı verilen bu cihazların yanı sıra artık akıllı telefonlarda bu kapsamda değerlendirilebiliyor.
İki adımlı kimlik doğrulama ilk olarak ülkemizde “BDDK” ‘nın 2007 yılında yayınladığı ve 2010 tarihi itibariyle zorunlu tuttuğu tebliğ ile gündeme girmiş oldu. Hatırlanacağı üzere ülkede o tarihe kadar hackerlar tarafından sürekli banka hesapları çalınıyor ve banka müşterileri finansal zarara uğrayıp mağdur duruma düşüyorlardı. Yayınlanan tebliğ kapsamında internet bankacılığına girişlerde “ Tek Kullanımlık Şifre” zorunluluğu ile iki adımlı kimlik doğrulama sistemi de hayata geçmiş oldu. Artık kullanıcılar internet bankacılığına girişlerde tahmin edilemeyen ve sadece belirli süre ile geçerli olan ikinci adım şifresi ile daha güvenli işlem gerçekleştirebiliyorlar.
Two-factor authentication Nasıl Çalışır?
Bu güvenlik sistemi “bilinen + sahip olunan” ilkesine dayanıyor. Burada “bilinen” sizin şifreniz ve “sahip olunan” da telefonunuz ya da fiziksel kimlik doğrulama cihazınız. Sistem doğrulanmamış bir cihaz tarafından giriş yapıldığını algıladığında, bildiğiniz şifrenizi girmenizi istiyor ve ardından sahip olduğunuz varlığın ürettiği şifre ile eşleştirip sizin doğru kişi olduğunuzu anlayıp giriş izni veriyor. İki adımlı kimlik doğrulama sistemini fiziksel ve mobil olarak iki kategoride inceleyebiliriz. Fiziksel iki adımlı kimlik doğrulama sisteminde bir anahtar ya da smartcard veya kod üretici bir token şeklinde ürünler görebiliyoruz. Türkiye’de bazı bankalar da kullanıcılarına parola üretici bu cihazlardan temin edebiliyor. İnternet bankacılığında kullanıcı adı ve parola girdikten sonra bu cihaz üzerine pin kodu girerek belirli süreliğine geçerli olan ve ekranda görünen parolayı sisteme girmeniz bekleniyor.
Şu anda birçok platform tarafından da desteklenen iki adımlı kimlik doğrulamayı daha basit ve yaygın hale getiren “Yubikey” isimli ürün ise oldukça popüler durumda. Facebook, Google ve Dropbox tarafında kullanılabildiği gibi Windows ve MacOs işletim sistemlerinde oturum açma aşamalarında iki adımlı kimlik doğrulama güvenliğini sağlıyor. Flash bellek görünümünde olan bu küçük anahtar usb portu ile haberleşiyor. Doğrulama adımı için anahtara dokunmak yetiyor. Google hizmetlerinde kullanmak için güvenlik ayarları bölümünden Yubikey’i aktif edip bir kere anahtara dokunmak aktif hale gelmesi için yeterli oluyor. Sonraki oturum açma aşamalarında kullanıcı adı ve şifre girildikten sonra ekranda Yubikey’e dokunun uyarısı çıktığında anahtara dokunmak güvenli bir giriş yapılmasını sağlıyor. Windows üzerinde oturum açmak için de yine oturum açma parolasını girmek ve ardından anahtara dokunmak gerekiyor. Böylece şifre ele geçirilebilse bile anahtara sahip olamadıkları için oturum açılamayacaktır.
Mobil tarafta ise iki adımlı kimlik doğrulama görevini akıllı telefonlarımız yerine getiriyorlar. Bazı cihazların parmak izi tanıma, yüz tanıma, iris taraması gibi ek donanımları mevcut ve bu donanımlarda ikinci faktör olarak kimlik doğrulamasında kullanılabiliyor. En sık kullandığımız ise SMS yöntemiyle belirli süreliğine geçerli olan bir parola gönderimi şeklinde. Mail ya da sosyal medya servislerinde artık yeni bir hesap açarken cep telefonu numarasının girilmesi zorunlu tutuluyor. İki adımlı kimlik doğrulamasını ilgili serviste aktif ettiğimizde önce kullanıcı adı ve şifre giriliyor akabinde cep telefonuna gönderilen 30 saniyeliğine geçerli olan kodu ekrandaki alana girmeden de oturum açma işlemi gerçekleşemiyor. Bu sayede telefon çaldırılmadığı müddetçe giriş sadece hesap sahibi tarafından gerçekleştirilecektir.Mobilde en çok kullanılan uygulama olarak Google Authenticator karşımıza çıkıyor. Bitcoin borsaları, Gmail ve bir çok e-posta servis sağlayıcı, wordpress, dropbox, facebook vs.. gibi birçok hizmet Google Authenticator servisini destekliyor. Özet olarak kimlik doğrulaması yaptığınız önemli platformlarda Two-factor authentication kullanmanız fayda sağlayacaktır.