İki Faktörlü Doğrulama Nedir ve Neden Kullanılır?
İki faktörlü doğrulama (2FA), hesaplarınıza giriş yaparken şifrenizin yanında ikinci bir doğrulama adımı gerektiren güvenlik yöntemidir. Sadece şifre ile korunan hesaplar, şifrenin ele geçirilmesi durumunda tamamen savunmasız kalır. 2FA, bu riski önemli ölçüde azaltır çünkü saldırganın hem şifrenizi hem de ikinci faktöre erişimi olması gerekir.
Veri ihlallerinin artmasıyla milyonlarca kullanıcı adı ve şifre dark web'de satılıyor. Aynı şifreyi birden fazla sitede kullanan kişiler, tek bir ihlalden tüm hesaplarını kaybedebilir. 2FA bu zinciri kırar ve hesap ele geçirme saldırılarının %99.9'unu önler.
İki Faktörlü Doğrulama Türleri
SMS Tabanlı Doğrulama
Telefon numaranıza gönderilen tek kullanımlık kodları kullanırsınız. Kurulumu en kolay yöntem olmasına rağmen en güvensiz olanıdır. SIM swap saldırıları ile numaranız başkasına aktarılabilir ve kodlar saldırgana gider. Ayrıca SMS'ler şifrelenmez ve operatör tarafından görülebilir.
Yine de hiç 2FA kullanmamaktan iyidir. Gmail, Facebook, Instagram gibi platformlar bu yöntemi destekler. Ayarlar > Güvenlik > İki Faktörlü Doğrulama menüsünden telefon numaranızı eklersiniz.
Authenticator Uygulamaları
Telefonunuza kurduğunuz uygulama, 30 saniyede bir yenilenen 6 haneli kodlar üretir. Google Authenticator, Microsoft Authenticator, Authy ve 2FAS en yaygın kullanılan uygulamalardır. İnternet bağlantısı gerektirmez çünkü kodlar cihazınızda TOTP (Time-based One-Time Password) algoritması ile oluşur.
Kurulum sırasında QR kod taratırsınız veya 32 karakterlik bir secret key girersiniz. Bu bilgiyi mutlaka yedekleyin çünkü telefonu kaybettiğinizde hesaplarınıza erişemezsiniz. Authy bulut yedekleme sunar ama bu ek bir risk taşır. 2FAS açık kaynak kodludur ve gizlilik odaklıdır.
Donanım Anahtarları (Hardware Keys)
YubiKey, Google Titan Key gibi fiziksel cihazlar en güvenli 2FA yöntemidir. USB veya NFC üzerinden çalışır ve phishing saldırılarına karşı bağışıktır. Cihaz, hangi websiteye bağlandığınızı kriptografik olarak doğrular, sahte sitelerde çalışmaz.
FIDO2 ve WebAuthn standartlarını destekleyen donanım anahtarları, passwordless authentication için de kullanılabilir. Fiyatları 25-70 dolar arasındadır. Her zaman yanınızda taşımanız gerekir, bu yüzden yedek anahtar almanız önerilir.
Biyometrik Doğrulama
Parmak izi, yüz tanıma veya iris tarama kullanır. Genellikle mobil cihazlarda birincil doğrulama yerine ikinci faktör olarak uygulanır. Touch ID, Face ID ve Windows Hello bu kategoride yer alır. Biyometrik veriler cihazdan çıkmaz, lokal olarak işlenir ve kriptografik bir anahtar oluşturur.
Popüler Servislerde 2FA Nasıl Etkinleştirilir
Google Hesabı için 2FA
Google hesabınıza giriş yapın ve myaccount.google.com adresine gidin. Sol menüden Security (Güvenlik) seçeneğine tıklayın. 2-Step Verification bölümünde Get Started butonuna basın.
Telefon numaranızı girin ve doğrulama kodunu alın. Bundan sonra Authenticator app seçeneğini seçin ve QR kodu Google Authenticator veya başka bir uygulama ile taratın. Son adımda yedek kodları indirin, bunları güvenli bir yerde saklayın. Bu kodlar her biri bir kez kullanılabilir ve telefonunuza erişiminiz olmadığında işe yarar.
GitHub için 2FA Kurulumu
Settings > Password and authentication > Two-factor authentication yolunu izleyin. Enable two-factor authentication butonuna basın. Set up using an app seçeneğini tercih edin çünkü SMS güvenli değildir. QR kodu taratın ve uygulama tarafından üretilen 6 haneli kodu girin.
Recovery kodlarınızı mutlaka indirin. GitHub, 2FA'yı etkinleştirdikten sonra SSH anahtarlarınızın çalışmaya devam ettiğini ama HTTPS üzerinden git push yaparken personal access token kullanmanız gerektiğini bildirirsiniz. Şifreniz artık git işlemleri için geçersizdir.
AWS Console için 2FA
Root hesabı ve IAM kullanıcıları için ayrı ayrı 2FA etkinleştirmelisiniz. IAM Dashboard > Users > Security credentials sekmesinden Assigned MFA device bölümüne gidin. Virtual MFA device seçin ve QR kodu taratın. Ardından iki ardışık kod girerek senkronizasyonu tamamlayın.
AWS için donanım MFA cihazları da desteklenir. Gemalto token veya YubiKey kullanabilirsiniz. Root hesap için mutlaka donanım anahtarı kullanın çünkü root hesap tam yetkilidir ve ele geçirilmesi tüm altyapınızı riske atar.
Microsoft Hesabı için 2FA
account.microsoft.com adresine giriş yapın. Security > Advanced security options > Two-step verification bölümünden Turn on seçeneğine tıklayın. Microsoft varsayılan olarak Microsoft Authenticator uygulamasını önerir ama başka uygulamalar da kullanabilirsiniz.
Authenticator kurulduktan sonra, SMS ve email yedek seçenekleri ekleyin. Microsoft hesabı Windows, Office, Azure gibi birçok servise erişim sağladığı için bu hesabı kaybetmek ciddi sorunlara yol açar.
SSH için 2FA ile Google Authenticator
Linux sunucunuzda PAM (Pluggable Authentication Modules) kullanarak SSH oturumlarına 2FA ekleyebilirsiniz. Ubuntu/Debian'da şu komutu çalıştırın:
sudo apt-get install libpam-google-authenticatorKullanıcı olarak google-authenticator komutunu çalıştırın. QR kod terminalde görünür, mobil uygulamanızla taratın. Emergency scratch codes kaydedin. Ardından /etc/pam.d/sshd dosyasını düzenleyin ve en üste şu satırı ekleyin:
auth required pam_google_authenticator.so/etc/ssh/sshd_config dosyasında ChallengeResponseAuthentication yes olarak ayarlayın. SSH servisini yeniden başlatın: sudo systemctl restart sshd. Artık SSH ile bağlanırken hem şifrenizi hem de 6 haneli kodu girmeniz gerekir.
Dikkat Edilmesi Gereken Noktalar
Yedek Kodları Saklamak
Telefonunuzu kaybettiğinizde veya uygulama bozulduğunda hesaplarınıza erişemezsiniz. Her servis kurulum sırasında 8-10 adet tek kullanımlık yedek kod verir. Bunları şifreli bir password manager'da veya fiziksel olarak güvenli bir yerde saklayın. LastPass, 1Password, Bitwarden gibi araçlar yedek kod saklama için notlar bölümü sunar.
Birden Fazla Cihaz Kaydetmek
Sadece bir telefonda authenticator kurmak risklidir. Authy gibi uygulamalar çoklu cihaz senkronizasyonu sunar. Alternatif olarak aynı hesap için birden fazla cihaza ayrı ayrı QR kod taratabilirsiniz. Gmail ve çoğu servis bunu destekler. Tablet veya ikinci bir telefonda da aynı hesapları kaydedin.
SMS 2FA Risklerini Bilmek
SIM swap saldırısında, saldırgan operatörü arayarak sosyal mühendislik ile numaranızı kendi SIM kartına aktarır. 2019'da Twitter CEO'su Jack Dorsey'in hesabı bu yöntemle ele geçirildi. SMS 2FA kullanıyorsanız, operatör hesabınıza PIN veya şifre ekleyin. Türk operatörlerde bu ayarı müşteri hizmetlerinden isteyebilirsiniz.
Phishing ve 2FA
TOTP kodları phishing sitelere girildiğinde saldırgan hemen kullanabilir çünkü 30 saniye geçerlidir. Donanım anahtarları bu sorunu çözer. Evilginx2 gibi araçlar, gerçek siteyi proxy'leyerek hem şifrenizi hem de 2FA kodunuzu çalar. Korunmak için domain adını dikkatlice kontrol edin ve mümkünse FIDO2 uyumlu donanım anahtarı kullanın.
Uygulama Şifreleri (App Passwords)
Gmail'de 2FA etkinken, Outlook veya Thunderbird gibi email istemcileri normal şifrenizle çalışmaz. Google Settings > Security > App passwords bölümünden her uygulama için özel 16 karakterlik şifre oluşturursunuz. Bu şifreler 2FA gerektirmez ve iptal edilebilir. Her uygulama için ayrı şifre oluşturun, böylece bir cihazı kaybettiğinizde sadece o şifreyi iptal edersiniz.
İleri Seviye 2FA Uygulamaları
FIDO2 ve WebAuthn
FIDO2, şifresiz kimlik doğrulama için geliştirilmiş açık standarttır. WebAuthn API'si tarayıcılarda native olarak desteklenir. Bir donanım anahtarını kaydettiğinizde, public-private key çifti oluşur. Private key cihazda kalır, public key sunucuda saklanır. Giriş yaparken cihaz, private key ile imzalama yapar ve sunucu public key ile doğrular.
Chrome, Firefox, Edge ve Safari WebAuthn'i destekler. GitHub, Dropbox, Facebook, Twitter gibi platformlar FIDO2 anahtarlarını kabul eder. YubiKey 5 serisi hem TOTP hem de FIDO2 destekler, tek cihazda her iki standardı kullanabilirsiniz.
U2F (Universal 2nd Factor)
FIDO Alliance tarafından geliştirilmiş eski standarttır, FIDO2'nin öncülüdür. Hala birçok sitede desteklenir ama yeni projeler için FIDO2 tercih edilmelidir. U2F sadece ikinci faktör olarak çalışır, şifresiz girişi desteklemez. WebAuthn hem passwordless hem de 2FA için kullanılabilir.
TOTP Secret Yedekleme
Google Authenticator secret keylerini başka cihaza taşımak için QR kod export özelliği kullanır ama bu güvensizdir çünkü QR ekran görüntüsü tüm hesaplarınızı açığa çıkarır. Daha güvenli yöntem: her hesap için secret key'i kurulum sırasında kaydetmek ve şifreli bir dosyada saklamak.
Aegis Authenticator (Android) ve Raivo OTP (iOS) şifreli yedekleme sunar. Export ederken AES-256 ile şifrelenir ve parolanızla korunur. Bu dosyayı bulut depolamada saklamak nispeten güvenlidir çünkü şifrelenmiştir. Düzenli olarak yedek alın.
Kurumsal Ortamlarda 2FA
RADIUS Entegrasyonu
FreeRADIUS ile Google Authenticator veya Duo Security entegre ederek VPN, WiFi ve SSH erişimlerine 2FA ekleyebilirsiniz. PAM RADIUS modülü kullanarak tüm sistem oturumlarını merkezi bir RADIUS sunucusuna yönlendirirsiniz. RADIUS sunucusu 2FA doğrulaması yapar ve sonucu döner.
SAML ve SSO ile 2FA
Okta, Azure AD, OneLogin gibi identity providerlar 2FA zorunluluğu uygular. SAML authentication flow'unda, kullanıcı önce IdP'ye yönlendirilir, orada 2FA yapar, sonra service provider'a token döner. Böylece her uygulama için ayrı 2FA kurmaya gerek kalmaz.
Conditional Access Policies
Azure AD, IP adresi, cihaz durumu, konum gibi faktörlere göre 2FA zorunluluğu uygular. Ofis ağından gelen istekler 2FA gerektirmezken, bilinmeyen IP'lerden gelenlerde zorla 2FA ister. Risk-based authentication, giriş desenlerini analiz eder ve şüpheli aktivitelerde ek doğrulama ister.
Özet
İki faktörlü doğrulama artık opsiyonel değil, temel güvenlik gereksinimidir. SMS tabanlı 2FA'dan başlayıp authenticator uygulamalarına ve sonunda donanım anahtarlarına geçiş yapın. Kritik hesaplarınız (email, banka, cloud servisleri) için mutlaka donanım anahtarı kullanın çünkü phishing saldırılarına karşı gerçek koruma sağlar.
Yedekleme stratejisi olmadan 2FA etkinleştirmeyin. Recovery kodlarını güvenli saklayın, birden fazla cihaz kaydedin ve secret keyleri şifreli yedekleyin. Telefonunuzu kaybettiğinizde tüm hesaplarınıza erişimi kaybetmek istemezsiniz. Authy veya Aegis gibi yedekleme destekli uygulamalar kullanın.
Kurumsal ortamlarda 2FA'yı SSO ve conditional access ile birleştirin. Kullanıcı deneyimini bozmadan güvenliği artırabilirsiniz. FIDO2 standartları yaygınlaştıkça, passwordless authentication ana akım haline gelecek ve şifrelerin tamamını ortadan kaldıracak.
Sıkça Sorulan Sorular
Telefonumu kaybedersem hesaplarıma nasıl erişirim?
Kurulum sırasında verilen recovery kodlarını kullanın. Bunları kaybettiyseniz, her servisin hesap kurtarma süreci vardır ama genellikle günler sürer ve kimlik doğrulama belgesi ister. Bu yüzden yedek kodları mutlaka saklayın ve ikinci bir cihazda da authenticator kurun.
2FA her giriş sırasında kod mu ister?
Çoğu servis "Bu cihazı hatırla" seçeneği sunar, 30 gün boyunca kod istemez. Tarayıcı çerezlerini sildiğinizde veya farklı cihazdan girdiğinizde tekrar 2FA gerekir. Yüksek güvenlikli hesaplar için bu özelliği kapatın ve her girişte kod girin.
Authenticator uygulaması internetsiz çalışır mı?
Evet, TOTP kodları cihazınızda oluşur ve internet bağlantısı gerektirmez. Sadece cihazınızın saati doğru olmalıdır çünkü kodlar zamana bağlıdır. Saat farkı 30 saniyeden fazlaysa kodlar geçersiz olur. NTP ile saat senkronizasyonunu açık tutun.
Hangi 2FA yöntemi en güvenlidir?
FIDO2 uyumlu donanım anahtarları en güvenli yöntemdir çünkü phishing'e karşı bağışıktır ve private key cihazdan çıkmaz. Ardından TOTP uygulamaları gelir. SMS 2FA en zayıftır, sadece hiç 2FA yoksa kullanın. Kritik hesaplar için YubiKey veya Google Titan Key alın.
Aynı authenticator uygulamasını birden fazla cihazda kullanabilir miyim?
Authy çoklu cihaz senkronizasyonu sunar. Google Authenticator bunu desteklemez ama aynı QR kodu birden fazla cihaza ayrı ayrı taratabilirsiniz. Her cihaz bağımsız olarak kod üretir. 2FAS ve Aegis şifreli yedekleme ile export/import yapar, böylece yeni cihaza tüm hesapları aktarırsınız.
0 Yorum
Yorum Yaz