İçeriğe atla

İki faktörlü kimlik doğrulama

Kontrol Edilmiş

İki faktörlü kimlik doğrulama, kullanıcı kimliklerini saptamak için kullanılan çok faktörlü bir kimlik doğrulama yöntemidir. Bu teknolojinin patenti 1984 yılında alınmış olup,[1] iki farklı bileşenden oluşmaktadır. İki faktörlü kimlik doğrulama, kullanıcının bildiği, sahip olduğu ve kullanıcıya bağlı olan bileşenlerin kombinasyonları ile işlemektedir.

Çeşitli dijital platformlarda, bu yönteme "Two Factor Authentication" veya "2FA" olarak da rastlanabilmektedir.

İki faktörlü kimlik doğrulama, mobil uygulamalar ile uyumlu bir şekilde çalışabilen, kullanıcının güvenliğini artırmaya yönelik bir güvenlik sistemidir ve birçok alternatife sahiptir.

ATM'lerden para çekme işlemi, bu tür bir güvenlik önleminin günlük hayattaki bir örneğini oluşturur. Doğru kombinasyon, kullanıcının sahip olduğu bir banka kartı ve bildiği bir PIN kodu kullanılarak banka işleminin gerçekleştirilmesini sağlar. Ancak, iki faktörlü kimlik doğrulamanın, yemleme, kötü amaçlı yazılımlar ve kart manyetiğindeki bilgilerin çalınması gibi modern tehditlere karşı zayıf olduğu bilinmektedir.[2]

Bileşenler

İki faktörlü kimlik doğrulama, yetkisiz bir kullanıcının, gereken faktörlerin tamamını ele geçiremeyeceği prensibine dayanır. Bir yetkilendirme denemesinde, eksik veya yanlış temin edilen herhangi bir bileşen varsa, istenilen varlığa erişim yetkisi sağlanmaz (örneğin, bir binaya veya veriye erişim). İki faktörlü yetkilendirme şeması şunları içerebilir:

  1. Kullanıcının sadece kendisinin sahip olduğu fiziksel bir nesne olabilir. Örneğin, USB bellek, banka kartı, anahtar veya cep telefonu gibi.
  2. Kullanıcının sadece kendisinin bildiği bir bilgi olabilir. Örneğin, kullanıcı adı, şifre, PIN kodu gibi.
  3. Kullanıcının fiziksel karakteristiği olabilir. Örneğin, yüzü, parmak izi, göz, ses, yazma hızı gibi.[3]

Mobil Aygıtlarda İki Faktörlü Kimlik Doğrulama

İki faktörlü kimlik doğrulama, kullanıcıların güvenliğini artırmak için kullanılan etkili yöntemlerden bir tanesidir. Bu yöntem, kullanıcının kimliğini doğrulamak için iki ayrı faktör kullanır: birincisi, kullanıcının bildiği bir bilgi veya giriş lisansı gibi unsurlar; ikincisi ise kullanıcının fiziksel olarak sahip olduğu bir nesne, genellikle bir mobil cihaz veya belirli bir uygulama aracılığıyla alınan dinamik bir kod.

Mobil cihazlarla kullanılan bu yöntem, kullanıcıların genellikle her zaman yanlarında taşıdığı bir cihazı kullanarak kullanılabilirliği artırır. Böylece, ekstra bir donanım taşıma gerekliliği ortadan kalkmaktadır ve kullanıcılar günlük yaşamlarında bu yöntemi kolayca kullanabilirler. Ayrıca, profesyonel iki faktörlü kimlik doğrulama çözümleri, kullanıcının şifresini her kullandığında otomatik olarak değiştirebilir ve eski şifrelerin tekrar kullanılmasını önler.

Bu yöntem, güvenliği artırmak için kullanıcıların rahatlık ve kullanılabilirliklerinden ödün vermeden ek bir katman sağlar. Yanlış şifre girme durumunda hesapları korumak için kullanıcıları bloke etme gibi ek güvenlik önlemleri de içerebilir. İki faktörlü kimlik doğrulama, modern güvenlik gereksinimlerine uygun olarak geliştirilen ve uygulanan bir yöntemdir, ancak dikkatli bir şekilde yapılandırılmalı ve yönetilmelidir.

Avantajlar

  • Başka taşınılabilir bir varlığa ihtiyaç yoktur, bunun yerine genellikle kullanıcılar tarafından taşınabilen mobil cihazlar kullanılır.
  • Şifreler dinamik olarak oluşturulduğundan, statik olarak oluşturulan şifrelere nazaran daha güvenlidir.
  • İzin verilen denemelerin belli bir limitinin olması, yetkisi olmayan kişilerden gelen saldırıların riskini azaltır.
  • Konfigürasyonun tanımlanması kolay olduğu için kullanım kolaylığı sağlar.

Dezavantajlar

  • Yetkilendirme gerektiğinde, mobil cihazın kullanıcının yanında olması gerekir. Eğer mobil cihaz kullanılabilir değilse (şarj bitmesi, internet bağlantısının olmaması gibi) yetkilendirme gerçekleştirilemez.
  • Kullanıcı mobil cihaz bilgilerini (telefon numarasını) yetkilendirme için paylaşmak zorunda kalabilir, bu da kişisel güvenliğin azalması ve spam potansiyelinin artmasına neden olabilir.
  • İletilen şifreler (genellikle SMS ile) güvenli olmayabilir ve üçüncü bir şahıs tarafından çalınabilir.[4]
  • Hesap kurtarma işlemi sıklıkla mobil cihazlar ile iki faktörlü kimlik doğrulamayı göz ardı eder.
  • Mobil cihazlar çalınabilir ve çalan kişi kullanıcının hesaplarına giriş yapabilir.
  • Zararlı yazılımlar ile kullanıcı bilgileri mobil cihazlardan çalınabilir.[5]

Gelişmeler

Mobil cihazlardaki iki faktörlü doğrulama üzerine yapılan araştırmalar, ikinci faktörün uygulanabilirliği konusunda önemli bulgular sunmaktadır. Bu çalışmalarda, ikinci faktörün kullanıcıya engel olmadan entegre edilebileceğini göstermektedir. Sürekli olarak kullanılan ve geliştirilen mobil donanımlar (örneğin GPS veya mikrofon gibi) sayesinde ikinci faktörün kullanımı daha güvenilir hale gelmiştir. Örneğin, kullanıcının bulunduğu bölgedeki ortamın sesini mobil cihaz kaydedebilir ve bunu bilgisayardan yapılan ses kaydıyla karşılaştırarak kimlik doğrulamasını gerçekleştirebilir. Bu yöntem, kimlik doğrulama sürecini daha etkili ve güvenilir hale getirirken, aynı zamanda kullanıcılar için gereken zamanı ve çabayı azaltmaya yardımcı olur.[6]

Kaynakça

  1. ^ "Patent US4720860 - Method and apparatus for positively identifying an individual". google.com. 3 Temmuz 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  2. ^ "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. 23 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  3. ^ "What is 2FA?". Virtualdcs.co.uk. 12 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  4. ^ "SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems". eeexplore.ieee.org. 9 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  5. ^ "Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million". Hackread.com. 16 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
  6. ^ "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound". 26 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Biyometri</span>

Biyometri, yaşayan organizmaların ölçümlerine verilen genel isimdir. Kimlik doğrulama ve erişim kontrolü için insan vücudunun biyolojik özelliklerini kullanan sistemlerdir. Bu sistemler, parmak izi, yüz, göz, ses ve damar örüntüsü gibi çeşitli biyolojik veri türlerini tarayarak ve analiz ederek çalışır. Biyometri, gelişmekte olan bir teknolojidir ve gelecekte daha da yaygın olarak kullanılması muhtemeldir. Biyometrik sistemler daha ucuz ve daha güvenilir hale geldikçe, kimlik doğrulama ve erişim kontrolü için tercih edilen yöntem haline gelebilir.

RADIUS, Livingston Enterprise tarafından geliştirilmiş, daha sonra da IETF RFC 2865 ve RFC 2866 ile standartlaştırılmıştır. RADIUS istemci-sunucu modeli tabanlıdır ve mesaj değişimi UDP protokolü ile gerçekleşir. Network Access Storage (NAS), RADIUS kullanıcısı olarak davranır ve kullanıcı isteğini RADIUS server'a aktarır. Diğer RADIUS kullanıcıları kablosuz bağlantı noktaları, yönlendiriciler (Router) ve anahtarlayıcılar (Switch) olabilir. RADIUS sunucusu kullanıcılardan istek aldıktan sonra kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve ücretlendirme (Accounting) yani AAA işlemlerini gerçekleştirir. Kullanıcı ile sunucu arasındaki iletişim özel anahtar ile şifrelendirilmiş şekilde gerçekleştirilir, bu sayede şifre asla ağ üzerinden gönderilmez. Kullanıcı ve sunucular iletişim olmadan önce bu güvenlik yöntemine göre ayarlanmıştır ve eğer şifreler uyuşmazsa bağlantı sonlandırılır.

<span class="mw-page-title-main">IEEE 802.1X</span>

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

<span class="mw-page-title-main">Kullanıcı</span>

Kullanıcı, bir kişinin bilgisayar veya bilgisayar ağında kullandığı bir hesabıdır.

<span class="mw-page-title-main">OAuth</span> kimlik doğrulama protokolü

OAuth açık standartlı bir yetkilendirme protokolüdür, genellikle internet kullanıcıları tarafından kendi Google, Microsoft, Facebook, Twitter, One Network vb. hesaplarının şifrelerini açığa çıkarmadan third party web sitelerine erişmek için kullanılır. Genellikle OAuth kaynağın sahibi adına, kullanıcılara sunucu kaynakları için "güvenli temsili erişim" sağlıyor. Kaynak sahipleri için bir süreç başlatıyor. Bu süreçte kaynak sahiplerinin sunucu kaynaklarına herhangi bir kimlik paylaşımı olmadan üçüncü taraf erişim yetkisi sağlanıyor. Spesifik olarak Hypertext Transfer Protocol (HTTP) ile çalışması için tasarlanmış, OAuth temelde yetkili sunucu ile ve kaynak sahibinin onayı ile access tokenslerinin third-party kullanıcılarına verilmesine izin veriyor. Daha sonra third party, kaynak sunucudaki korumalı kaynaklara erişmek için access tokenlarını kullanıyor.

<span class="mw-page-title-main">Google Hesabı</span> Google Hesap

Google Hesabı, Google tarafından çevrimiçi hizmetlere erişim amacıyla kimlik doğrulama ve yetkilendirme sağlayan bir kullanıcı hesabıdır. Tüm Google ürünlerine Google Arama, YouTube, Google Kitaplar, Google Finans, Google Haritalar ve diğerleri de dahil olmak üzere, bir hesap gerektirir. Google Hesabı, Gmail, Google+, Google Hangouts, Blogger ve diğerleri kullanımını için gereklidir. En önemlisi,günümüzde Androidle çalışan akıllı telefonlar ve tablet bilgisayarların hizmetlerini kullanmak için Google kimlik hesabı gereklidir.

<span class="mw-page-title-main">Apple ID</span>

Apple ID veya Apple Kimliği, böyle iWork, iCloud, iTunes Store ve Apple Store gibi ürünlerin çoğu için sunduğu herhangi bir e-posta sağlayıcısından bir müşterinin mevcut e-posta adresini kullanarak, çeşitli online sistemlere giriş yapmak için kullanılan bir all-in-one kullanıcı hesapıdır. Apple Inc. tarafından yaratılmıştır.

<span class="mw-page-title-main">Android Pay</span> dijital cüzdan platformu

Android Pay, Google tarafından geliştirilen, mobil cihazlarda uygulama içi ve dokunuşla ödeme alımlarını çalıştırmak için dijital cüzdan platformudur. 8 Ocak 2018 tarihinden itibaren, Google Wallet ile, Google Pay adı verilen tek bir ödeme sistemi haline getirilmiştir. Kullanıcılara Android telefonlar, tabletler veya saatler ile ödeme yapmalarını sağlar. Android Pay perakendeciye fon transferi kolaylaştıran kartı bilgilerini iletmek için yakın saha iletişimi (NFC) kullanır. Bu ödeme terminallerinde kredi kartı veya banka kartı EMV veya manyetik şeritli karta kullanıcıya bunları Android Pay cüzdanına yüklemeye olanak sağlayarak değiştirir. Çok faktörlü kimlik doğrulama ilavesi ile, zaten birçok ülkede kullanılan temassız ödemelerine benzer. Hizmet Android cihazlara bir yakın alan iletişimi (NFC) anteni, ana bilgisayar tabanlı kart emülasyonu (HCE) ve Android'in güvenliğini kullanarak kablosuz satış sistemleri noktası ile iletişim kurmasına olanak tanır.

<span class="mw-page-title-main">MSN Chat</span>

MSN Chat, MSN'in web servislerinin bir parçası idi. IRCX'in MSN versiyonu idi ve Microsoft Chat'in yerini aldı. Comic Chat'in bağlanması gerekmese de, Microsoft Chat istemcisinde ilk olarak Exchange tabanlı IRCX sunucuları kümesi kullanılabilir.

Bilgisayar güvenliğinde, meydan okuma – karşılık verme temelli kimlik doğrulama, bir tarafın soru sorduğu ve diğer tarafın da, kimlik doğrulama için, bu soruya geçerli bir cevap (karşılık) üretmek zorunda olduğu bir protokol ailesidir.

<span class="mw-page-title-main">Mobil ödeme</span>

Mobil ödeme mobil bankacılık'da en yaygın ödeme şekilleri'nden biridir. Genel olarak finansal düzenlemeler altında işletilir. Dijital cüzdanın ana sınıfı olarak mobil cihazdan veya bir mobil cihaz aracılığıyla gerçekleştirilir. Nakit ödeme, çek ya da kredi kartları yerine, geniş bir hizmet yelpazesi, dijital ya da sabit mallar için akıllı telefon kullanabilir. Madeni para temelli para sistemleri kullanmanın konseptinin uzun bir geçmişi olmasına rağmen, sadece bu tür sistemleri destekleyen teknoloji yaygın olarak kullanılmaya başlanır.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

<span class="mw-page-title-main">Tek seferlik parola</span>

Tek seferlik parola (OTP), bir bilgisayar sistemi veya başka bir dijital cihazda bir oturum ya da işlem için geçerli paroladır. OTP 'de geleneksel (statik) parola tabanlı kimlik doğrulamasıyla ilişkili birtakım eksiklikler yoktur. Ayrıca bir dizi uygulama sayesinde OTP, akıllı kart veya bir cep telefonu gibi bir kişide bulunabilecek cihazlara erişim gerektiren veya yalnız o kişinin bilebileceği bir PIN gerektiren iki faktörlü kimlik doğrulama içerir.

Tekrarlama saldırısı, geçerli bir veri iletiminin kötü niyetlilik veya sahtekarlıkla tekrarlandığı veya geciktirildiği bir ağ saldırısıdır. Bu saldırı, orijinal veri iletimcisi tarafından ya da veri iletimini IP paketi değişimi içeren bir aldatma saldırısı kullanarak kesen ve yeniden ileten bir saldırgan tarafından gerçekleştirilir. Bu, ortadaki adam saldırısının alt kademe versiyonlarından biridir.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Bilgisayar güvenliğinde genel erişim denetimi; tanımlama, yetkilendirme, kimlik doğrulama, erişim onayı ve kimlik denetimini içerir. Erişim kontrolünün daha dar bir tanımı, sadece erişim onayını kapsar. Erişim onayı yapısında sistem; nesnenin erişim yetkisine bağlı olarak, zaten kimliği doğrulanmış bir nesneden erişim isteği verme veya erişim isteğini reddetme kararı alır. Kimlik doğrulama ve erişim kontrolü genellikle tek bir işlemde birleştirilir; böylece erişim, başarılı kimlik doğrulamasına veya anonim erişim belirtecine(jetonuna) dayalı olarak onaylanır. Kimlik doğrulama yöntemleri ve belirteçleri arasında parolalar, biyometrik taramalar, fiziksel anahtarlar, elektronik anahtarlar ve aygıtlar, gizli yollar, sosyal engeller, insanlar ve otomatik sistemler tarafından izleme bulunur.

<span class="mw-page-title-main">WebAuthn</span> Açık anahtar kimlik doğrulama standardı

WebAuthn World Wide Web Consortium (W3C) tarafından yayımlanan bir web standardıdır. WebAuthn, FIDO Alliance kılavuzluğunda FIDO2 Project'in temel bir bileşenidir. Projenin amacı, açık anahtarlı şifrelemesi kullanarak kullanıcıları web tabanlı uygulamalara ve hizmetlere doğrulamak için bir arabirimi standartlaştırmaktır.

<span class="mw-page-title-main">BioAffix</span>

BioAffix, Aselsan ve Ones Technology tarafından geliştirilen, orta ve büyük ölçekli kurum-kuruluşların fiziksel, mantıksal, doküman, veri güvenlik ihtiyaçlarını tek bir çatı altında erişim, yetkilendirme, izlenme ve yönetilebilmesini sağlayan geçiş kontrol sistemleri bütünüdür. Avuç içi damar izi başta olacak şekilde birçok farklı yöntemle biyometrik doğrulama yapabilir.

Ayrıcalıklı Erişim Yönetimi (PAM), kimlik yönetimi ve siber güvenliğin bir dalıdır. Organizasyon içerisindeki ayrıcalıklı hesapların kontrolü, izlenmesi ve korunmasına odaklanır. Ayrıcalıklı statüye sahip hesaplar, kullanıcılara genişletilmiş izinler sağlar ve bu da onları, hayati sistemlere ve hassas verilere erişim sağladıkları için saldırganların ana hedefi haline getirir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.