Nasıl yapılır: İki Faktörlü Kimlik Doğrulamayı Etkinleştirme

İki faktörlü kimlik doğrulama (veya "2FA"), oturum açarken parolanızın yanına ek kanıt ("faktörler") gereksinimi ekleyerek online hesaplarınızı daha güvenli hale getirmenin bir yoludur. Bu, bildiğiniz bir şey (parola veya PIN gibi), sahip olduğunuz bir şey (güvenlik anahtarı veya cep telefonu gibi) veya size bağlı veya sizden ayrılamayan bir şey (parmak iziniz veya yüzünüz gibi) olabilir.

Muhtemelen hayatınızın bazı bölümlerinde zaten 2FA kullanıyorsunuz. Nakit çekmek için ATM kullandığınızda, hem fiziksel banka kartınızı (sahip olduğunuz bir şey) hem de PIN kodunuzu (bildiğiniz bir şey) yanınızda bulundurmalısınız. Online hizmetler için 2FA da aynı temel mantığı kullanır.

2FA Online Nasıl Çalışır? anchor link

Facebook (Instagram ve WhatsApp'ın yanı sıra), Apple, Google, X, Reddit, WeChat, Telegram ve TikTok dahil birçok online hizmet, yalnızca parola ile kimlik doğrulamaya alternatif olarak 2FA sunar. Etkinleştirdiğinizde, hem bir parola hem de ikincil bir kimlik doğrulama yöntemi istenecektir.

Bu ikincil yöntem birkaç türlü olabilir: bir SMS mesajı, bir kimlik doğrulama uygulaması tarafından oluşturulan değişen bir kod, bir anlık bildirim veya bir USB cihazı (güvenlik anahtarı olarak adlandırılır).

Bir kimlik doğrulama uygulaması, kaydolduğunuz her web sitesine özgü altı haneli dönüşümlü kodlar üretir. Google Authenticator ve Authy gibi birçok şirket, ücretsiz mobil kimlik doğrulama uygulamaları üretmektedir. Bazı parola yöneticileri de kimlik doğrulama uygulaması olarak çalışır, bu nedenle bunlar için ödeme yapmanıza gerek yoktur. 2FA uygulamaları genellikle bir algoritma tarafından oluşturulan benzersiz sayısal parolalar olan süreli tek kullanımlık parolalar (TOTP) kullanır. Bunlar, tek kullanımlıktır ve yalnızca kısa bir süre için geçerlidir. Aslında, çoğu 2FA uygulaması, kodun ne zaman değişeceğini belirten, genellikle 30 saniyelik bir geri sayım saati gösterir. Bu durumlarda, ikinci faktör (normalde) sahip olduğunuz bir cihaz olan cep telefonunuzdur.

Ayrıca, Duo veya Okta gibi işverenler ve hizmetlerde yaygın olan "anlık bildirim tabanlı 2FA" ile de karşılaşabilirsiniz, ancak bunu bir Google, Apple veya Microsoft hesabıyla zaten kullanmış olabilirsiniz. Steam ve Blizzard gibi oyun hizmetlerinde de popülerdir. Anlık bildirim tabanlı 2FA kullanıldığında, oturum açma sırasında cihazlarınızdan birine hizmet tarafından bir istem gönderebilir. Bu istem, birinin (muhtemelen sizin) oturum açmaya çalıştığını belirtir ve oturum açma girişiminin konumuna ilişkin bir tahmin iletir. Daha sonra girişimi onaylayabilir veya reddedebilirsiniz.

İkinci bir faktör de ayrı olarak satın aldığınız ve güvenlik anahtarı adı verilen başka bir fiziksel cihaz olabilir. Güvenlik anahtarları USB aracılığıyla bilgisayarınıza veya telefonunuza takılabilir veya NFC ile kablosuz olarak telefonlara bağlanabilir. Yukarıda bahsedilen uygulamalar gibi, bunları bir web sitesine kaydedersiniz ve anahtarı vermeden o web sitesine giriş yapamazsınız. Güvenlik anahtarları 2FA'nın en güçlü biçimidir, ancak web sitelerinde diğer seçenekler kadar yaygın olarak desteklenmez.

2FA kullanmayı seçtikten sonra, hesabınıza giriş yapmak için şifrenizi ve ardından ikinci faktörü (SMS ile gönderilen veya 2FA uygulamanızda oluşturulan kod veya bir güvenlik anahtarı) girmeniz gerekir.

Neden 2FA'yı Etkinleştirmeliyim? anchor link

2FA size daha fazla hesap güvenliği sunar. Birisi şifrenizi ele geçirse bile, bu kişi cep telefonunuza veya başka bir ikincil kimlik doğrulama aracına sahip olmadığı sürece hesabınıza erişemez. Kullanıcı şifrelerini içeren veri ihlalleri yaygın bir durum olduğu için bu özellikle önemlidir. Web siteleri her zaman ihlal edilir ve kişilerin şifre ve kullanıcı adları açığa çıkar. 2FA, güçlü ve benzersiz parolalar kullanmanın bir alternatifi değildir, ancak birisinin kullanıcı adınızı ve parolanızı farklı bir siteye girmesi durumunda küçük bir ekstra güvenlik katmanı sağlayabilir.

Ayrıca, 2FA güvenlik anahtarı ve geçiş anahtarı doğrulaması kimlik avına karşı etkili bir şekilde korumalıdır, çünkü anahtar kayıtlı olmadığı bir sitede çalışmaz. Ancak uygulamalarda veya SMS mesajlarında oluşturulan kodlar gibi diğer 2FA biçimlerinde durum böyle değildir. Son yıllarda, kimlik avı saldırıları, SMS ve kimlik doğrulama uygulamalarının koruma sağlamadığı 2FA kodları gerektirecek kadar karmaşıklaştı.

2FA Kullanmanın Dezavantajları Var mı? anchor link

2FA daha güvenli bir kimlik doğrulama yöntemi sunsa da, hesabınızın kilitlenmesi riskini artırır. Örneğin, telefonunuzu kaybederseniz, telefon numaranızı değiştirirseniz veya dolaşımı açmadan bir ülkeye seyahat ederseniz hesaplarınıza erişiminizi kaybedebilirsiniz. Bu durum, kaybetmesi telefondan daha kolay olabilen güvenlik anahtarları için de geçerlidir.

Birçok 2FA hizmeti tek kullanımlık "yedekleme" veya "kurtarma" kodlarından oluşan kısa bir liste sunar. Her kodu hesabınıza giriş yapmak için sadece bir kez çalıştırabilirsiniz ve bundan sonra artık kullanılamaz. Telefonunuza veya diğer kimlik doğrulama cihazınıza erişiminizi kaybetmekten endişe ediyorsanız, bu kodların çıktısını alın ve yanınızda taşıyın. Yalnızca bir kopyasını aldığınız ve yakınınızda tuttuğunuz sürece "sahip olduğunuz bir şey" olarak çalışmaya devam edeceklerdir. Kodları güvende tutmayı unutmayın ve başka kimsenin görmediğinden veya herhangi bir zamanda onlara erişemediğinden emin olun. Yedek kodlarınızı kullanır veya kaybederseniz, hesabınıza bir sonraki girişinizde yeni bir liste oluşturabilirsiniz.

Bazı 2FA mobil uygulamaları, tek seferlik kodları oluşturan bilgileri yedekleme seçeneği sunarak bu sorunu çözer. Böylece, telefonunuzu kaybederseniz, yedeği alabilirsiniz. Çoğu kişi için kimlik doğrulayıcı kodlarını yedeklemek iyi bir fikirdir. Ancak kodları yedeklediğiniz hizmetin güvenliği konusunda endişeleriniz varsa ve telefonunuzu kaybetmeyeceğinizden veya bozmayacağınızdan eminseniz kimlik doğrulayıcı kodlarını yedeklememeyi tercih edebilirsiniz. Bunları etkinleştirirseniz, bu yedeklemeler için uygulamanın uçtan uca şifreleme kullandığından emin olmak için uygulama dokümanlarını kontrol edin.

SMS 2FA hiç yoktan iyidir, ancak SMS mesajlaşma çok güvenli olmadığı için potansiyel sorunları beraberinde getirir. Telefon ağına erişimi olan sofistike bir saldırganın (bir istihbarat teşkilatı veya organize suç operasyonu gibi) SMS ile gönderilen kodları ele geçirmesi ve kullanması mümkündür. Daha az sofistike bir saldırganın (bir birey gibi) bir numaraya yönelik aramaları veya kısa mesajları kendi numarasına yönlendirmeyi başardığı veya telefona sahip olmasına gerek kalmadan bir telefon numarasına gönderilen kısa mesajları gösteren telefon şirketi hizmetlerine eriştiği durumlar da olmuştur. SIM değiştirme de potansiyel bir sorundur; bu, birisinin mobil operatörünüzü kandırarak (ya da içeriden biri olarak) telefon numaranızı, kontrol ettiği bir cihaza aktarmasıyla gerçekleşir. Bunu yaptıktan sonra, herhangi bir SMS 2FA koduna erişebilir veya daha kötüsü, SMS yoluyla bir şifre sıfırlama işlemi yapabilirler. Federal Ticaret Komisyonu  şirketleri SMS tabanlı 2FA'dan uzak tutmaya çalışmıştır.

Mümkünse, SMS yerine bir kimlik doğrulama uygulaması, geçiş anahtarı veya güvenlik anahtarı kullanmayı tercih edin.  Ayrıca, SIM değiştirmeye karşı koruma için bazı araçlar sunup sunmadıklarını görmek için mobil operatörünüze danışmalısınız. Bu, değişiklik yapmak için müşteri desteğini aradığınızda vermeniz gereken bir PIN veya sözlü şifre olabilir.

Ayrıca, SMS tabanlı 2FA kullandığınızda, normalde bir hizmete vermek istemeyeceğiniz ek bilgiler vermeniz de gerekebilir. TikTok kullandığınızı ve bir takma ad kullanarak kaydolduğunuzu varsayalım. TikTok'a kimlik bilgilerinizi vermekten dikkatle kaçınsanız ve hizmete yalnızca Tor veya VPN üzerinden erişseniz bile, SMS 2FA'yı etkinleştirirseniz, TikTok mutlaka cep telefonu numaranızın bir kaydına sahip olacaktır. Yani, bir mahkeme tarafından istenirse, TikTok, hesabınızı telefon numaranız aracılığıyla sizinle ilişkilendirebilir. Bu sizin için bir sorun olmayabilir, özellikle de belirli bir hizmette zaten yasal adınızı kullanıyorsanız, ancak anonimliğinizi korumak önemliyse, SMS 2FA'yı kullanmadan önce iyi düşünün.

2FA'yı etkinleştirdikten sonra bile, güçlü ve benzersiz parolalar oluşturmak için bir parola yöneticisi kullanın. İpuçları için güçlü parolalar oluşturma kılavuzumuza bakın.

Peki Ya Geçiş Anahtarları? anchor link

Geçiş anahtarları, giriş yapmak için daha yeni bir seçenektir ve 2FA'nın tüm güvenliğini, sizi çok fazla zahmete sokmadan sağlar. Geçiş anahtarı, belirli bir web sitesinde oturum açmak amacıyla cihazınızda (telefonunuz, dizüstü bilgisayarınız veya güvenlik anahtarınız gibi) oluşturulan yaklaşık 100-1400 baytlık rastgele veridir. Ne bir parola ne de 2FA'dır, ancak işlevsel olarak her ikisinin de yerini alabilir.

Parola ve bir kod girmenizi gerektirmeyen geçiş anahtarları ikinci bir faktör oluşturur. Oturum açmak için geçiş anahtarını her kullandığınızda, tarayıcınız veya işletim sisteminiz, cihazınızın kilit açma PIN kodunu yeniden girmenizi isteyebilir. Cihazınızın kilidini açmak için parmak izi veya yüz tanıma kullanıyorsanız, tarayıcınız bunun yerine oturum açmak isteyenin gerçekten siz olduğunuzu onaylamak için parmak izinizi tekrar girmenizi veya yüzünüzü göstermenizi isteyebilir. Bu, iki kimlik doğrulama faktörü sağlar: parolanızı saklayan cihaz sahip olduğunuz bir şeydir ve buna bildiğiniz bir şey (PIN) veya olduğunuz bir şey (parmak izi veya yüz) eşlik eder.

Belirli bir sitede zaten 2FA kullanıyorsanız, bir parola çok daha kullanışlı olacaktır ve daha güvenli olabilir. SMS veya 2FA kimlik doğrulayıcı yöntemleri kimlik avı saldırılarına karşı savunmasızdır, çünkü sahte bir site sizden tek seferlik kodu isteyebilir ve bunu çalınan şifrenizle birlikte gerçek siteye iletebilir. Geçiş anahtarları, SMS veya 2FA kimlik doğrulayıcı uygulamasından daha güvenlidir, çünkü kimlik avına karşı savunmasız değildir. Tarayıcınız hangi sitenin hangi geçiş anahtarı ile kullanılacağını tam olarak bilir ve sahte web siteleri tarafından kandırılmaz.

2FA'yı Nasıl Etkinleştiririm? anchor link

Not: Henüz  bir parola yöneticisi oluşturmadıysanız ve her site için benzersiz parolalar kullanmaya başlamadıysanız önce bunu yapın. Her site için benzersiz şifreler kullanmak başlı başına çok yardımcı olur.

2FA'nın etkinleştirilmesi, kullanılan terminoloji gibi platformdan platforma farklılık gösterir. 2FA'yı destekleyen sitelerin kapsamlı bir listesi https://2fa.directory/ adresinde bulunabilir.  Herkesin güvenlik planı farklı ihtiyaçlara sahiptir ve her web sitesi size farklı 2FA biçimleri için seçenekler sunmayabilir, ancak seçim yapma lüksünüz olduğunda, her 2FA türünü bu sırayla düşünün:

• Geçiş anahtarları güçlüdür ve kullanımı kolaydır (doğru çalıştıklarında), ancak henüz yaygınlaşmamış yeni bir teknolojidir ve doğru şekilde uygulanmadığında giriş sürecinde giderilmesi zor aksaklıklara neden olabilir.
• Güvenlik anahtarları çok güçlüdür ancak fiziksel anahtarı her zaman yanınızda bulundurmanız gerektiğinden kullanımı can sıkıcı olabilir.
• Anlık bildirim tabanlı kimlik doğrulama orta düzeyde güvenlik sağlar ve kullanımı kolaydır, ancak yalnızca az sayıda web hizmeti için kullanılabilir ve standartlaştırılmadığından, telefonunuzda bir dizi farklı kimlik doğrulama uygulamasına sahip olacağınız anlamına gelebilir.
• Kimlik doğrulayıcı uygulaması/TOTP kimlik doğrulaması bugünlerde çok yaygındır ve orta düzeyde güvenlik sağlar, ancak özellikle mobil cihazlarda uygulamalar arasında kodları kopyalamak/yapıştırmak can sıkıcı olabilir.
• SMS en düşük düzeyde güvenlik sağlar, bazı durumlarda kullanımı can sıkıcı olabilir (veya mobil hizmetiniz yoksa imkansız olabilir), ancak sunulan tek seçenek buysa yine de hiç yoktan iyidir.

Hesap ayarlarını kurcaladıktan ve 2FA'yı etkinleştirme seçeneğini bulduktan sonra, işlemi tamamlamak için genellikle bir adım daha atmanız gerekir. Bunun nasıl çalışacağı da kullandığınız 2FA türüne ve web sitesine bağlıdır, ancak genellikle şu şekilde gerçekleşir:

• Geçiş anahtarı kullanmayı seçerseniz, site geçiş anahtarını oluşturduğunuz cihazda (telefonunuz veya dizüstü bilgisayarınız gibi) bir geçiş anahtarı oluşturacak ve saklayacaktır. Bu geçiş anahtarı ile oturum açmak için söz konusu cihazın elinizin altında olması gerekir, ancak bazı parola yöneticileri geçiş anahtarını cihazlar arasında senkronize eder. Birçok hizmet hala bir kullanıcı adı ve parolaya sahip olmanızı da gerektirecektir, bu nedenle şimdilik başka bir 2FA biçimi kullanmanız gerekebilir.
• Bir güvenlik anahtarını tercih ederseniz, anahtarı takmanız, bir kimlik bilgisi oluşturmak istediğinizi onaylamanız (bu anahtara göre farklılık gösterir, ancak genellikle anahtara dokunmak veya üzerindeki bir düğmeye basmak şeklinde olabilir) ve ardından hesabınızla ilişkilendirmeyi tamamlamak için talimatları izlemeniz gerekir. Bazı web sitelerinin, bir güvenlik anahtarı kullandığınızda yedek olarak ikinci bir 2FA biçimi gerektirdiğini unutmayın, bu nedenle önce bunu ayarlamanız gerekebilir.
• Bir mobil kimlik doğrulayıcı uygulaması kullanıyorsanız, telefonunuzla bilgisayarınızın ekranındaki bir QR kodunu taramanız gerekecektir. Bundan sonra telefonunuz değişen kodlar üretmeye başlayacak ve bu işlemi başarıyla tamamladığınızı kanıtlamak için bu kodlardan birini girmeniz gerekecektir.
• SMS'i açarsanız, 2FA'yı etkinleştirme işlemini tamamlamak için yazmanız gereken bir kod alacaksınız.

2FA'yı etkinleştirme süreci başlangıçta göz korkutucu olabilir, ancak bunu daha küçük projelere bölerek kendiniz için kolaylaştırabilirsiniz.

E-posta hesaplarınızla başlayın. Çoğu hizmet e-posta yoluyla parola sıfırlamaya izin verdiğinden, adresinizi ele geçiren herhangi biri, diğer hizmetlere girmek için parola sıfırlama yapabilir, bu nedenle ilk olarak güvence altına alınması gereken en önemli hizmet budur. Ardından, Apple, Google veya Microsoft hesabı gibi dosyalarınızı yedekleyen tüm hizmetler için ayarlayın. Bundan sonra, sosyal ağlar ve iletişim uygulamaları güvenliğini sağlamak için önceliğiniz olmalıdır. Buradan, kullandığınız web sitelerini aramak için 2FA dizin sitesindeki listeyi işaretleyebilirsiniz.