Skip to main content
Surveillance
Self-Defense

Nasıl: İki Adımlı Doğrulamayı Etkinleştirmek

Son güncelleme: September 08, 2017

This page was translated from English. The English version may be more up-to-date.

İki adımlı doğrulama (ya da "2FA"), iki farklı doğrulama yönteminin kombinasyonunu gerektirerek, bir servis sağlayıcısının kullanıcının kimliğini tanımlama işlemidir. Bu kombinasyon kullanıcının bildiği bir şeyden (bir şifre ya da PIN kodu gibi), kullanıcının sahip olduğu bir şeyden (anahtarlık ya da cep telefonu gibi) ya da kullanıcıya bağlı veya kullanıcıdan ayrılamayacak bir şeyden (parmak izi gibi) oluşabilir.

Hayatınızın diğer alanlarında muhtemelen iki adımlı doğrulamayı kullanıyorsunuz.  Bir ATM kullanarak para çektiğinizde, hem fiziksel banka kartına (sahip olduğunuz bir şey), hem de bir PIN koduna (bildiğiniz bir şey) sahip olmalısınız.  Ancak şu anda birçok online servis kullanıcılarının kimliklerini doğrulamak için bir adımlı doğrulamayı kullanıyor — yani tek bir şifre.

2FA çevrimiçi nasıl çalışıyor? anchor link

Geçtiğimiz birkaç sene içinde, aralarında Facebook, Google ve Twitter'ın da bulunduğu birkaç online servis, sadece şifre ile doğrulama yapmanın yanında 2FA alternatifini de kullanıcılarına sundu. Bu özellik etkinleştirildiğinde, sistem kullanıcılardan hem şifrelerini, hem de ikincil doğrulama yöntemlerinden birini sağlamalarını ister — bu da tipik olarak SMS aracılığıyla gönderilen bir seferlik bir kod ya da Google Authenticator, Duo Mobile, Facebook uygulaması ya da Clef gibi bir sır saklayan ve sırf bu fonksiyon için yazılmış bir mobil uygulamadır. Her iki durumda da, ikinci adım (ya da faktör) kullanıcının cep telefonudur, yani kullanıcının (normalde) sahip olduğu bir şey. Google dahil olmak üzere bazı web siteleri, ek yedek olması amacıyla indirilebilecek ve kağıda yazılabilecek yedek kodları da ayrıca desteklemektedir. Kullanıcı 2FA kullanmayı tercih ettiğinde, hesabına erişmek için hesabının şifresini ve telefonundan aldığı tek seferlik kodu girmek zorundadır.

2FA'i neden kullanmalıyım? anchor link

2FA, kimliğinizi doğrulamanız için birden fazla yöntem gerektirdiği için çok daha iyi bir hesap güvenliği sunar. Yani bir kişi şifrenizi ele geçirse bile, o kişi cep telefonunuzu ya da diğer ikincil doğrulama yöntemlerinden birini elde etmeden hesabınıza erişemez.

2FA Kullanmanın Dezavantajları Var Mı? anchor link

2FA her ne kadar daha güvenli bir doğrulama sağlasa da, kullanıcı telefonunu yanlış bir yere koyarsa ya da kaybederse, SIM kartını değiştirse ya da dolaşımın (roaming) olmadığı bir ülkeyi ziyaret ederse, kullanıcının hesabına erişememesi riski vardır.

Birçok 2FA servisi "yedekleme" veya "kurtarma" kısa listesi hizmetini sunar. Hesabınıza giriş için kullandığınız kodu yalnızca bir kere kullanabilirsiniz. Eğer telefonunuza ya da başka bir doğrulama cihazınıza olan erişiminizi kaybetmekten korkuyorsanız, bu kodları yazdırıp yanınızda taşımanız yararınıza olacaktır. Tek bir kopyasını çıkartıp yanında taşıdığınız sürece, bunlar "sahip olduğunuz bir şey" olarak çalışmaya devam edecektir. Bu kodları güvende tutarken çok dikkatli olduğunuzdan ve kodları kimsenin görmediğinden emin olun. Kurtarma kodlarınızı kullanır veya kaybederseniz, hesabınıza giriş yaptıktan sonra yeni kodlar yaratabilirsiniz.

SMS mesajlarını kullanan 2FA sistemleriyle ilgili bir başka problem de SMS mesajlaşmasının güvenli olmamasıdır. Telefon ağına erişimi olan sofistike bir saldırganın (bir istihbarat örgütü ya da örgütlü suç operasyonu gibi) bu ağı dinlemesi ve SMS'le gönderilen kodları kullanması imkan dahilindedir. Aramaları ve metin mesajlarını kendi numarasına yönlendirmeyi ya da telefona ihtiyaç olmadan bir telefona gönderilen metin mesajlarını gösteren telefon şirketi servislerine erişmeyi başarmış daha az sofistike (sıradan bir birey gibi) saldırganların olduğu da görülmüştür.

Bu seviyedeki saldırılardan endişe duyuyorsanız, SMS doğrulamasını kapatın ve yalnızca Google Authenticator ya da Authy gibi doğrulama yapmayı sağlayan uygulamaları kullanın. Maalesef bu özellik 2FA destekleyen her servis tarafından desteklenmemektedir.

Ek olarak, 2FA bir servise rahat olduğunuzdan daha fazla bilgi verme anlamına gelebilir. Diyelim ki bir Twitter kullanıcısısınız ve servise bir takma isim kullanarak kaydoldunuz. Twitter'a sizi tanımlayacak bilgileri vermemekte titiz davransanız bile ve servise sadece Tor ya da VPN kullanarak bağlanmış olsanız bile, SMS kullanarak 2FA'i etkinleştirdiğinizde Twitter mecburen telefon numaranızın kaydına sahip olacaktır. Bu, mahkeme tarafından mecbur bırakıldığı durumda Twitter'ın hesabınız ve telefon numaranızı ilişkilendirebileceği anlamına gelir. Twitter gibi bir servisi yasal isminizle kullanıyorsanız bu sizin için bir sorun teşkil etmeyebilir ancak anonimliğinizi korumak sizin için önemliyse, 2 adımlı SMS doğrulamasını kullanırken iki kez düşünmek isteyebilirsiniz.

Son olarak, yapılan araştırmalar ikinci adımın onları güvende tuttuğunu düşünen bazı kullanıcıların 2FA kullanmaya başladıktan sonra daha zayıf şifreler seçtiğini göstermiştir. 2FA kullanmaya başladıktan sonra bile güvenli şifreler kullandığınızdan emin olun. Güvenli şifreler yaratmakla ilgili bilgi almak istiyorsanız güçlü parolalar yaratmak isimli rehberimize göz atın.

2FA'i nasıl aktifleştirebilirim? anchor link

Bu kullanılan terminoloji gibi platformdan platforma değişen bir şeydir. 2FA destekleyen sitelerin listesine https://twofactorauth.org/ adresinden göz atabilirsiniz. Amazon, Bank of America, Dropbox, Facebook, Gmail ve Google, LinkedIn, Outlook.com ve Microsoft, PayPal, Slack, Twıtter, ve Yahoo Mail gibi sık kullanılan servislerde 2FA'in nasıl kullanılacağını öğrenmek için 12 Days of 2FA (İngilizce) isimli makalemize bakabilirsiniz.

Şifrelerinizin çalınma ihtimaline karşı kendinizi daha iyi korumak istiyorsanız, bu listeyi okuyun ve bel bağladığınız tüm servisler için 2FA özelliğini aktifleştirin.