Bir Electronic Frontier Foundation Projesi 
İki adımlı doğrulama (ya da "2FA"), iki farklı doğrulama yönteminin kombinasyonunu gerektirerek, bir servis sağlayıcısının kullanıcının kimliğini tanımlama işlemidir. Bu kombinasyon kullanıcının bildiği bir şeyden (bir şifre ya da PIN kodu gibi), kullanıcının sahip olduğu bir şeyden (anahtarlık ya da cep telefonu gibi) ya da kullanıcıya bağlı veya kullanıcıdan ayrılamayacak bir şeyden (parmak izi gibi) oluşabilir.
Hayatınızın diğer alanlarında muhtemelen iki adımlı doğrulamayı kullanıyorsunuz. Bir ATM kullanarak para çektiğinizde, hem fiziksel banka kartına (sahip olduğunuz bir şey), hem de bir PIN koduna (bildiğiniz bir şey) sahip olmalısınız. Ancak şu anda birçok online servis kullanıcılarının kimliklerini doğrulamak için bir adımlı doğrulamayı kullanıyor — yani tek bir şifre.
2FA Online Olarak Nasıl Çalışıyor?
Geçtiğimiz birkaç sene içinde, aralarında Facebook, Google ve Twitter'ın da bulunduğu birkaç online servis, sadece şifre ile doğrulama yapmanın yanında 2FA alternatifini de kullanıcılarına sundu. Bu özellik etkinleştirildiğinde, sistem kullanıcılardan hem şifrelerini, hem de ikincil doğrulama yöntemlerinden birini sağlamalarını ister — bu da tipik olarak SMS aracılığıyla gönderilen bir seferlik bir kod ya da Google Authenticator, Duo Mobile, Facebook uygulaması ya da Clef gibi bir sır saklayan ve sırf bu fonksiyon için yazılmış bir mobil uygulamadır. Her iki durumda da, ikinci adım (ya da faktör) kullanıcının cep telefonudur, yani kullanıcının (normalde) sahip olduğu bir şey. Google dahil olmak üzere bazı web siteleri, ek yedek olması amacıyla indirilebilecek ve kağıda yazılabilecek yedek kodları da ayrıca desteklemektedir. Kullanıcı 2FA kullanmayı tercih ettiğinde, hesabına erişmek için hesabının şifresini ve telefonundan aldığı tek seferlik kodu girmek zorundadır.
2FA'i Neden Kullanmalıyım?
2FA, kimliğinizi doğrulamanız için birden fazla yöntem gerektirdiği için çok daha iyi bir hesap güvenliği sunar. Yani bir kişi şifrenizi ele geçirse bile, o kişi cep telefonunuzu ya da diğer ikincil doğrulama yöntemlerinden birini elde etmeden hesabınıza erişemez.
2FA Kullanmanın Dezavantajları Var Mı?
2FA her ne kadar daha güvenli bir doğrulama sağlasa da, kullanıcı telefonunu yanlış bir yere koyarsa ya da kaybederse, SIM kartını değiştirse ya da dolaşımın (roaming) olmadığı bir ülkeyi ziyaret ederse, kullanıcının hesabına erişememesi riski vardır.
Birçok 2FA servisi "yedekleme" veya "kurtarma" kısa listesi hizmetini sunar. Bunlar hesabınıza her daim erişmenizi sağlayacak kodlardır. Eğer telefonunuza ya da başka bir doğrulama cihazınıza olan erişiminizi kaybetmekten korkuyorsanız, bu kodları yazdırıp yanınızda taşımanız yararınıza olacaktır. Tek bir kopyasını çıkartıp yanında taşıdığınız sürece, bunlar "sahip olduğunuz bir şey" olarak çalışmaya devam edecektir. Bu kodları güvende tutarken çok dikkatli olduğunuzdan ve kodları kimsenin görmediğinden emin olun.
SMS mesajlarını kullanan 2FA sistemleriyle ilgili bir başka problem de SMS mesajlaşmasının güvenli olmamasıdır. Telefon ağına erişimi olan sofistike bir saldırganın (bir istihbarat örgütü ya da örgütlü suç operasyonu gibi) bu ağı dinlemesi ve SMS'le gönderilen kodları kullanması imkan dahilindedir. Aramaları ve metin mesajlarını kendi numarasına yönlendirmeyi ya da telefona ihtiyaç olmadan bir telefona gönderilen metin mesajlarını gösteren telefon şirketi servislerine erişmeyi başarmış daha az sofistike (sıradan bir birey gibi) saldırganların olduğu da görülmüştür.
Bu seviyedeki saldırılardan endişe duyuyorsanız, SMS doğrulamasını kapatın ve yalnızca Google Authenticator ya da Authy gibi doğrulama yapmayı sağlayan uygulamaları kullanın. Maalesef bu özellik 2FA destekleyen her servis tarafından desteklenmemektedir.
Ek olarak, 2FA bir servise rahat olduğunuzdan daha fazla bilgi verme anlamına gelebilir. Diyelim ki bir Twitter kullanıcısısınız ve servise bir takma isim kullanarak kaydoldunuz. Twitter'a sizi tanımlayacak bilgileri vermemekte titiz davransanız bile ve servise sadece Tor ya da VPN
kullanarak bağlanmış olsanız bile, SMS kullanarak 2FA'i etkinleştirdiğinizde Twitter mecburen telefon numaranızın kaydına sahip olacaktır. Bu, mahkeme tarafından mecbur bırakıldığı durumda Twitter'ın hesabınız ve telefon numaranızı ilişkilendirebileceği anlamına gelir. Twitter gibi bir servisi yasal isminizle kullanıyorsanız bu sizin için bir sorun teşkil etmeyebilir ancak anonimliğinizi korumak sizin için önemliyse, 2 adımlı SMS doğrulamasını kullanırken iki kez düşünmek isteyebilirsiniz.
Son olarak, yapılan araştırmalar ikinci adımın onları güvende tuttuğunu düşünen bazı kullanıcıların 2FA kullanmaya başladıktan sonra daha zayıf şifreler seçtiğini göstermiştir. 2FA kullanmaya başladıktan sonra bile güvenli şifreler kullandığınızdan emin olun.
2FA'i Nasıl Aktifleştirebilirim?
Bu kullanılan terminoloji gibi platformdan platforma değişen bir şeydir. Bu işlem için Facebook "giriş onayları", Twitter "giriş onaylaması", Google ise 2-adımlı doğrulama ismini kullanır. Birçok platformda 2FA'i aktifleştirmek için sadece SMS alma özelliğine sahip bir cep telefonuna ihtiyacınız vardır.
2FA desteğine sahip sitelerin geniş bir listesini https://twofactorauth.org/ adresinden edinebilirsiniz. Şifrelerin çalınmasına karşı daha iyi bir koruma istiyorsanız, bu listeye göz atmalı ve bel bağladığınız tüm internet hesapları için 2FA özelliğini aktifleştirmelisiniz.