Umarım arkadaşlarınız ve sevdiklerinizi iki aşamalı doğrulama yöntemlerini uygulama ve hesaplarını güvene alma konusunda uyarmışsınızdır. Facebook, Twitter ya da online bankanız farkındaysanız sadece şifre istemiyor, ayrıca özel bir kod istiyor. Bunların yanında klasik iki aşamalı doğrulama yöntemleri hep aynı şekilde olmayabilir. Daha iyi koruma için ekstra doğrulama yazılımları da gerekebiliyor.

İki faktörlü korumayı uygulamanın en kolay yolu, güvenli bir hesaba giriş yapmaya çalıştığınızda her defasında erişim koduyla bir metin almak. Ancak çok iyi bir sistem olsa da, 2FA’nızın SMS olarak alınıp alınmamasının çok büyük bir dezavantajı var. Özellikle, birileri akıllı telefonunuzun SIM’ini çalar ya da bir şekilde sızarsa, bu durum sizi daha da kötü bir duruma düşürebilir. Telefon numaranızı çalan bilgisayar korsanları, kullandığınız iki faktörlü bildirimi kendi cihazlarına yönlendirerek, hesaplarınıza daha kolay giriş yapabilirler.

Carnegie Mellon Üniversitesi’nden Bilgisayar Bilimci Lorrie Cranor “Ne yazık ki hırsızların cep telefonu operatörünüzü taklit ederek cep telefonu numaranızı ele geçirmesi o kadar da zor değil” diyor. Buna karşın Authenticator uygulamaları bu soruna karşı savunmasız değil ve bu nedenle de iki faktörlü doğrulamayı yapmanın en güvenli yollarından birisi olarak görülüyor.

            En çok kullanılan iki faktörlü doğrulama uygulamalarından biri Google Authenticator

Özellikle de Instagram, şu anda sadece metin tabanlı iki faktörü desteklediği için, sıkıntıya neden olan SIM saldırılarına maruz kalabiliyor. Ancak şirket geçtiğimiz aylarda bununla ilgili açık bir çözüm üzerinde çalıştığını doğrulayarak bir kimlik doğrulama uygulaması üzerinde durduklarını söylemişti.

Gündelik kullandığımız yöntemler yeterli mi?

Bugün kullandığınız hassas sosyal medya hesaplarının çoğu zaten daha güçlü 2FA sunuyor. Ayrıca, sizin için etkinleştirecek üçüncü taraf doğrulayıcı sıkıntıları da yok. Ancak Authenticator uygulamalarıyla kurulumun nasıl yapılacağını öğrenerek açtığınız oturumların sizin için daha stressiz olmasını sağlayabilirsiniz.

En popüler kimlik doğrulayıcı uygulamalar Google Authenticator ve Authy’dir. Bunun dışında Microsoft’un ağır ekosistemine alışkınsanız Microsoft Authenticator’ı da deneyebilirsiniz. Bunların hepsi özellik olarak birbirinden farklı olsa da, hangisini kullanırsanız kullanın temel işlevleri aynı.

Size bir SMS göndermek yerine, bu uygulamaların her biri, her 30 saniyede bir yenilenen rastgele oluşturulmuş altı haneli bir kodu gösteriyor ve oturum açmaya çalıştığınız hizmetle sürekli olarak senkronize kalıyor. Bu kodları telefon numaranız yerine fiziksel bir cihaza bağlamanın yararları, güvencenin ötesinde yararlar sağlıyor; Google Authenticator gibi uygulamalar genellikle internet veya hücre bağlantısı olmadan bile çalışmaya devam eder.

Bu arada güvenmek istediğiniz çoğu hizmet, standart 2FA’yı zaten sunuyor ve buraya tıklayarak da bu hizmeti sunan kurumlara ulaşmanız mümkün. Hangi uygulamayı kullanacağınıza gelince, Google Authenticator güvenlik kaydı olan bir şirketin desteklediği barebone deneyimini sunarken, Authy sadece akıllı telefonunuzdan değil masaüstünüzden veya tabletinizden de kod çekebiliyor. Ayrıca, akıllı telefonunuzu mecburen güncellediğinizde kodlarınızı buluta yedeklemenize ve kesintisiz geçişi sağlamanıza olanak tanıyor. Google Authenticator’da ise ana cihazınızı değiştirdiğinizde, hesaplarınızı tekrar senkronize etmeniz gerekir.

           Authy kullanıcılara sunduğu ekstra özellikler ile bir adım önde

Zevkli bir Authy deneyimi

Gerçekten güvenli bir 2FA uygulamasının nasıl kullanılacağını incelemek için Authy’yi kullanacağız. Atılacak adımlar Google Authenticator’da aynı olsa da daha fazla ayrıntıya sahip.

Authy’yi açtığınızda, telefon numaranızı soruyor ve ardından telefon araması, SMS veya başka bir cihaz aracılığıyla size bir kayıt kodu gönderiyor. Buradan, güvenceye almak istediğiniz hesaplarla eşleştirme başlayana kadar boş bir sayfa görünüyor.

İşte şimdi angarya kısmı geliyor. Bu noktada uygulamanızı eşleştirmek istediğiniz her bir hesaba gitmeniz gerekir; çünkü SMS’den Authy veya Authenticator’a geçiş için otomatik bir yol yok.

Örneğin kurulum için Dropbox’ı kullanalım. Web’de oturum açtıktan sonra, sağ üst köşedeki Kimlik simgesini tıklayın. Oradan, Ayarlar’a ve ardından Güvenlik’e gidin. İki adımlı doğrulamayı açıp Tercih Edilen Yöntem’in altındaki Düzenle’ye gidin. Bir mobil uygulama kullan’ı tıklayın. Bir QR kodu göreceksiniz. Authy’de Hesap Ekle’ye dokunun, akıllı telefonunuzu ekrana getirin ve tebrikler! İşte Dropbox hesabınız sıkı bir şekilde güvence altına alındı. Eğer Google Authenticator kullanıyorsanız yine benzer yolları takip etmeniz gerek. Ancak belirttiğim gibi daha fazla özellik için mutlaka Authy’de karar kılmanız gerek.

Ekstra özelliklere örnek vermek gerekirse, Ayarlar’a gidin ve Hesaplar’a dokunun, ardından bulutta şifrelenmiş yedeklemeler oluşturmak istiyorsanız Authenticator Backups’a geçiş yapın. Böylece bulut yedeklemesi Authy’yi akıllı telefonunuzdan başka cihazlarda da kullanabilmenizi mümkün kılar. Hatta bir Chrome uzantısı bile var. Böylece geçişler oldukça sorunsuz bir hale gelebiliyor.

Authy hesabınıza daha fazla cihaz eklemek için ise Ayarlar’a ve Cihazlar’a gidin, ardomdam Çoklu Cihazlara İzin Ver’e dokunun. Oradan, ihtiyacınız olan her şeyi doğrulayabilirsiniz. Authy ayrıca, cihazınız çalınırsa bile uygulamayı 4 haneli bir PIN ile korumanızı sağlar.

Bir diğer ipucu: İki faktör sunan hizmetler genellikle tek kullanımlık yedek kodlar sunar. Bunları özellikle de seyahat ediyorsanız, güvenli bir yerde saklayın. Her ne sebeple olursa olsun uygulamanıza veya bir SMS’e erişemiyorsanız işinize yarayabilir.

2FA’nın ötesinde

İki faktörlü doğrulama için anlattığım uygulamaları kullanmak SMS almaktan daha güvenli bir yol olsa da, maalesef kusursuz bir koruma olduğunu söyleyemem. Bunun için, çevrimiçi hesaplarınızı daha da güvenli bir hale getirip kilitlemek için bir donanım katmanı ekleyen YubiKey’e geçmek düşünülebilir. Çünkü Yubikey aynı zamanda; Yubico tarafından üretilen, 2 aşamalı doğrulamalarda kullanılabilen, varyasyonları da bulunan çok fonksiyonlu bir donanımsal güvenlik kartıdır.

                            Yubikey nano, Yubikey ve NFC destekli Yubikey Neo

Aslında çoğu insan için, bir kimlik doğrulayıcı uygulaması kurmak için harcanan birkaç dakika, SMS yoluyla alınan koddan çok daha değerlidir. Özellikle de Instagram gibi milyonların kullandığı uygulamalar da bu hizmeti vermeye başladıklarında gerçek hesap güvenliğinden o zaman bahsedebileceğiz.

Bu yazı İlkan Akgül tarafından çevrilmiştir.

 

İçeriklerimize destek olun!