İki faktörlü kimlik doğrulama (2FA) nedir?

İki adımlı kimlik doğrulama veya çift faktörlü kimlik doğrulama olarak da adlandırılan 2FA, kullanıcıların kendilerini doğrulamak için iki farklı kimlik doğrulama işlemlerine tabii tutan, bir güvenlik sistemidir. Bu sistem, hem kullanıcının kimlik bilgilerini hem de kullanıcının erişebileceği kaynakları daha iyi korumak için kullanılmaktadır. Sadece kullanıcının akıllı telefon, tablet ya da 2FA kimlik doğrulaması için özel olarak üretilmiş cihazlara gönderilen ve tamamen rastgele olarak belirlenen şifreler ile hesaplara giriş yapılmaktadır. Şifre bilgileriniz istenmeyen kişiler tarafından ele geçirilmesi durumunda, ikincil kimlik doğrulama işlemi güvenliği sağlayacaktır. Son yıllarda kimlik avı saldırılarını (phishing attacks) önlemek için giderek daha fazla 2FA kullanılmaktadır.

Kimlik doğrulama faktörleri nelerdir?

Kullanıcı kimliğinin doğrulanmasının birkaç farklı yolu mevcuttur. Şu anda, çoğu kimlik doğrulama yöntemi geleneksel parola gibi bilgi faktörlerine dayanmaktadır. İki faktörlü kimlik doğrulama yöntemleri sahip olma faktörü veya biyometrik faktör kontrollerini içermektedir.

  1. Bilgi faktörü, kullanıcının sahip olduğu bilgilerden oluşan kişisel kimlik numarası (PIN), kullanıcı adı, şifre veya gizli bir sorunun cevabı gibi bir kimlik doğrulama kategorisidir.
  2. Sahip olma faktörü , kimlik doğrulama isteklerini onaylamak için kullanıcının kimlik kartı, cep telefonu, mobil cihaz veya akıllı telefon uygulaması gibi sahip olduğu kişisel eşyalardır.
  3. Biyometrik faktör, DNA, parmak izi, göz retinası, ses tanıma, yüz tanıma ve el ölçümleri gibi kişisel özellikleri tanıyan ve analiz eden teknolojileri ifade eder.
  4. Konum faktörü IP adresi veya GPS verileri gibi kullanıcının cep telefonundan veya başka bir cihazdan türetilen diğer coğrafi konum bilgileri alınarak kimlik doğrulama girişiminin yapıldığı yere göre sınırlama yapılabilir.
  5. Zaman faktörü, kullanıcı kimlik doğrulamasını, izin verilen belirli bir zaman aralığı ile sınırlar ve o süre dışında sisteme erişimi kısıtlar.

Akıllı telefonlar, 2FA için çeşitli olanaklar sağlamaktadır. Bazı mobil cihazlar parmak izlerini tanıyabilir, yüz tanıma veya iris taraması için dahili bir kamera ve ses tanıma için mikrofon kullanılabilir. GPS destekli akıllı telefonlar, konum bilgisini güvenlik faktörü olarak doğrulayıp kullanabilmektedir. Örneğin; Google Authenticator'ı destekleyen bir web sitesine veya web uygulamasına erişmek için kullanıcılar, kullanıcı adını ve şifre(bilgi faktörü) bilgi girişlerini yapar. Daha sonra kullanıcıya altı haneli bir kimlik doğrulama kodu iletilir. Üretilen kimlik doğrulama kodları her 30 saniyede bir değişir ve her giriş için farklı kod üretilir. Doğru kodun girilmesi ile kullanıcının kimlik doğrulama işlemi tamamlanır. Ayrıca, 2FA unsurlarından olan sahiplik faktörü karşılanmış olur.



2FA, MFA’nın (Multi-Factor Authentication) bir alt kümesidir. Teknik olarak, bir sisteme veya hizmete erişmek için her zaman iki kimlik doğrulama faktörü gereklidir. Ancak, aynı kategoriden iki faktör kullanılması 2FA oluşturmaz; Örneğin, bir parola ve gizli soru, ikisi de aynı kimlik doğrulama faktörü kategorisine ait olduğu için hala SFA (Single-Factor Authentication) olarak kabul edilir. SFA kullanımı, kullanıcı kimliği ve şifre güvenliğini sağlamada yeterli değildir. Parola tabanlı kimlik doğrulamanın bir diğer sorunu ise, güçlü parolalar oluşturmak ve bu parolaları akılda tutmaktır. Yeterli zaman ve kaynaklar göz önüne alındığında, bir saldırgan parola tabanlı güvenlik sistemlerini çok kolay bir şekilde geçebilir ve kullanıcıların kişisel bilgileri de dahil olmak üzere kurumsal verilerini çalabilir. Birden fazla güvenlik katmanı, nasıl uygulandıklarına da bağlı olarak daha fazla güvenlik sağlayacaktır.

İki faktörlü kimlik doğrulama nasıl çalışır?

  1. Kullanıcının; uygulama veya web sitesi tarafından, oturum açması istenir.
  2. Kullanıcıya ait bilgi girişi yapılır (genellikle kullanıcı adı ve şifre). Ardından, sitenin sunucusu bir eşleşme bulur ve kullanıcıyı tanır.
  3. Site daha sonra kullanıcıdan ikinci oturum açma adımını başlatmasını ister. Bu adım da akıllı telefon, diğer mobil cihazlar gibi sahip oldukları bir cihaz tanımlanır. Bu sahip olma faktörüdür.
  4. Daha sonra, kullanıcıya gönderilmiş olan tek kullanımlık kod doğrulaması yapılır.
  5. Her iki faktörü sağladıktan sonra, kullanıcının kimliği doğrulanır ve uygulamaya veya web sitesine erişime izin verilir.

İki faktörlü kimlik doğrulama türleri

  1. OTP (Tek kullanımlık şifre) OTP olarak da bilinen bu kimlik doğrulama kodları, genellikle bir sunucu tarafından oluşturulur ve bir kimlik doğrulama aygıtı veya uygulaması tarafından bir kez kullanılabilir. Bir kerelik parola (OTP), kullanıcının tek bir işlem veya oturum açması için kimliğini doğrulayan, otomatik olarak oluşturulan sayısal veya alfanümerik bir karakter dizesidir.
  2. FIDO (Hızlı kimlik doğrulama), kimlik doğrulaması yapılırken parmak izi, göz retinası, ses ve yüz tanıma gibi biyometrik özellikler kullanılmaktadır. Biyometrik özelliklerin yanı sıra; USB veya NCF (temassız yakın alan iletişimi) üzerinden çalışan donanımlar da kullanılmaktadır.
  3. RFID (Radyo Frekansı ile Tanımlama teknolojisi) temel olarak bir barkod ve barkod okuyucudan meydana gelir. Kısa mesafelerde işleyen bu sistem barkod içerisinde tutulan Elektronik Ürün Kodu gibi tekil bilginin, okuyucu ile okunup işlenebilmesine olanak sağlar.


2FA donanımları (hardware tokens) nasıl çalışır?

Kimlik doğrulaması için kullanılan donanımlar genellikle USB ve U2F üzerinden çalışmaktadır. USB bilindik bir şey ama U2F?
U2F, kullanıcıların bir kaynağa sürücü veya istemci yazılımı gerekmeden güvenli bir şekilde erişmelerini sağlayan açık bir kimlik doğrulama standardıdır. FIDO2 ise U2F protokolünün en yeni neslidir.

Bu donanımlar tek seferlik şifreleri, açık anahtarlı şifreleme ve kimlik doğrulaması için kullanılmaktadır. Örneğin; YubiKey'i olan bir kullanıcı, OTP'leri destekleyen çevrimiçi bir hizmette oturum açtıklarında (Gmail, GitHub, WordPress gibi), YubiKey cihazını USB bağlantı portuna takar ve ardından şifrelerini girer. Daha sonra YubiKey bir OTP üretir ve devreye girer.
Üretilen OTP 44 karakterli ve tek kullanımlık bir şifredir. İlk 12 karakteri hesapta kayıtlı güvenlik anahtarını tanımlayan benzersiz bir kimliktir. Kalan 32 karakter, ilk hesap kaydı sırasında yalnızca cihaz ve Yubico'nun sunucuları tarafından bilinen bir anahtar kullanılarak şifrelenen bilgileri içermektedir.
OTP, kimlik doğrulama kontrolü için çevrimiçi hizmetten Yubico'ya gönderilir. OTP doğrulandıktan sonra, kimlik doğrulama sunucusu kullanıcının onaylandığına dair bir mesaj gönderir. Bu işlemler sonucunda iki faktörlü kimlik doğrulama işlemi tamamlanmış olur. Bu kullanım doğrultusunda; kullanıcının, birinci adımda parola girişi yaparak bilgi faktörünü kullanması ve ardından YubiKey ile sahip olma faktörünü gerçeleştirerek, iki faktörlü kimlik doğrulaması işlemini tamamlamıştır.


Bize ulaşın

Altosec ürün ve servisleri hakkında sorularınız için

(0312) 265-0807

Bilkent Cyberpark, A Blok No:703
Ankara 06800 TURKIYE

info@altosec.com