İki faktörlü kimlik doğrulama, sade bir anlatımla

İki faktörlü kimlik doğrulama, çoğu insanın kullanmadığı en yüksek etkili güvenlik ayarıdır. Microsoft'un yayımladığı rakamlar otomatik hesap ele geçirmelerin %99'undan fazlasını engellediğini söylüyor. Yine de hantal görünüyor — kısmen üç yaygın türün ("SMS kodu", "kimlik doğrulayıcı uygulama", "güvenlik anahtarı") sanki birbirinin yerine geçebilirmiş gibi konuşulması yüzünden. Değiller. İşte pratik haliyle.

2FA gerçekte ne yapar

Parolalar sürekli sızar. Veritabanı dökümleri, oltalama sayfaları, tarayıcı zararlıları, parola tekrarı — birinin parolanızı bir elektronik tabloya geçirmesinin pek çok yolu var. 2FA, yalnızca bildiğiniz bir şeye değil, sahip olduğunuz bir şeye bağlı ikinci bir kontrol ekler. Parolanızı çalan saldırganın bu ikinci faktörü de gerçek zamanlı olarak, aynı cihazda çalması gerekir — çok daha zor.

SMS 2FA

Altı haneli bir kod kısa mesajla gelir. Onu girersiniz. En kolay kullanılan yöntemdir çünkü her telefonda zaten vardır, ve bu nedenle de kabul edilebilir güvenliğin alt sınırıdır: kimlik bilgisi doldurma botlarını durdurmaya yeter, ancak SIM-swap saldırılarına (saldırganın operatörü numaranızı taşımaya ikna etmesi) ve zayıf ağlarda sessizce SMS dinlemeye karşı savunmasızdır.

İyi olduğu yerler: başka bir uygulama yüklemek istemediğiniz düşük değerli hesaplar. Forumlar, alışveriş siteleri, e-posta listeleri.

Kötü olduğu yerler: e-posta, bankacılık, devlet portalları, başka hesapları kontrol eden her şey.

Kimlik doğrulayıcı uygulamalar (TOTP)

Google Authenticator, 1Password, Bitwarden ve Authy gibi uygulamalar, yalnızca cihazınızda saklanan bir sırdan türetilmiş, her 30 saniyede yenilenen altı haneli bir kod üretir. SMS yoktur, operatör devreye girmez — kodlar çevrimdışı çalışır. Parolanızı ve tek bir kodu yakalayan oltalama saldırıları yine işe yarayabilir, ancak SIM-swap artık geçerli değildir.

Kurulum ipucu: bir site QR kodunu gösterdiğinde, yanındaki metin tabanlı tohumu da kaydedin (çoğu kimlik doğrulayıcı uygulama bunu dışa aktarır). Telefonunuzu tohum ve kurtarma kodları olmadan kaybederseniz, her hesabı sıfırdan sıfırlamanız gerekir.

İyi olduğu yerler: neredeyse her şey. Çoğu e-posta sağlayıcısı, sosyal platform, kripto borsası ve geliştirici aracı TOTP'yi destekler ve ücretsizdir.

Güvenlik anahtarları (FIDO2 / WebAuthn / passkey'ler)

Giriş sınamasını kriptografik olarak imzalayan bir USB veya NFC anahtarı (YubiKey, Titan, son zamanlarda ayrıca iOS ve Android anahtarlığına yerleşik "passkey'ler"). Önemlisi: sitenin alan adına bağlıdır — gerçeğinin aynısı görünen bir oltalama sayfası imza alamaz. İyi kurgulanmış oltalamayı bozan tek yaygın 2FA yöntemidir.

İyi olduğu yerler: birincil e-posta, parola yöneticisi, kaybetmeyi göze alamayacağınız her şey. İki anahtar alın; ikisini de kaydedin; birini bir çekmecede tutun.

Geçici numaralar nereye uyar

Geçici SMS numaraları ilk kayıt adımı için harikadır, ancak sürekli SMS 2FA için uygun değildir — bir kod alma ihtiyacı duyacağınız zamanda numara havuza geri dönmüş olur. En iyi uygulama: geçici bir numarayla kaydolun, hesabın güvenlik ayarlarında hemen TOTP'yi kurun ve kurtarma kodlarını güvenli bir yere kaydedin. Ardından geçici numara ortadan kalkabilir.

Kurtarma kodları anılmayı hak ediyor

Hemen hemen her 2FA kurulum ekranı size tek kullanımlık kurtarma kodlarından oluşan bir liste sunar. Onları yazdırın veya parola yöneticinize kaydedin. Tüm cihazlarınızı kaybederseniz geri dönmenizi sağlayacak şey budur. Bu adımı atlamayın — kodsuz hesap kurtarma çoğu zaman haftalar süren kimlik belgeleri gerektirir.

Hızlı öneriler

• E-posta ve parola yöneticisi: önce güvenlik anahtarı, yedek olarak TOTP.
• Banka, aracı kurum, borsa: sundukları en üst seviye her neyse.
• Sosyal, geliştirici araçları, iş SaaS'ı: TOTP.
• Telefon numarası isteyen rastgele forum: geçici SMS, kayıttan sonra TOTP.