İki Faktörlü Kimlik Doğrulama Karmaşası!

Pek çok web site iki faktörlü kimlik doğrulama sistemini kullanarak kullanıcılarını koruma altına alıyor. Peki, bu yöntem ne kadar etkili?

iki faktörlü kimlik doğrulama

Yıllardır iki faktörlü kimlik doğrulama kişisel siber güvenlikte en çok tavsiye edilen yöntemdir. Ancak tüketici teknoloji şirketleri bu yöntemi tanımlamakta oldukça yavaştır. Bu yöntem ünlü bir gazetecinin 2012 yılında pek çok hesabının hacklenmesi ardından ortaya çıktı. O zamanlarda bu tarz hack olaylarından endişelenen kullanıcılar için basit yöntemler sunuluyordu.

Aradan geçen 5 yıldan sonra bu yöntemin etkisini kaybettiğini söylemek mümkün. Günümüzde pek çok önemli web site iki faktörlü kimlik doğrulamayı kullanıyor olsa da hesapları ne kadar iyi korudukları hususunda farklılıklar vardır. Ancak yine de tüm bunlar hackerlar için etkili bir engel değil. Üstelik bu yöntem son derece de karmaşıktır.

Günümüzde pek çok firma iki faktörlü kimlik doğrulamayı tercih ediyor. Bilinen bir gerçek de var ki tüketiciler gerçekten iki faktörlü koruma istiyor. Ancak bu koruma sisteminin pek çok şekilde yapıldığını söyleyebiliriz. Bazı firmalar SMS ile doğrulama kodu yollarken bazıları mail yolu ile bunu yapmak istiyor ve sonuç olarak da büyük bir karmaşa yaşanıyor.

kimlik-dogrulama

İki faktörlü kimlik doğrulama hackerların yolunu açıyor!

Tüm bu karmaşa hackerların yolunu açabiliyor. Bunun bir örneği 2014 yılında Bitcoin cephesinde yaşandı. Bitcoin hizmetlerini hedef alan hackerlar hesap kurtarma yolu ile firmaya ciddi saldırılar düzenledi. Bazı durumlarda ise doğrudan telefon operatörü hesaplarından yararlanarak bu saldırılar düzenlendi.

Bunların yanı sıra bu ay yayınlanan bir rapora göre bazı Rus grupları ABD’li seçim görevlilerini hedef alarak çeşitli saldırılar düzenledi. Şifreleri ele geçirmek isteyen bu gruplar iki faktörlü kimlik doğrulama sistemine sahip olan hesaplara odaklandı. Yani bu durum uluslar arası bir tehlike anlamına bile gelebilir. Peki, iki faktörlü korumanın en zayıf noktası ne?

Bu korumanın en zayıf noktası şüphesiz ki kablosuz taşıyıcılar. Belirli bir telefon numarasına bağlı olan mobil uygulamalar sayesinde bütün hesabı çalmak mümkün olabilir. Bu noktada en fazla tercih edilen yol ise SMS ile doğrulama yöntemi. Bu yöntem daha az güvenli olsa da oldukça kolay ve bu yüzden sık sık tercih edildiğini görüyoruz.

kimlik-dogrulama

Ancak elbette bu yöntemin zayıf noktasının olması işlevsiz olduğu anlamına gelmiyor. Kimlik doğrulama kodunun olması oturum açma sayfasının setleşmesini sağlıyor. Sadece hesap önceden kaydedilmiş bir cihazda yakalanırsa ya da müşteri hizmetleri tarafından şifre sıfırlanırsa bir tehlike oluşması mümkün zira bu tehlikeyi dışarıdan tespit etmek imkansız.

Sonuç olarak iki faktörlü kimlik doğrulaması her ne kadar tavsiye edilen bir koruma yöntemi olsa da yeteri kadar güvenli değil. Ancak bu noktada endişelenmemiz gereken şey bu yöntemin yerini doldurabilecek başka bir yöntem olmaması. Basit tehditler için bile yeterli koruma olmayışı kullanıcıları korkutuyor olsa da şu an için bununla yetinmek zorundayız.