|
'''İki faktörlü kimlik doğrulama''' patenti 1984 alınmış bir teknolojidir<ref>{{webWeb kaynağı | başlık = Patent US4720860 - Method and apparatus for positively identifying an individual | url = http://www.google.com/patents/US4720860 | website = google.com | erişimtarihi = 9.04.2016 | arşivurl = http://web.archive.org/web/20160703065048/http://www.google.com/patents/US4720860 | arşivtarihi = 3 Temmuz 2016}}</ref>. Kullanıcı kimliklerini saptama yarayan bu teknoloji iki farklı bileşenden oluşmaktadır. Bu bileşenler kullanıcının bildiği veya sahip olduğu veya kullanıcıya bağlı, kullanıcıdan bağımsız düşünülemeyen bir şey olabilir. Günlük hayatımızdan en güzel örnek olarak ATM'lerden para çekmek işlemini söyleyebiliriz. Doğru kombinasyonu olan bir banka kartı (kullanıcının sahip olduğu bir şey) ve bir PİN (kullanıcının bildiği bir şey) banka işlemlerimizi gerçekleştirmemizi sağlar. İki faktörlü kimlik doğrulama, oltalama, kötü amaçlı yazılımlar ve kart manyetiğin deki bilgilerin çalınması gibi modern tehditlere<ref>{{webWeb kaynağı | başlık = The Failure of Two-Factor Authentication - Schneier on Security | url = https://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html | website = schneier.com | erişimtarihi = 9.4.2016 | arşivurl = http://web.archive.org/web/20160623220212/https://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html | arşivtarihi = 23 Haziran 2016}}</ref> karşı zayıftır. İki faktörlü kimlik doğrulama birçok faktörlü kimlik doğrulama yöntemi türüdür.
== Bileşenler ==
* Kullanıcın sadece kendisinin sahip olduğu bir fiziksel nesne olabilir. Örnek olarak USB bellek, banka kartı, anahtar gibi.
* Kullanıcının sadece kendisinin bildiği bir bilgi olabilir. Örnek olarak kullanıcı adı - şifre, PİN kodu gibi.
* Kullanıcının fiziksel karakteristiği olabilir. Örnek olarak parmak izi, göz, ses, yazma hızı gibi<ref>{{webWeb kaynağı | başlık = What is 2FA? | url = http://www.virtualdcs.co.uk/blog/should-two-factor-authentication-be-the-norm.html | website = http://www.virtualdcs.co.uk | erişimtarihi = 9.04.2016 | arşivurl = http://web.archive.org/web/20160512211623/http://www.virtualdcs.co.uk/blog/should-two-factor-authentication-be-the-norm.html | arşivtarihi = 12 Mayıs 2016}}</ref>.
== Mobil Cihazlar ile İki Faktörlü Kimlik Doğrulama ==
* Yetkilendirme gerektiğinde, mobil cihaz mutlaka kullanıcın yanında olmalıdır. Eğer mobil cihaz kullanılabilir durumda değilse veya alınan şifreyi gösterecek durumda değilse (şarj bitmesi, İnternet bağlantısının olmaması veya telefonun çekmemesi gibi) yetkilendirme gerçekleştirilemez.
* Kullanıcı mobil cihazı bilgilerini (telefon numarasını) yetkilendirme için mutlaka paylaşmak zorundadır, bu kişisel güvenliğin azalması ve spam potansiyelini artmasına neden olur.
* Kullanıcıya gönderilen şifreler (SMS ile) güvenli olmayabilir. Şifre üçüncü bir şahıs tarafından, şifre iletimi sırasında araya girerek çalıunabilir.<ref>{{webWeb kaynağı | başlık = SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems | url = http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=4625610 | website = eeexplore.ieee.org | erişimtarihi = 9.4.2016 | arşivurl = http://web.archive.org/web/20160409074729/http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=4625610 | arşivtarihi = 9 Nisan 2016}}</ref>
*İletilen şifre ehemn gelmeyebilir ve yetkilendirmede gecikmeye neden olabilir.
* Hesap kurtarma işlemi sıklıkla mobil cihazlar ile iki faktörlü kimlik doğrulamayı göz ardı eder.<ref>{{webWeb kaynağı | başlık = Two-factor authentication: What you need to know (FAQ) | url = http://www.cnet.com/news/two-factor-authentication-what-you-need-to-know-faq/ | website = http://www.cnet.com/ | erişimtarihi = 9.4.2016 | arşivurl = http://web.archive.org/web/20160204032237/http://www.cnet.com:80/news/two-factor-authentication-what-you-need-to-know-faq/? | arşivtarihi = 4 Şubat 2016}}</ref>
* Mobil cihazlar çalınabilir, çalan kişiye kullanıcının hesaplarına giriş yapabilir.
* Zaralı yazılımlar ile kullanıcı bilgileri mobil cihazlardan çalınabilir.<ref>{{webWeb kaynağı | başlık = Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million | url = https://www.hackread.com/dyre-wolf-malware-bypasses-2-factor-authentication-security-steals-1million/ | website = https://www.hackread.com | erişimtarihi = 9.4.2016 | arşivurl = http://web.archive.org/web/20160416174035/https://www.hackread.com/dyre-wolf-malware-bypasses-2-factor-authentication-security-steals-1million/ | arşivtarihi = 16 Nisan 2016}}</ref>
=== Mobil Cihazlar ile iki Faktörlü Kimlik Doğrulama ile İlgili Gelişmeler ===
Mobil cihazlardaki iki faktörlü doğrulamada ki araştırmalar; ikinci faktörün uygulanabileceği fakat kullanıcıya engel teşkil etmeyeceği yönünde. Sürekli kullanılan ve geliştirilen mobil donanımlar (GPS, mikrofon gibi) sayesinde ikinci faktör kullanımı daha güvenilir hale gelmiştir. Örnek olarak kullanıcının bulunduğu bölgedeki ortamın sesini mobil cihaz ile kaydedip bunu aynı yerde bilgisayardan yapılan ses kaydı ile karşılaştırıp yapılan kimlik doğrulaması daha etkili ve güvenilir olur.<ref>{{webWeb kaynağı | başlık = Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | USENIX = Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound | url = https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/karapanos | erişimtarihi = 9.4.2016 | arşivurl = http://web.archive.org/web/20160326222117/https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/karapanos | arşivtarihi = 26 Mart 2016}}</ref> Bu ayrıca kimlik doğrulama için gereken zamanı ve eforu azaltmasına yardımcı olur.
== Referanslar ==
| 