İki faktörlü kimlik doğrulama

İki faktörlü kimlik doğrulama, kullanıcı kimliklerini saptamaya yarayan çok faktörlü bir kimlik doğrulama yöntemidir. Patenti 1984'te alınmış bu teknoloji^[1] iki farklı bileşenden oluşmaktadır. Kullanıcının bildiği, sahip olduğu ve kullanıcıya bağlı olan bileşenlerin kombinasyonları ile çalışmaktadır.

Birçok dijital ortamda adı, Authenticator olarak da görülebilmektedir.

İki faktörlü kimlik doğrulama, mobil uygulamalar ile optimize çalışabilen, kullanıcının güvenliğini artırmaya yarayan ve birçok alternatifi bulunan bir güvenlik sistemidir.

ATM'lerden para çekme işlemi, bu işlemin günlük hayattaki bir örneğidir. Doğru kombinasyonu kullanıcının bildiği bir banka kartı ve bir PIN banka işleminin gerçekleştirilmesini sağlar. İki faktörlü kimlik doğrulama; yemleme, kötü amaçlı yazılımlar ve kart manyetiğindeki bilgilerin çalınması gibi modern tehditlere^[2] karşı zayıf olduğu bilinmektedir.

Bileşenler

İki faktörlü kimlik doğrulama; yetkisiz bir kişinin, yetki için gereken faktörlerin hepsini ele geçiremeyeceği üzerine kurulmuştur. Bir yetkilendirme denemesinde, eksik veya yanlış temin edilen herhangi bir bileşen varsa yetkilendirme istenilen varlığa erişim yetkisi alınamaz (bir binaya veya veriye gibi). iki faktörlü yetkilendirme şeması bunları içerebilir:

• Kullanıcının sadece kendisinin sahip olduğu bir fiziksel nesne olabilir. Örnek olarak USB bellek, banka kartı, anahtar gibi.
• Kullanıcının sadece kendisinin bildiği bir bilgi olabilir. Örnek olarak kullanıcı adı - şifre, PİN kodu gibi.
• Kullanıcının fiziksel karakteristiği olabilir. Örnek olarak parmak izi, göz, ses, yazma hızı gibi.^[3]

Mobil aygıtlarda

İki faktörlü kimlik doğrulama, kullanıcıların güvenliğini artırmak için kullanılan etkili bir yöntemdir. Bu yöntem, kullanıcının kimliğini doğrulamak için iki ayrı faktör kullanır: birincisi, kullanıcının bildiği bir bilgi veya giriş lisansı gibi şeyler; ikincisi ise kullanıcının fiziksel olarak sahip olduğu bir nesne, genellikle bir mobil cihaz veya belirli bir uygulama aracılığıyla alınan dinamik bir kod.

Mobil cihazlarla kullanılan bu yöntem, kullanıcıların genellikle her zaman yanlarında taşıdığı bir cihazı kullanarak kullanılabilirliği artırır. Böylece, ekstra bir donanım taşıma gerekliliği ortadan kalkar ve kullanıcılar günlük yaşamlarında bu yöntemi kolayca kullanabilirler. Ayrıca, profesyonel iki faktörlü kimlik doğrulama çözümleri, kullanıcının şifresini her kullandığında otomatik olarak değiştirebilir ve eski şifrelerin tekrar kullanılmasını önler.

Bu yöntem, güvenliği artırmak için kullanıcıların rahatlık ve kullanılabilirliklerinden ödün vermeden ek bir katman sağlar. Yanlış şifre girme durumunda hesapları korumak için kullanıcıları bloke etme gibi ek güvenlik önlemleri de içerebilir. İki faktörlü kimlik doğrulama, modern güvenlik gereksinimlerine uygun olarak geliştirilen ve uygulanan bir yöntemdir, ancak dikkatli bir şekilde yapılandırılmalı ve yönetilmelidir.

Avantajları

• Başka taşınılabilir bir varlığa ihtiyaç yoktur, bunun yerine genellikle kullanıcılar tarafından sürekli taşınan mobil cihazlar kullanılır.
• Şifreler dinamik olarak oluşturulduğundan, statik olarak oluşturulan şifrelere nazaran daha güvenlidir.
• İzin verilen denemelerin belli bir limitinin olması, yetkisi olmayan kişilerden gelen saldırıların riskini azaltır.
• Konfigürasyon tanımlanması kolay olması kullanım kolaylığı sağlar.

Dezavantajları

• Yetkilendirme gerektiğinde, mobil cihaz mutlaka kullanıcın yanında olmalıdır. Eğer mobil cihaz kullanılabilir veya alınan şifreyi gösterecek durumda değilse (şarj bitmesi, internet bağlantısının olmaması veya telefonun çekmemesi gibi) yetkilendirme gerçekleştirilemez.
• Kullanıcı mobil cihaz bilgilerini (telefon numarasını) yetkilendirme için mutlaka paylaşmak zorundadır, bu kişisel güvenliğin azalması ve spam potansiyelini artmasına neden olur.
• Kullanıcıya gönderilen şifreler (SMS ile) güvenli olmayabilir. Şifre üçüncü bir şahıs tarafından, şifre iletimi sırasında araya girerek çalınabilir.^[4]
• İletilen şifre hemen gelmeyebilir ve yetkilendirmede gecikmeye neden olabilir.
• Hesap kurtarma işlemi sıklıkla mobil cihazlar ile iki faktörlü kimlik doğrulamayı göz ardı eder.^[5]
• Mobil cihazlar çalınabilir, çalan kişiye kullanıcının hesaplarına giriş yapabilir.
• Zararlı yazılımlar ile kullanıcı bilgileri mobil cihazlardan çalınabilir.^[6]

Gelişmeler

Mobil cihazlardaki iki faktörlü doğrulamadaki araştırmalar; ikinci faktörün uygulanabileceği fakat kullanıcıya engel teşkil etmeyeceği yönünde. Sürekli kullanılan ve geliştirilen mobil donanımlar (GPS, mikrofon gibi) sayesinde ikinci faktör kullanımı daha güvenilir hale gelmiştir. Örnek olarak kullanıcının bulunduğu bölgedeki ortamın sesini mobil cihaz ile kaydedip bunu aynı yerde bilgisayardan yapılan ses kaydı ile karşılaştırıp yapılan kimlik doğrulaması daha etkili ve güvenilir olur.^[7] Bu ayrıca kimlik doğrulama için gereken zamanı ve eforu azaltmasına yardımcı olur.

Kaynakça

1. ^ "Patent US4720860 - Method and apparatus for positively identifying an individual". google.com. 3 Temmuz 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
2. ^ "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. 23 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
3. ^ "What is 2FA?". Virtualdcs.co.uk. 12 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
4. ^ "SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems". eeexplore.ieee.org. 9 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
5. ^ "Two-factor authentication: What you need to know (FAQ)". Cnet.com. 4 Şubat 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
6. ^ "Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million". Hackread.com. 16 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016. 
7. ^ "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound". 26 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.