İki faktörlü kimlik doğrulama

İki faktörlü kimlik doğrulama (İngilizce: Two-factor authentication, 2FA), kullanıcıların kimliklerini doğrulamak için kullanılan bir tür çok faktörlü kimlik doğrulama yöntemidir. Patenti 1984 yılında alınmış olup,^[1] iki farklı bileşenden oluşmaktadır. Birinci bileşen temel korumayı sağlarken ikincisi sadece ek bir koruma sağlar. Banka kartlarından sosyal medyaya kadar pek çok yerde kullanılır.

ATM'lerden para çekme işlemi, bu tür bir güvenlik önleminin günlük hayattaki bir örneğini oluşturur. Doğru kombinasyon, kullanıcının sahip olduğu bir banka kartı ve bildiği bir PIN kodu kullanılarak banka işleminin gerçekleştirilmesini sağlar. Temazsız ödeme sağlayan kartlarda ise bu güvenlik her ödemede otomatik olarak yenilenen ve kullanıcının dahi bilmediği tek kullanımlık kodlar ile sağlanır.^[2]^[3]

İnternet hesapları için kullanılan iki faktörlü doğrulama ise genellikle kullanıcının koyduğu parola ve paroladan sonra istenen tek kullanımlık koddan oluşur. Tek kullanımlık kod, genellikle SMS, e-posta, kimlik doğrulama uygulaması ile kullanıcıya iletilir.

Bileşenler

İki faktörlü kimlik doğrulama, yetkisiz bir kullanıcının gereken faktörlerin tamamını ele geçiremeyeceği prensibine dayanır. Bir yetkilendirme sürecinde, eksik veya yanlış temin edilen herhangi bir bileşen varsa, ilgili varlığa erişim sağlanamaz (örneğin, bir binaya veya veriye erişim vb.). İki faktörlü doğrulama şeması aşağıdaki unsurları içerebilir:

Kullanıcının sadece kendisinin sahip olduğu fiziksel bir nesne: Örneğin USB bellek, banka kartı, anahtar veya cep telefonu.
Kullanıcının sadece kendisinin bildiği bir bilgi: Örneğin kullanıcı adı, parola veya PIN kodu.
Kullanıcının fiziksel karakteristiği: Örneğin yüz tanıma, parmak izi, iris taraması, ses tanıma veya yazma hızı.^[4]

Mobil cihaz temelli iki faktörlü kimlik doğrulama

Mobil cihazlarla iki faktörlü kimlik doğrulama, iki faktörlü kimlik doğrulamanın ikinci faktörünün bir mobil cihaz yardımıyla elde edilmesidir. Bu yöntemde, kullanıcıların genellikle her zaman yanlarında taşıdığı bir cihazı kullanması kullanılabilirliği artırır. Cihaza yüklenen bir uygulama ile (Google Authenticator, Microsoft Authenticator, FreeOTP gibi) sağlanır. Sağlayıcının uygulamaya ilettiği ve sürekli yenilenen kod yardımıyla iki faktörlü doğrulama sağlanır.

Yöntemin yalnızca bir mobil cihaz gerektirmesi, kodların sürekli yenilenmesi, deneme limiti gibi avantajlar barındırırken mobil cihazı yanında bulundurma ve açık tutma zorunluluğu, cihazın kaybedilmesi durumunda ilgili hesaba erişimin kalıcı olarak kaybedilme tehlikesi gibi riskler barındırır.^[5]^[6]

Gelişmeler

Mobil cihazlardaki iki faktörlü doğrulama üzerine yapılan araştırmalar, ikinci faktörün uygulanabilirliği konusunda önemli bulgular sunmaktadır. Bu çalışmalarda, ikinci faktörlü doğrulamanın kullanıcıya engel olmadan entegre edilebileceğini göstermektedir. Sürekli olarak kullanılan ve geliştirilen mobil donanımlar (örneğin GPS veya mikrofon gibi) sayesinde ikinci faktörün kullanımı daha güvenilir hale gelmiştir. Örneğin, kullanıcının bulunduğu bölgedeki ortamın sesini mobil cihaz kaydedebilir ve bunu bilgisayardan yapılan ses kaydıyla karşılaştırarak kimlik doğrulamasını gerçekleştirebilir. Bu yöntem, kimlik doğrulama sürecini daha etkili ve güvenilir hale getirirken, aynı zamanda kullanıcılar için gereken zamanı ve çabayı azaltmaya yardımcı olur.^[7]

Zayıflıklar

İki faktörlü kimlik doğrulamanın yemleme, kötü amaçlı yazılımlar ve kart manyetiğindeki bilgilerin çalınması gibi modern tehditlere karşı bazen zayıf olduğu bilinmektedir.^[8]

Kaynakça

^ "Patent US4720860 - Method and apparatus for positively identifying an individual". google.com. 3 Temmuz 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.
^ Webtekno (20 Ekim 2023). "Temassız Ödeme, Kartla Şifre Girmekten Neden Daha Güvenli?". Webtekno. 20 Ekim 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2025.
^ "Temassız kredi kartları güvenli mi? | Aksigorta Dijital Güvenlik Platformu". dijitalguvenlikplatformu.aksigorta.com.tr. 5 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2025.
^ "What is 2FA?". Virtualdcs.co.uk. 12 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.
^ "SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems". eeexplore.ieee.org. 9 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.
^ "Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million". Hackread.com. 16 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.
^ "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound". 26 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.
^ "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. 23 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[1] "Patent US4720860 - Method and apparatus for positively identifying an individual". google.com. 3 Temmuz 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[2] Webtekno (20 Ekim 2023). "Temassız Ödeme, Kartla Şifre Girmekten Neden Daha Güvenli?". Webtekno. 20 Ekim 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2025.

[3] "Temassız kredi kartları güvenli mi? | Aksigorta Dijital Güvenlik Platformu". dijitalguvenlikplatformu.aksigorta.com.tr. 5 Temmuz 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Şubat 2025.

[4] "What is 2FA?". Virtualdcs.co.uk. 12 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[5] "SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems". eeexplore.ieee.org. 9 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[6] "Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million". Hackread.com. 16 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[7] "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound". 26 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[8] "The Failure of Two-Factor Authentication - Schneier on Security". schneier.com. 23 Haziran 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Nisan 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]