İki aşamalı doğrulama, hesabımızı gerçekten koruyabilir mi? Zor.
Hesap güvenliğinizi nasıl koruyabilirsiniz? Ağ güvenliği hakkında biraz bilgi sahibi olan herkes, iki aşamalı doğrulamayı açmanızı önerecektir. İki aşamalı doğrulama, basitçe söylemek gerekirse, şifrenizi girdikten sonra, girişin siz olduğunuzdan emin olmak için diğer yollarla bir dizi doğrulama kodu almanız gerekir.
Aslında iki aşamalı doğrulama, kişisel bilgi güvenliğinin en önemli parçası olarak görülebilir, ancak aynı zamanda kabul edilmenin en yavaş kısmıdır. Her ana web sitesi bu seçeneği sunsa da, kullanıcıların ilgili ayar öğelerini bulmak için genellikle çok çalışması gerekir. Bu nedenle, birkaç kullanıcı bu özelliği resmi olarak etkinleştirmiştir.
(Örneğin, Appleın iki faktörlü kimlik doğrulaması Apple Kimliği seçeneğine yerleştirilmiştir)
Ancak, iki adımlı doğrulama herkes tarafından kademeli olarak kabul edildiğinden ve iki adımlı doğrulama kullanan sitelerin sayısı arttıkça, doğrulama kodlarını iletme aracı da çeşitlendi: bazı web siteleri SMS, bazıları e-posta ve bazıları Google Authenticator kullanıyor. Bu tür yazılımlar için, daha aşırı kullanıcılar doğrulama kodları oluşturmak için donanım dongle'ı (bir USB kalkanı olarak anlaşılabilir) kullanır. Bu doğrulama yöntemlerinin artmasıyla, iki aşamalı doğrulama değerlendirmesine odaklanan bir web sitesi olan TwoFactorAuth bile hangi doğrulama yönteminin nispeten güvenli olduğunu söyleyemez.
TwoFactorAuth başkanı The Verge ile yaptığı röportajda şunları söyledi:
Yüzlerce iki aşamalı doğrulama hizmetini (güvenlik faktörü) değerlendirmek bizim için zaten zorsa, sıradan kullanıcıların bunlarla karşılaştıklarında ne kadar kafası karışacağını hayal edemiyorum.
İki aşamalı doğrulama ilk sunulduğunda, herkes bunun güven verici bir doğrulama yöntemi olduğunu düşündü. Ancak 2014 yılında, giderek daha fazla hacker bu doğrulamayı çeşitli şekillerde atladı: bazıları sahtecilik API belirteçleri (bu, bir ana anahtarı yapılandırmak olarak anlaşılabilir) ve bazıları sosyal mühendislik yoluyla. Hesap kurtarma bilgilerinizi dolandırmak için, bazıları telekomünikasyon operatörünü kurbanın doğrulama SMS'ini cep telefonuna aktarmak için bile kullanıyor. Bu bilgisayar korsanlığı saldırıları genellikle anonim bir para birimi olan Bitcoin etrafında döner. Daha geçen ay, bir girişimci Verizon'un görevi ihmal etmesi nedeniyle 8.000 ABD doları değerinde Bitcoin kaybetti.
The Intercept'in bu ayki raporuna göre, Bitcoin'e ek olarak, ABD seçimleri sırasında Rusya, seçmenlerin hesaplarını kontrol etme amacına ulaşmak için zaten iki aşamalı doğrulamayı atlamanın bir yolunu buldu. Başka bir raporda, Facebook'un süreç tasarım kusurları nedeniyle bilgisayar korsanları, açılan iki aşamalı doğrulamayı kolayca kapatabilirler.
(ABD Ulusal Güvenlik Ajansı tarafından şifresi çözülen Rus hesap hırsızlığı planı, kaynak: The Intercept)
Daha derine inersek, iki aşamalı doğrulamanın artık güvenli olmamasının nedeni genellikle iki aşamalı doğrulamanın kendisi değil, kurtarma çözümleridir. Normal koşullar altında, kurtarma planı, kullanıcı iki aşamalı doğrulama cihazına erişemediğinde, tıpkı ev kapınız için yedek bir anahtar gibi, bir yedekleme yöntemi olarak kullanılır.
Bu yedekleme yöntemleri arasında kırılması zor olan en zayıf nokta şüphesiz mobil operatördür. Belirtilen numaraya gönderilen bilgileri ve aramaları operatör aracılığıyla cihazınıza iletebiliyorsanız, iki adımlı doğrulamanın çoğunu atlayabilirsiniz. Cep telefonu numarasına dayalı bazı uygulamalar için bile, bir cep telefonu numarasına sahip olmak, hesabın sahibi olmakla eşdeğerdir.
(Artık telefonunuza gönderilen doğrulama kodunu çalmanın birçok yolu var)
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) herkesi SMS doğrulamasını kullanmayı bırakmaya çağırsa da, birçok teknoloji şirketi hala hareket etmiyor. Sonuçta, SMS doğrulama, en uygun ve basit iki aşamalı doğrulama yöntemidir. Hesap güvenliğini pek umursamayanlar için, iki aşamalı doğrulamanın güvenliğini önemsemeyenler, yalnızca hesaplarının korunup korunmadığını önemsiyorlar.
Şimdi, tüm güvenlik endüstrisi gözünü Tehdit Algılama alanına dikti. Sistem, dış güçler yoluyla taklit edilmesi zor olan makine özellik kodları ve kullanıcı etkileşim davranışları gibi bilgileri tespit ederek oturum açmanın ek doğrulama gerektirip gerektirmediğini belirler. Bu sistem aslında iki aşamalı doğrulamadan daha güvenilirdir.
Endüstrinin tehdit tespiti yaparak hesap güvenliğini artırabilmesine rağmen, iki aşamalı doğrulamayı etkinleştirmenin yanı sıra, kullanıcıların hesabının ne kadar güvenli olduğunu asla sezgisel olarak algılayamaması ve bunun hiçbir şekilde yapılamayacağı üzücü. Hesapların korunmasını daha da güçlendirin.
Tehdit algılamanın, kullanıcıların algılayabilmesi için nasıl görselleştirileceği, gelecekte hesap koruma teknolojisinin geliştirilmesinin anahtarı olacaktır.
Başlık resmi şuradan geliyor: ZDNet
