İki faktörlü kimlik doğrulama yöntemlerinin karşılaştırması: Hangisi sizin için en iyisi?

İki faktörlü kimlik doğrulama, bilgisayar korsanlarının kaba kuvvetle hesaplarınıza girmesini imkansız hale getirir ve bilgisayar korsanlarının parolanızı alması durumunda sizi korur. Kimlik bilgileriniz geçmişte kimlik avı yapılmışsa hesabınızı kilitlemenize bile yardımcı olabilir..

Kısacası, iki faktörlü kimlik doğrulama (2FA) önemlidir.

Ancak hangi iki faktörlü kimlik doğrulama modelini seçmelisiniz? Hemen hemen tüm servisler, telefonunuza verilen kısa mesaj yoluyla bir defalık şifreler sunar. Birçoğu ayrıca mobil cihazınızda oluşturulan bir defalık şifreler de sağlar (Google Şifrematik, Yetkilendirici ve hatta Facebook kullanarak).

Birkaç servis size bir donanım cihazı bağlama seçeneği sunacaktır ve seçenekler arasında ödünleşmeler bulunmaktadır. Bu blog, bu seçeneklerin ne olduğunu, nelere dikkat etmeniz gerektiğini ve sizin için en iyisini açıklar.

İki faktörlü kimlik doğrulama neden daha üstündür??

Çatlamış veya çalınmış bir şifreyi fark etmek imkansız değilse bile zordur. Çalınmış veya kırılmış bir şifre, bir saldırganın hesabınıza herhangi bir süre fark edilmeden, fark edilmeden veya tamamen kilitlenmesine izin verir.

Benzer şekilde, yalnızca giriş yapmak için bir cihaza güvenmek, çalınması durumunda sizi saldırılara karşı savunmasız bırakabilir. Her ne kadar daha çabuk tehlikeye girdiğinizi anlasanız da.

Ancak, bildiğiniz bir şeyi ve sahip olduğunuz bir şeyi bir araya getirmek, şifreniz kırılırsa veya cihazınız çalınırsa çok daha az zararlı olur. Cihazınızı kaybederseniz, hırsız veya bulucu şifre olmadan hesaplarınıza erişemez. Parolanız kırılırsa, hiç kimse cihazınız olmadan hesabınıza erişemez.

İki faktörlü kimlik doğrulamayı seçerken dikkate alınması gereken faktörler

Kimlik doğrulama teorisi genellikle üç faktörü tanımlar:

• Bildiğin bir şey
• Sahip olduğunuz bir şey
• Sen bir şeysin

En yaygın olarak, İnternet’teki kullanıcılar bildikleri bir şeyle tanımlanır. Bu genellikle bir paroladır, ancak bir güvenlik sorusu da olabilir.

“Bildiğiniz bir şey” ile ilgili riskler unutabiliyor olmanız ya da bilen tek kişi olmamanızdır; çünkü bilgiyi gönüllü veya istemsiz olarak paylaştınız. Üçüncü bir tarafın, belki de en sevdiğiniz evcil hayvanınız nedir? Veya “Hangi sokakta büyüdünüz?” Gibi ortak güvenlik sorularının yanıtını almak için sosyal medyaya bakarak bu bilgiyi başka yollarla edinmesi de mümkün olabilir.

İkinci faktör, bir güvenlik anahtarı veya sim kart olabilecek “sahip olduğunuz bir şey” dir. Genellikle bu ikinci faktör, parolanızı unutmanız durumunda yedek sıfırlama olarak uygulanır.

Üçüncü faktör “olduğunuz bir şey” dir. Bu parmak iziniz veya yüz ve ses tanıma olabilir ve nadiren askeri tesislerin dışında kullanılır..

Sadece bu faktörlerden ikisi veya çoklu faktörler, gerekmektedir aynı zamanda kimlik doğrulaması için iki faktörlü veya çok faktörlü kimlik doğrulamasından bahsediyoruz.

İki faktörlü kimlik doğrulamanın yaygın yöntemleri

1. Kısa mesaj

Neyin var: Bir SIM kart
İki faktörlü kimlik doğrulamanın en yaygın biçimi cep telefonudur. Hemen hemen herkesin bir cep telefonu vardır ve her zaman yanlarında bulundurur, bu da sağlayıcılar ve kullanıcılar için popüler ve uygun bir seçimdir.

Kaybettiğinizde ne olur: Aylık bir plandaysanız, eski SIM’inizi kilitleyebilir ve sağlayıcınızdan yeni bir tane alabilirsiniz. Kısa mesajların gönderilememesi durumunda seyahat ederken hesabınıza erişimi kaybetme riski vardır.

Güvenlik riskleri: Bazı sağlayıcılar, başka birinin sizin adınıza yeni bir SIM kart almasını veya daha da kötüsü, SIM kartınızı klonlamasını çok önemsiz kılar. Birçok sağlayıcı ayrıca, bir saldırganın kısa mesajları başka bir numaraya aktarmasını ve temelde korumanızı atlamasını mümkün kılar.

Ulus devletler size gönderilen kısa mesajları okuyabilir veya yönlendirebilir, böylece güvenliğinizi atlayabilirler. Ayrıca, kısa mesajı yanlış hizmete girerseniz, ortadaki adam saldırıları riski vardır.

Gizlilik riskleri: Sözleşmeler, adınızı mutlaka kaydolmak için telefonunuzu kullandığınız her hizmete bağlar. Ancak, ön ödemeli telefon sözleşmeleri kaybolan bir SIM kartın yerini almayacaktır. Her iki durumda da, cep telefonu şirketiniz nerede olduğunuzu ve kodları aldığınız kişileri izleyebilir.

2. Authenticator uygulamaları

Neyin var: Bir uygulama yüklü olan telefonunuz.
Bir kimlik doğrulama uygulaması (ör. Google Kimlik Doğrulayıcı veya Kimlik Doğrulama) kullandığınızda, 2FA ayarladığınız hizmet sizinle genellikle bir QR kodu biçiminde gizli bir kod iletir. Bu kodu kimlik doğrulayıcı uygulamasıyla tarayın ve bundan sonra uygulamanız birkaç saniyede bir değişen rastgele kodlar oluşturur. Bir servise her giriş yaptığınızda bu koda ihtiyacınız olacaktır.

Kaybettiğinizde ne olur: Bazı servisler bu kodu yedeklemenizi kolaylaştırır, bu nedenle kimlik doğrulayıcı uygulamasını yanlışlıkla silmeniz, telefonunuzu kaybetmeniz veya kırmanız durumunda tekrar kurabilirsiniz. Diğer hizmetler, kimlik doğrulayıcı uygulamanıza erişiminizi kaybetmeniz durumunda kullanabileceğiniz benzersiz yedek kodları kaydetmenizi teşvik eder.

Elbette bu, yedek kodların nereye kaydedileceği sorusunu gündeme getirir. Genellikle bir kağıt parçası en iyi seçenektir, ancak saklamak için güvenli bir yer nerede?

Not: Telefonunuzun gücü olduğu sürece uygulama sizin için kodlar oluşturur. Kodları oluştururken telefonunuzun internete sahip olması gerekmez.

Güvenlik riskleri: Birisi QR kodunu eleyebilirse veya gizli anahtarı kesmek için başka bir yolla, kimlik doğrulayıcı uygulamalarında aynı kodları üretebilir. Metin mesajları gibi, şifrenizi yanlış web sitesine girerseniz ortadaki adam saldırıları riski vardır.

Gizlilik riskleri: Kimlik doğrulayıcı uygulamanız e-posta adresinizle kaydolmanızı gerektiriyorsa, bu, bir saldırganın hesapları birbirine bağlamasına yardımcı olabilir. Genel olarak, bir kimlik doğrulayıcı uygulamasının gizlilik riski azdır.

3. Donanım anahtarları

Neyin var: FIDO U2F standardıyla uyumlu bir donanım anahtarı.
Genellikle küçük bir USB çubuğuna benzeyen bu anahtar, özel bir anahtarı güvenli bir şekilde saklayan küçük bir çip içerir.

Aygıtı bir servise bağlayıp kaydettikten sonra, ortak anahtar iletileri hizmetin bunları doğrulayabilecek şekilde imzalayacaktır. Metin mesajlarından veya kimlik doğrulayıcı uygulamalarından farklı olarak, hizmetin kimliğini doğrulamak için fiziksel donanım anahtarı gerektiğinden, ortadaki adam saldırıları riski yoktur..

Metin mesajlarının veya kimlik doğrulayıcı uygulamalarının aksine, donanım anahtarları ücretsiz değildir. Ancak baskın FIDO U2F standardı açık bir standart olduğundan, çeşitli üreticiler arasında birçok rekabet vardır. Ürünler, birlikte verilen bir donanım Bitcoin cüzdanıyla 5 ABD Doları ile 120 ABD Doları arasında değişebilir.

Kaybettiğinizde ne olur: Ödeyebiliyorsanız, ikinci bir donanım anahtarı iyi bir fikirdir. Aksi takdirde, kimlik doğrulama uygulamalarına benzer şekilde, hesabınıza tekrar erişmenizi sağlayacak yedek kodları indirebilirsiniz.

Güvenlik riskleri: Donanım anahtarları o kadar çok başarılıdır ki, uygun şekilde uygulanırsa kimlik avı saldırılarını tamamen ortadan kaldırabilir. Şimdilik, donanım anahtarı kaydı sunan çoğu hizmet aynı zamanda bir kimlik doğrulama uygulaması veya dosyadaki telefon numarası gerektirir. Güvenlik tehditleriniz haline gelebilecek bu zayıf bağlantılar.

Gizlilik riskleri: Cihazı kesinlikle nakit veya Bitcoin ile satın alın. Genel olarak, bir donanım anahtarı her hesap için yeni bir anahtar çifti oluşturacağından gizlilik riski oluşturmaz.

Donanım anahtarları 2FA için en iyisidir, ancak herkes bunları kabul etmez

Donanım anahtarları güvenlik açısından kazanır, özeldir ve ölmekte olan veya kapsam dışı bir telefondan etkilenmezler. Ancak, şimdiye kadar yalnızca birkaç hizmet (Google, Dropbox, Facebook, Github ve diğerleri) standardı destekliyor.

Telefon sağlayıcınıza güvenmiyorsanız (ve az sayıda sağlayıcı güvenilir değilse), bir doğrulayıcı uygulaması en iyi seçenektir.