2FA Nedir?
İngilizce: 2FA (Two-Factor Authentication)
2FA, oturum açarken şifreye ek olarak telefon, doğrulama uygulaması veya donanım anahtarıyla ikinci kanıt isteyen yöntemdir.
2FA Nedir?
2FA (iki faktörlü kimlik doğrulama), kullanıcının yalnızca bildiği bir şeye, yani şifresine güvenmek yerine ikinci bir kanıt daha göstermesini ister. Bu ikinci kanıt genellikle kullanıcının sahip olduğu telefon, doğrulama uygulaması veya güvenlik anahtarıdır.
Kimlik doğrulamada faktörler üç gruba ayrılır: bildiğiniz şeyler, sahip olduğunuz şeyler ve biyometrik özellikleriniz. 2FA bu gruplardan en az ikisini bir araya getirir. Örneğin şifre ile TOTP kodu, şifre ile WebAuthn güvenlik anahtarı veya şifre ile mobil onay bildirimi birlikte kullanılabilir.
Yöntemler ve Dikkat Noktaları
- TOTP uygulamaları: Google Authenticator, 1Password veya benzeri uygulamalar kısa süre geçerli kod üretir.
- Push onayı: Kullanıcı mobil uygulamada oturum açma isteğini onaylar; sahte istek yorgunluğuna karşı ek kontrol gerekir.
- SMS kodu: Kurulumu kolaydır fakat SIM değişimi ve operatör kaynaklı saldırılara daha açıktır.
- Donanım anahtarı: FIDO2/WebAuthn tabanlı anahtarlar phishing riskini ciddi biçimde azaltır.
İş Dünyasında Kullanımı
2FA; yönetici panelleri, ödeme ekranları, müşteri portalları ve uzaktan çalışan ekiplerin VPN erişimleri için temel güvenlik katmanıdır. MFA daha fazla faktör ve bağlamsal kontrol ekleyebilir; OAuth2 ise uygulamalar arası yetkilendirme tarafında farklı bir rol oynar.
Uygulamada yedek kodlar, cihaz değiştirme akışı ve destek ekibinin kimlik doğrulama prosedürü önceden tasarlanmalıdır. Aksi halde güvenlik artarken hesap kurtarma süreçleri zayıf halka haline gelebilir.
İlgili Terimler
Brute force saldırısı, hesap parolası veya gizli anahtarı çok sayıda kombinasyonu otomatik deneyerek ele geçirmeye çalışır.
Kimlik Bilgisi Doldurma (Credential Stuffing)Credential stuffing, sızmış kullanıcı adı ve parolaların otomatik olarak farklı sitelerde denenmesiyle yapılan hesap ele geçirme saldırısıdır.
MFAMFA, girişte parola dışında cihaz, uygulama, biyometri veya güvenlik anahtarı gibi ek doğrulama faktörleri ister.
OAuth 2.0OAuth 2.0, üçüncü taraf uygulamaların kullanıcı şifresi olmadan kaynaklara erişmesini sağlayan yetkilendirme çerçevesidir.
Passkey (Geçiş Anahtarı)Passkey, parola yerine cihazdaki özel anahtar ve biyometrik/PIN onayıyla çalışan, phishing'e dayanıklı oturum açma yöntemidir.
WebAuthnWebAuthn, tarayıcıların cihaz güvenlik anahtarları ve passkey'lerle güçlü, parolasız kimlik doğrulama yapmasını sağlayan web standardıdır.