2FA Nedir? İki Faktörlü Kimlik Doğrulama Kılavuzu

Parolalar tek başına çevrimiçi hesaplarınızı korumak için yeterli değildir. Veri ihlalleri her yıl milyarlarca kimlik bilgisini ifşa eder ve güçlü parolalar bile kimlik avı, keylogger veya kaba kuvvet saldırıları yoluyla tehlikeye girebilir. İki faktörlü kimlik doğrulama (2FA), ikinci bir savunma katmanı ekler — biri parolanızı çalsa bile, ikinci faktör olmadan hesabınıza erişemez. Bu kılavuz 2FA'nın ne olduğunu, her yöntemin nasıl çalıştığını, hangi türlerin en güvenli olduğunu ve en önemli hesaplarınızda nasıl kurulacağını açıklar. Dijital yaşamınızı korumak için atabileceğiniz en etkili adımlardan biridir.

İki Faktörlü Kimlik Doğrulama Türleri

SMS Kodları

Tek kullanımlık bir kod, kısa mesaj yoluyla telefon numaranıza gönderilir. Girişi tamamlamak için bu kodu parolanızdan sonra girersiniz. SMS 2FA en yaygın kullanılan yöntemdir — neredeyse her hizmet bunu destekler ve ek uygulama veya donanım gerektirmez. Ancak, SIM swap saldırılarına (bir saldırganın operatörünüzü telefon numaranızı kendi SIM kartına aktarmaya ikna ettiği) ve metin mesajlarını yakalayabilen SS7 protokolü açıklarına karşı savunmasızlığı nedeniyle en zayıf 2FA biçimidir.

• Avantajları: Yaygın olarak desteklenir, uygulama gerektirmez, herhangi bir telefonda çalışır
• Dezavantajları: SIM swap, SS7 yakalama ve telefon operatörlerine yönelik sosyal mühendislik saldırılarına karşı savunmasız

Kimlik Doğrulayıcı Uygulamalar (TOTP)

Zamana Dayalı Tek Kullanımlık Parola (TOTP) uygulamaları, paylaşılan bir gizli ve geçerli zamanı kullanarak her 30 saniyede bir yeni bir 6 haneli kod oluşturur. Popüler uygulamalar arasında Google Authenticator, Authy, Microsoft Authenticator ve Ente Auth bulunur. TOTP, kodlar cihazınızda yerel olarak üretildiği için SMS'ten önemli ölçüde daha güvenlidir — yakalanacak bir iletim kanalı yoktur. Kodlar çevrimdışı çalışır ve telefon numaranıza bağlı değildir. Bu, güçlü güvenliği kullanım kolaylığıyla dengeleyen, çoğu insan için önerilen 2FA yöntemidir.

• Avantajları: Güvenli, çevrimdışı yetenekli, ücretsiz uygulamalar mevcut, telefon numarasına bağlı değil
• Dezavantajları: Yedek kodları olmadan cihazınızı kaybetmek sizi kilitler; kimlik avı siteleri yine de gerçek zamanlı olarak kodları yakalayabilir

Donanım Güvenlik Anahtarları

YubiKey, Google Titan ve SoloKeys gibi fiziksel cihazlar, kimlik doğrulamak için USB bağlantı noktanıza takılır veya NFC ile dokunulur. Donanım anahtarları, tasarım gereği kimlik avına dayanıklı olan FIDO2/WebAuthn standardını kullanır — anahtar, kimlik doğrulamadan önce web sitesinin alan adını kriptografik olarak doğrular ve kimlik avı sitelerinin yakalamasını imkansız hale getirir. Google, tüm çalışanların donanım anahtarları kullanmasını gerektirir ve uygulama sonrası başarılı kimlik avı saldırısı sayısını sıfır olarak bildirdi. Anahtarlar 25-70 dolardır ve mevcut en güvenli 2FA yöntemidir.

• Avantajları: En güçlü güvenlik, kimlik avına dirençli, pil gerektirmez, çevrimdışı çalışır, dayanıklı
• Dezavantajları: 25-70 dolar maliyet, kaybedilebilir veya unutulabilir, tüm hizmetler tarafından desteklenmez

Biyometri

Parmak izi tarayıcıları (Touch ID), yüz tanıma (Face ID) ve iris tarayıcılar, fiziksel özelliklerinizi bir kimlik doğrulama faktörü olarak kullanır. Biyometri uygundur — onları her zaman yanınızda taşırsınız ve unutulamaz. Birçok cihaz ve hizmette parolalarla birlikte ikinci bir faktör olarak çalışırlar. Ancak, biyometri tehlikeye girerse değiştirilemez (parolanın aksine) ve birçok yargı bölgesinde kolluk kuvvetleri tarafından zorlanabilir. Kalite cihazlar arasında önemli ölçüde değişir.

• Avantajları: Kullanışlı, her zaman mevcut, hızlı kimlik doğrulama, çoğaltılması zor
• Dezavantajları: Tehlikeye girerse değiştirilemez, yasal olarak zorlanabilir, kalite cihaza göre değişir

Passkey'ler

Passkey'ler, parolaları tamamen değiştirmek üzere tasarlanmış en yeni kimlik doğrulama standardıdır. FIDO2/WebAuthn tabanlı olan passkey'ler, açık anahtar şifrelemesini kullanır — cihazınız özel bir anahtarı depolar ve hizmet karşılık gelen açık anahtarı depolar. Kimlik doğrulama, cihazınızın biyometrik sensörü veya PIN'i aracılığıyla gerçekleşir, yazmak, kimlik avı yapmak veya çalmak için parola yoktur. Apple, Google ve Microsoft, passkey desteğini işletim sistemlerine entegre etti. Passkey'ler, iCloud Keychain, Google Password Manager veya diğer sağlayıcılar aracılığıyla cihazlar arasında senkronize olur ve donanım anahtarlarının güvenliğini biyometrinin kolaylığı ile birleştirir.

• Avantajları: Kimlik avına dirençli, hatırlanacak parola yok, cihazlar arası senkronizasyon, hızlı
• Dezavantajları: Görece yeni, henüz evrensel olarak desteklenmiyor, senkronize passkey'lerle platform kilitlenmesi endişeleri

2FA Nasıl Kurulur

2FA'yı kurmak hesap başına beş dakikadan az sürer. İşte çoğu kişi için önerilen yöntem olan kimlik doğrulayıcı uygulama tabanlı 2FA süreci:

1. Güvenlik ayarlarını açın. Hesabınızın güvenlik ayarlarına gidin. "İki Faktörlü Kimlik Doğrulama", "2 Adımlı Doğrulama" veya "Giriş Güvenliği" arayın. Google'da myaccount.google.com > Güvenlik > 2 Adımlı Doğrulama'ya gidin. Apple'da Ayarlar > [Adınız] > Oturum Açma ve Güvenlik'e gidin.
2. Bir 2FA yöntemi seçin. Güvenlik ve kolaylık arasındaki en iyi denge için "Kimlik Doğrulayıcı Uygulama" seçin. Yoksa bir TOTP uygulaması yükleyin — Google Authenticator, Authy veya Ente Auth hepsi sağlam seçeneklerdir. Authy ve Ente Auth, kodlarınızın şifreli bulut yedeklemesini sunar.
3. QR kodunu tarayın Kimlik doğrulayıcı uygulamanızla ekranda görüntülenen QR kodunu tarayın. Uygulama, 30 saniyede bir yenilenen 6 haneli bir kod üretecek. Kurulumun doğru çalıştığını doğrulamak için geçerli kodu girin.
4. Yedek kodları derhal kaydedin. Çoğu hizmet, kimlik doğrulayıcı cihazınızı kaybederseniz erişimi yeniden kazanmanıza olanak tanıyan tek kullanımlık kurtarma kodları sağlar. Bunları bir parola yöneticisinde saklayın, yazdırın veya yazın ve cihazlarınızdan ayrı güvenli bir yerde tutun. Yedek kodlar olmadan telefonunuzu kaybetmek hesabınızdan kalıcı olarak kilitlenmenize neden olabilir.

2FA En İyi Uygulamaları

1. Önce e-posta hesabınızda 2FA'yı etkinleştirin — diğer tüm hesaplarınızın ana anahtarıdır. Biri e-postanızı tehlikeye atarsa, ona bağlı her hizmette parolaları sıfırlayabilir. E-postanız 2FA ile korunacak en önemli tek hesaptır.
2. Mümkün olduğunda SMS yerine bir kimlik doğrulayıcı uygulama kullanın. TOTP uygulamaları SIM swap ve SS7 saldırılarına karşı bağışıktır. Bir hizmet yalnızca SMS tabanlı 2FA sunuyorsa, yine de kullanın — SMS 2FA hiç 2FA olmamasından dramatik olarak daha iyidir.
3. Yedek kodları güvenli, ayrı bir yerde saklayın. Onları bir parola yöneticisinde (2FA ile korunan olmayan) saklayın, yazdırın ve bir kasada tutun veya güvenli bir şekilde saklanan kağıda yazın. Yedek kodları asla kimlik doğrulayıcınızla aynı cihazda şifrelenmemiş bir notta saklamayın.
4. En kritik hesaplarınız için bir donanım güvenlik anahtarı düşünün — e-posta, bankacılık, bulut depolama ve parola yöneticileri. Bir YubiKey 5 NFC (50 dolar) USB-A, USB-C ve NFC ile çalışır ve hemen hemen her cihazı kapsar. Yedek olmak için hesap başına iki anahtar kaydedin.
5. Hangi hesaplarda 2FA etkin olduğunu düzenli olarak denetleyin. Takip etmek için bir parola yöneticisi kullanın. Öncelik sırası: e-posta, bankacılık ve finansal hizmetler, bulut depolama, sosyal medya, kayıtlı ödeme yöntemleriyle alışveriş siteleri ve herhangi bir iş veya profesyonel hesap.