İNTERNET GÜVENLİĞİ GÜNCELLEMESİ: İki Faktörlü Kimlik Doğrulama ve Çok Faktörlü Kimlik Doğrulama

1980'lerin ortasında, bilgisayar elektroniği yolculuğuma başladığımda, insanların bugün olduğu gibi birden fazla çevrimiçi hesabı yoktu. Bilgisayarla ilgili herhangi bir "hesabınız" varsa, muhtemelen modern İnternet'in öncüleri olan ARPANET, CSNET VEYA NSFNET'i kullanan bir devlet kurumuna, araştırma tesisine veya bir tür akademiye bağlıydınız.

Alternatif olarak, siz de benim gibiyseniz ve daha mütevazı bilgi işlem istekleriyle sınırlıysanız, bir "ev" bilgisayarı kullandınız (benimki Commodore 64'tü) ve modern internete benzeyen "Bulletin Board Systems"e bir sayaç kullanarak bağlandınız. . – Modemin telefon ağları üzerinden kurulması. Ayrıca FidoNet veya Compuserve gibi dakika bazında ücretlendirilen tüketici odaklı ağ hizmetlerine de abone olabilirsiniz.

Tüm bu harika teknolojilere erişmek için, tıpkı bugün olduğu gibi, (sizin atadığınız veya icat ettiğiniz) bir kullanıcı adı ve bir şifreden oluşan bir “hesap” kullandınız. Bu iki şey internete açılan tüm kapıların kilidini açtı. Şifre gereklilikleri basitti; güvenlik önemli bir konu değildi ve siber suçlar nispeten nadirdi.

Günümüze hızlı bir şekilde ilerleyince işler çarpıcı biçimde değişti. Çevrimiçi suçlar devasa pandemik boyutlara ulaşmış olsa da hâlâ kullanıcı adları ve şifreler kullanıyoruz. Şifre gereklilikleri daha katı hale gelmiş ve güvenlik ön plana çıkmış olsa da, çevrimiçi ortamda güvende kalma mücadelesinde daha fazlasına ihtiyacımız var; Kullanıcı adı ve şifreler artık yeterli değil. 2FA ve MFA'yı girin.

İki faktörlü kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulama (MFA), esasen aynı şeyi tanımlayan terimlerdir: bir şeyi yapmaya çalıştığınızda söylediğiniz kişi olduğunuzu kanıtlamak için ek kanıtlar ("faktörler" olarak adlandırılır) sunmanın bir yolu. çevrimiçi bir hizmete erişin. Tüm sürece "kimlik doğrulama" denir, yani iyi niyetlisiniz veya "gerçek"siniz, gerçek "siz"siniz.

Eski kullanıcı adı/şifre modeli yalnızca tek bir “faktör” kullanır, o da şifredir. Başka bir "faktörün" olmasının bir nedeni, pek çok şifre veri tabanının saldırıya uğraması ve bakmak isteyen herkesin erişimine açık olmasıdır. Bazı insanlar asla değiştirmedikleri, zayıf, kolayca tahmin edilebilecek şifreler kullanmaktan da suçludurlar. Başka bir "faktöre" ihtiyaç duymanın bir başka nedeni de birçok kişinin tüm hesapları için aynı şifreyi kullanmasıdır. Daha fazla faktöre sahip olmak, yanlış kişinin hesaba erişmesini zorlaştırır.

Faktörler arasında sahip olduğunuz bir şey (banka kartı gibi), bildiğiniz bir şey (şifre veya PIN gibi), olduğunuz bir şey (parmak izi veya size özel diğer fiziksel özellikler gibi biyometrik) ve bulunduğunuz yer (örneğin belirli bir ağa veya GPS gibi konum bilgisine bağlı olarak).

Çok faktörlü kimlik doğrulamanın en yaygın kullanımı, çevrimiçi bir hesaba giriş yapmaya çalıştığınızda telefonunuza kısa mesajla bir kod göndermektir. Örneğin Amazon'a şifrenizi girerek giriş yapıyorsunuz (ilk faktör). Amazon size girmeniz gereken bir kod gönderir (ikinci faktör) ve ardından Amazon hesabınızı kullanmanıza izin verilir.

Ne yazık ki, hâlâ yaygın olarak kullanılmasına rağmen, MFA/2FA kodlarını almanın bir yolu olarak kısa mesajların kullanılması artık önerilmemektedir. İnternetin kötü adamları, metin yöntemini hacklemenin birçok farklı yolunu buldu. Microsoft aslında geçen Kasım ayında, güvenlik kaygıları nedeniyle insanların kısa mesaj tabanlı 2FA'dan uzaklaşması ve Authy, Microsoft Authenticator gibi kimlik doğrulama uygulamalarını veya YubiKey gibi "güvenli token" uygulamalarını kullanmaya başlaması gerektiğini belirten bir uyarı yayınladı.

Sonraki sütun: Authy ve Yubikey gibi MFA/2FA araçlarının nasıl kullanılacağı.

Dave Moore, CISSP, 1984'ten beri Oklahoma'da bilgisayar tamiri yapıyor. Kâr amacı gütmeyen Internet Safety Group Ltd'nin kurucusu, aynı zamanda İnternet güvenliği konusunda topluluk eğitim seminerleri veriyor. Kendisine 405-919-9901 veya internetsafetygroup.org adresinden ulaşılabilir.