Size seçenek sunan her hesapta iki faktörlü kimlik doğrulama kullanıyor olmalısınız. Hesabınızı güvende tutmanın daha iyi bir yolu yoktur ve kim olursanız olun, tüm hesaplarınızın olabildiğince güvenli olmasını istemelisiniz. Hangi telefonu kullandığınız da önemli değil — 2FA ucuz bir Android telefon, en iyi Android telefon veya bir iPhone ile çalışır. Elbette, bunların hepsini daha önce duymuşsunuzdur.
Yine de, tüm iki faktörlü kimlik doğrulama yöntemleri eşit yaratılmamıştır. Kullanıcıya yönelik diğer tüm güvenlik önlemleri gibi, koruma için biraz kolaylık sağlamanız gerekir ve 2FA’nın en güvenli yöntemleri aynı zamanda en az kullanışlı olanlardır. Tersine, en uygun yöntemler aynı zamanda en az güvenli olanlardır.
En iyi android telefonlar gibi cihazlarda iki faktörlü kimlik doğrulamayı kullanmanın farklı yollarına bir göz atacağız ve her birinin artılarını ve eksilerini tartışacağız.
4. SMS tabanlı iki faktörlü kimlik doğrulama
(İmaj kredisi: Kaynak: Jeramy Johnson / Android Central)
İki faktörlü kod içeren bir metin mesajı almak, çevrimiçi bir hesabı güvence altına almanın en popüler yoludur. Ne yazık ki, aynı zamanda en kötü yol.
SMS tabanlı 2FA kolay ve kullanışlıdır. Ayrıca çok güvenli değil.
Bir hesaba kaydolduğunuzda veya daha sonra geri dönüp 2FA’yı etkinleştirdiğinizde telefon numaranızı verirsiniz. Ardından, numara doğrulandıktan sonra, gerçekten siz olduğunuzu doğrulamanız gerektiğinde bir kod göndermek için kullanılır. Süper kolay ve kullanışlıdır, bu da birçok kişinin kullandığı anlamına gelir ve birçok şirket bunu bir hesabı güvenceye almanın tek yolu olarak sunar.
Kullanım kolaylığı ve rahatlık harika şeylerdir, ancak SMS ile ilgili başka hiçbir şey iyi değildir. SMS hiçbir zaman güvenli bir iletişim aracı olarak tasarlanmamıştır. Bir endüstri standardı olduğu için, Signal gibi bir uygulama bile yapmak şifreli ve güvenli mesajlaşma sunar, SMS mesajlarını düz metin olarak göndermeye devam eder. Malwarebytes’te kıdemli bir kötü amaçlı yazılım istihbarat analisti olan Nathan Collier, SMS’i şu şekilde tanımlıyor:
“Sunucularda düz metin olarak gönderilen ve depolanan SMS metin mesajları, aktarım sırasında yakalanabilir. Ayrıca SMS mesajları yanlış numaraya gönderilebilir. Ve mesajlar doğru numaraya ulaştığında, mesajın okunup okunmadığına ve hatta alındığına dair alıcıdan herhangi bir bildirim gelmiyor. “
Daha büyük bir sorun, taşıyıcıların başka birinin telefon numarasını kullanarak yeni bir SIM kartı yetkilendirmek için kandırılabilmesidir (ve kandırılmıştır). Yani eğer birisi Gerçekten kredi kartınızı kullanarak banka hesabınıza erişmek veya Amazon’dan bir sürü şey sipariş etmek istedi; tek yapmaları gereken, operatörünüzdeki birini siz olduğuna, telefonunuzu kaybettiğinize ve numaranızın ellerinde bulundurdukları yeni bir SIM karta taşınması gerektiğine ikna etmektir.
Tüm bunlar e-posta tabanlı kimlik doğrulama için de geçerlidir. E-posta, herhangi bir hesap kurtarma işleminin gerçekten işe yaramasının tek yoludur ve bankanız gibi pek çok yer, yeni bir cihazdan oturum açmanız için size e-posta yoluyla bir kod göndermek isteyecektir. Çok güvenli değil ve sektördeki herkes bunu biliyor. Öyleyse belki de e-postanın bu tür şeyler için bir omurga olarak nasıl kullanıldığını düzeltmek bundan sonra gelir.
3. Kimlik doğrulama uygulamaları
(İmaj kredisi: Android Central)
Google Authenticator veya Authy gibi kimlik doğrulama uygulamaları, SMS tabanlı 2FA’ya göre önemli bir gelişme sunar. Telefonunuzdaki bir uygulamanın karmaşık bir algoritma kullanarak oluşturabileceği Zamana Dayalı Tek Kullanımlık Parolalar (TOTP) adı verilen şeyi kullanarak çalışırlar. olmadan herhangi bir ağ bağlantısı. Bir web sitesi veya hizmet, kodun doğru olduğundan emin olmak için aynı algoritmayı kullanır.
Kimlik doğrulama uygulamaları, 2FA için SMS’den daha iyidir, ancak kusursuz değildirler.
Çevrimdışı çalıştıkları için, TOTP stili 2FA, SMS kullanımıyla aynı sorunlara tabi değildir, ancak kendi kusurları da vardır. Örneğin, güvenlik araştırmacıları bunun dır-dir Bir web sitesinde TOTP’ye girdiğinizde gönderdiğiniz verileri ele geçirmek ve değiştirmek mümkündür, ancak bu kolay değildir.
Asıl sorun kimlik avından kaynaklanıyor. Gerçeği gibi görünen ve hareket eden bir kimlik avı web sitesi oluşturmak mümkündür ve hatta gerçek hizmette oturum açmak için parolanız ve bir kimlik doğrulama uygulaması tarafından oluşturulan TOTP gibi sağladığınız kimlik bilgilerini iletir. Ayrıca aynı anda kendi kendine oturum açar ve kullandığınız hizmet yokken aradaki farkı bilerek sizmişsiniz gibi davranabilir. Sonuçta, uygun kimlik bilgileri sağlandı.
Diğer bir dezavantaj ise, telefonunuzu kaybederseniz ihtiyacınız olan kodlara ulaşmanın kolay olmayabilmesidir. Authy gibi bazı kimlik doğrulayıcı uygulamalar, cihazlar arasında çalışır ve her şeyi hemen yedeklenecek ve çalışacak şekilde ayarlamak için merkezi bir parola kullanır.
Ayrıca çoğu şirket, her şeyin kötüye gittiği zamanlar için saklayabileceğiniz bir dizi yedek kod sağlayacaktır. Bu veriler internet üzerinden de gönderildiği için TOTP kullanımının etkinliğini zayıflatır ancak kullanıcılara daha fazla kolaylık sunar.
2. Push tabanlı 2FA
(İmaj kredisi: Kaynak: Google)
Başta Apple ve Google olmak üzere bazı hizmetler, oturum açma girişimi sırasında telefonunuza bir bilgi istemi gönderebilir. Bu bilgi istemi size birisinin hesabınıza giriş yapmaya çalıştığını söyler, yaklaşık bir konum da verebilir ve talebi onaylamanızı veya reddetmenizi ister. Eğer sizseniz, bir düğmeye dokunursunuz ve çalışır.
2FA için bir bildirim süper kolay ve süper kullanışlıdır. Yine de telefonunuzu kaybetmeyin.
Push tabanlı 2FA, SMS 2FA ve TOTP kimlik doğrulamasını birkaç şekilde geliştirir. Hepsi telefonunuzdaki standart bir bildirim aracılığıyla çalıştığı için daha da kullanışlıdır – tek yapmanız gereken okumak ve dokunmak. Ayrıca kimlik avına karşı çok daha dirençlidir ve şimdiye kadar “saldırıya” karşı çok dayanıklı olduğu görülmüştür. Yine de asla asla deme.
Push tabanlı 2FA, SMS ve TOTP’nin bazı dezavantajlarını da büyütür: Gerçek bir veri bağlantısı üzerinden çevrimiçi olmanız gerekir (ses ve metin hücre planları çalışmaz) ve mesajı almak için doğru cihazı tutuyor olmanız gerekir. Ayrıca çok standart değildir, bu nedenle diğer hesaplarınızın kimliğini doğrulamak için her zaman Google Pixel’inizde bir oturum açma istemi kullanmayı bekleyemezsiniz.
Bu iki gerçek dezavantajın dışında, itme tabanlı 2FA güvenli ve kullanışlıdır. Ayrıca, Google’ın Google hesabınız için 2FA’yı uygulamaya yönelik gelecekteki planlarını da hesaba katacaktır.
1. Donanım tabanlı 2FA
(İmaj kredisi: Jerry Hildenbrand)
Kimlik doğrulayıcı cihaz veya U2F güvenlik anahtarı gibi ayrı bir donanım parçası kullanmak, herhangi bir çevrimiçi hesabın güvenliğini sağlamanın en iyi yoludur. Kullandığım yöntem bu, bu yüzden size söyleyebilirim ki çok uygun değil ve çok popüler olmamasını sağlar.
Donanımı kullanarak kurarsınız ve ne zaman yeni bir cihazdan giriş yapmak isterseniz veya bir hesap yöneticisi tarafından belirlenen bir süre geçtikten sonra, tekrar giriş yapmak için aynı cihazı üretmeniz gerekir.
Cihazın sunucuya siteye, hesabınıza ve cihazın kendisine özel imzalı bir sorgulama kodu göndermesiyle çalışır. Şimdiye kadar, U2F kimlik avına ve hack’e karşı korumalı olmuştur. Yine, asla asla deme.
Bir U2F anahtarı kullanmak, iki faktörlü kimlik doğrulaması yapmanın en az kullanışlı ancak en güvenli yoludur. Büyük bir PITA olduğu için muhtemelen size göre değil.
Genellikle aynı hesapta birden fazla cihaz kurabilirsiniz, böylece güvenlik anahtarınızı kaybederseniz erişiminizi kaybetmezsiniz, ancak yine de bir hesapta her oturum açmak istediğinizde bu anahtarı yanınızda bulundurmanız gerektiği anlamına gelir. web sitesi veya hizmet.
Örneğin, Google hesaplarımın güvenliğini sağlamak için bir U2F anahtarı kullanıyorum ve her 12 saatte bir, iş için Google Enterprise hesabıma geri dönmek için anahtarı sağlamam gerekiyor. Bu, masa çekmecemde, anahtarlığımda ve bir arkadaşımın acil bir durumda benim için sakladığı zarfta bir anahtarım olduğu anlamına gelir.
(İmaj kredisi: Kaynak: Jerry Hildenbrand / Android Central)
Genellikle, bir anahtar kullanıyorsanız bir 2FA yedekleme yöntemi de ayarlayabilirsiniz ve Google sizi bunu yapmaya zorlar. Bu, kolaylık açısından harikadır, ancak aynı zamanda hesabınızın güvenliğini de tehlikeye atar çünkü daha az güvenli yöntemler, sizin veya başka herhangi birinin yeniden giriş yapması için hala geçerli yöntemlerdir.
Güvenlik anahtarı gibi bir donanım belirteci kullanmanın bir başka dezavantajı da maliyetidir. SMS, bir kimlik doğrulama uygulaması veya push tabanlı 2FA kullanmak ücretsizdir. Bir güvenlik anahtarı kullanmak için bir tane satın almanız gerekir ve her biri 20 ila 100 ABD Doları arasında değişebilir. Bu yola gidiyorsanız gerçekten en az bir yedek anahtarınız olması gerektiğinden, bu eklenebilir.
Son olarak, telefonunuzda bir güvenlik anahtarı kullanmak kullanışsız olabilir. USB, NFC ve hatta Bluetooth ile çalışan anahtarlar bulacaksınız, ancak hiçbir yöntem %100 güvenilir değildir, bir anahtarı telefonla kullanırken bu sürenin %100’ünde.
Hangisi en iyi?
(İmaj kredisi: Android Central)
Hepsi ve hiçbiri.
Bir hesaptaki herhangi bir 2FA türü, hiç olmamasından iyidir ve SMS tabanlı 2FA bile, yalnızca bir parolaya güvenirseniz olacağınızdan daha fazla korunduğunuz anlamına gelir. Sabrınız varsa, Google’ın Gelişmiş Koruma Programı gibi bir program çevrimiçi yaşamınızı kolaylaştırabilir çok güvenli ve neredeyse endişesiz. Ancak rahatlığı güvenlikle karşılaştırmalısınız.
Şahsen, SMS tabanlı 2FA’nın ortadan kalkmasını diliyorum çünkü onu ben bile hackleyebilirim. Bu, biraz okuma ve biraz kopyala-yapıştır yapmaya istekliysen, sen de yapabilirsin demektir. Daha da kötüsü, bu, herkesin onu hackleyebileceği anlamına gelir ve bulabildikleri herhangi bir masum kurban üzerinde denemek için zaman ve enerji harcayacak insanlar var.
Sonunda, bir politikacı veya film yıldızı olmasanız bile çevrimiçi bilgisayar korsanları için bir hedef olduğunuzu anlamalısınız. Bu, çevrimiçi hesaplarınızı korumak için gerçekten fazladan bir veya iki adım atmanız gerektiği anlamına gelir. Umarım, iki faktörlü kimlik doğrulamanın farklı yöntemlerinin nasıl çalıştığı hakkında biraz daha bilgi sahibi olmak, doğru kararı vermenize yardımcı olabilir.
