1 MFA neden önemlidir
Şifre tekrarı ve kimlik bilgisi sızıntıları kaçınılmazdır. Gerçek zamanlı bir doğrulama eklemek (tek kullanımlık kod, push bildirimi, donanım anahtarı veya biyometrik) riskinizi önemli ölçüde azaltır; özellikle yönetici, finans ve e-posta hesapları için.
2 Yaygın 2FA yöntemleri
SMS (en az güvenli)
Yaygın olarak desteklenir ancak SIM değiştirme, SS7 dinleme ve oltalama saldırılarına karşı savunmasızdır. Daha güçlü bir seçenek mevcut olmadığında yalnızca SMS kullanın.
Mesajlaşma uygulamaları (WhatsApp, Telegram vb.)
Mesaj şifrelendiği için SMS'e göre küçük bir gelişmedir, ancak yine de telefon numaranıza bağlıdır ve o hesap ele geçirilirse kaçırılabilir.
Kimlik doğrulama uygulamaları (TOTP)
Paylaşılan bir sırdan her 30 saniyede bir çevrimdışı kodlar oluşturur. Çoğu hizmet için şiddetle tavsiye edilir. Popüler seçenekler:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden yerleşik TOTP'ler
- Duo Mobile, Aegis, 2FAS
Push tabanlı kimlik doğrulayıcılar
Bazı hizmetler (Okta, Duo, Microsoft, Google) oturum açmayı onaylamak için push bildirimi gönderir. Kullanışlıdır, ancak yorgunluk saldırılarına dikkat edin: beklenmedik istemleri her zaman reddedin.
Donanım güvenlik anahtarları
YubiKey, Feitian veya SoloKeys gibi FIDO2/WebAuthn cihazları oltalamaya dayanıklı 2FA sunar. Oturum açmayı onaylamadan önce alan adını doğrularlar ve ayrıca geçiş anahtarlarını ve PGP'yi destekleyebilirler.
Platform kimlik doğrulayıcıları ve geçiş anahtarları
Cihazlara yerleşiktir (Windows Hello, Touch ID, Face ID, Android geçiş anahtarları). WebAuthn'a dayanırlar ve oltalamaya karşı dirençli olmaya devam ederken son derece kullanışlıdırlar.
3 Güvenlik ve kullanım kolaylığı karşılaştırması
| Yöntem | Güvenlik | Kullanım kolaylığı | Ana riskler |
|---|---|---|---|
| SMS | Düşük | Çok yüksek | SIM değiştirme, dinleme, sahte sıfırlama e-postaları |
| Kimlik doğrulama uygulaması | Yüksek | Orta | Cihaz kaybı, eksik yedeklemeler |
| Push bildirimi | Yüksek | Yüksek | Push bombardımanı/yorgunluk saldırıları |
| Donanım anahtarı | Çok yüksek | Orta | Fiziksel kayıp, maliyet, sınırlı port uygunluğu |
| Geçiş anahtarları/biyometrik | Çok yüksek | Çok yüksek | Hizmet uyumluluğu hâlâ yaygınlaşıyor |
4 En iyi uygulamalar
- SMS yerine kimlik doğrulama uygulamalarını veya donanım anahtarlarını tercih edin.
- En az iki faktör kaydedin (yedek cihaz veya anahtar + kurtarma kodları).
- Kurtarma kodlarını güvenli bir şekilde çevrimdışı saklayın.
- Paylaşılan veya yönetici hesapları için mümkün olan yerlerde donanım anahtarlarını zorunlu kılın.
- Desteklendiğinde geçiş anahtarlarını etkinleştirin; güvenli oturum açmayı kolaylaştırırlar.
SSS
Donanım anahtarımı kaybedersem ne olur?
Yedek anahtarınızı veya kurtarma kodlarınızı kullanın. Kurulum sırasında her zaman birden fazla anahtar kaydedin, böylece hesabınızın dışında kalmazsınız.
Kimlik doğrulama kodlarını yeni bir telefona nasıl taşırım?
Authy buluta senkronize olur; diğer uygulamalar dışa aktarmanıza veya QR kodlarını yeniden taramanıza izin verir. Yenisi onaylanana kadar orijinal cihazı saklayın.
Saldırganlar uygulama tabanlı kodlarımı oltalayabilir mi?
Evet, gerçek zamanlı aktarma saldırıları yoluyla. Donanım anahtarları ve geçiş anahtarları, oturum açmadan önce kaynağı doğruladıkları için oltalamaya karşı direnç sunar.
Çok faktörlü kontrol listesi
- E-posta, bankacılık ve bulut yönetici konsollarından başlayarak her yerde 2FA'yı etkinleştirin.
- Sıfır bilgi yöneticisinde saklanan güçlü benzersiz şifreler kullanın.
- Kritik roller için oltalamaya dayanıklı faktörleri (FIDO2 anahtarları) zorunlu kılın.
- Ekibinizi beklenmedik MFA istemlerini veya kod isteklerini reddetmeleri konusunda eğitin.
- Herhangi bir olay müdahalesinden sonra yedek kodları gözden geçirin ve yenileyin.
Sorumluluk reddi
password.es "olduğu gibi" sağlanmaktadır. Hizmet kullanılabilirliğini, bilgi doğruluğunu veya oluşturulan şifrelerin güvenliğini garanti etmiyoruz. Kullanıcılar 2FA'yı sağlam şifre hijyeni ve cihaz güvenliği ile birleştirmekten sorumludur.