İki faktörlü kimlik doğrulama
İki faktörlü kimlik doğrulama patenti 1984 alınmış bir teknolojidir[1]. Kullanıcı kimliklerini saptama yarayan bu teknoloji iki farklı bileşenden oluşmaktadır. Bu bileşenler kullanıcının bildiği veya sahip olduğu veya kullanıcıya bağlı, kullanıcıdan bağımsız düşünülemeyen bir şey olabilir. Günlük hayatımızdan en güzel örnek olarak ATM'lerden para çekmek işlemini söyleyebiliriz. Doğru kombinasyonu olan bir banka kartı (kullanıcının sahip olduğu bir şey) ve bir PİN (kullanıcının bildiği bir şey) banka işlemlerimizi gerçekleştirmemizi sağlar. İki faktörlü kimlik doğrulama, yemleme, kötü amaçlı yazılımlar ve kart manyetiğin deki bilgilerin çalınması gibi modern tehditlere[2] karşı zayıftır. İki faktörlü kimlik doğrulama birçok faktörlü kimlik doğrulama yöntemi türüdür.
Bileşenler
İki faktörlü kimlik doğrulama, yetkisiz bir kişinin, yetki için gereken faktörlerin hepsini ele geçiremeyeceği üzerine kurulmuştur. Bir yetkilendirme denemesinde, eksik veya yanlış temin edilen herhangi bir bileşen varsa yetkilendirme istenilen varlığa erişim yetkisi alınamaz (bir binaya veya veriye gibi). iki faktörlü yetkilendirme şeması bunları içerebilir:
- Kullanıcın sadece kendisinin sahip olduğu bir fiziksel nesne olabilir. Örnek olarak USB bellek, banka kartı, anahtar gibi.
- Kullanıcının sadece kendisinin bildiği bir bilgi olabilir. Örnek olarak kullanıcı adı - şifre, PİN kodu gibi.
- Kullanıcının fiziksel karakteristiği olabilir. Örnek olarak parmak izi, göz, ses, yazma hızı gibi[3].
Mobil Cihazlar ile İki Faktörlü Kimlik Doğrulama
Kullanıcının sahip olduğu bir şey kullanmadaki en büyü çekince kullanılan faktörün her zaman taşınabilir olması gerekliliğidir. Eğer bu faktör çalınırsa ve kaybedilirse kullanıcının yetkilendirilmesi mümkün olmaz. Bu tür faktörlerin tedarik edilmesi veya yenilenmesi de bir masraf oluşturmaktadır. Bütün bunlar düşünüldüğünde, güvenlik için kullanılabilirlikten ödün vermemiz gerekmektedir.
Mobil cihazlar ile iki faktörlü kimlik doğrulama kullanılabilirliği arttırabilmek için geliştirilmiştir. Bu yöntem cep telefonları, tablet ve akıllı telefonlar gibi mobil cihazları "kullanıcın sadece kendisinin sahip olduğu bir fiziksel nesne" faktörü olarak kullanmaktadır. Eğer kullanıcı kendini yetkilendirmek istiyorsa, kullanıcının kişisel giriş lisansı (kullanıcın sadece kendisinin bildiği bir bilgi ) ve buna ek olarak tek seferlik kullanılabilen, sayılardan oluşan dinamik bir kod kullanması gerekir. Bu kod, kullanıcın mobil cihazına SMS veya başka özel bir uygulamadan (e-posta gibi) kullanıcıya iletilir. Bu yöntemin avantajı, kullanıcılar mobil cihazlarının her zaman yanlarında taşıdığını düşünürsek. ek olarak başka bir varlık taşıma gerekliliğinin olmamasıdır. Bazı profesyonel iki faktörlü kimlik doğrulama çözümleri kullanıcılar için her zaman geçerli bir şifre sağlar. Eğer kullanıcı şifresini kullanmış ise bu otomatik olarak silinir ve sistem kullanıcın mobil cihazına yeni bir şifre gönderir ve bu yeni şifre istenilen zaman aralığında girilirse sistem bunu otomatik olarak değiştirir. Bu mobil cihazlarda kalan eski şifrelerin kullanılmamasını sağlar. Güvenliğe ek olarak yanlış girilen şifrelerin sayısı tutulabilir ve kullanıcıyı yanlış girilen şifre sayısına göre bloke edebilir.
Avantajları:
- Başka taşınılabilir bir varlığa ihtiyaç yoktur, bunun yerine genellikle kullanıcılar tarafından sürekli taşınan mobil cihazlar kullanılır.
- Şifreler sürekli yenilendiğinden ve eski şifreler geçersiz kılındığından dinamik olarak oluşturulduğundan, statik olarak oluşturulan şifrelerden daha güvenlidir.
- İzin verilen denemelerin belli bir limitinin olması, yetkisi olmayan kişilerden gelen saldırıların riskini azaltır.
- Konfigürasyon tanımlanması kolay olması kullanım kolaylığı sağlar
Dezavantajları:
- Yetkilendirme gerektiğinde, mobil cihaz mutlaka kullanıcın yanında olmalıdır. Eğer mobil cihaz kullanılabilir durumda değilse veya alınan şifreyi gösterecek durumda değilse (şarj bitmesi, İnternet bağlantısının olmaması veya telefonun çekmemesi gibi) yetkilendirme gerçekleştirilemez.
- Kullanıcı mobil cihazı bilgilerini (telefon numarasını) yetkilendirme için mutlaka paylaşmak zorundadır, bu kişisel güvenliğin azalması ve spam potansiyelini artmasına neden olur.
- Kullanıcıya gönderilen şifreler (SMS ile) güvenli olmayabilir. Şifre üçüncü bir şahıs tarafından, şifre iletimi sırasında araya girerek çalıunabilir.[4]
- İletilen şifre ehemn gelmeyebilir ve yetkilendirmede gecikmeye neden olabilir.
- Hesap kurtarma işlemi sıklıkla mobil cihazlar ile iki faktörlü kimlik doğrulamayı göz ardı eder.[5]
- Mobil cihazlar çalınabilir, çalan kişiye kullanıcının hesaplarına giriş yapabilir.
- Zaralı yazılımlar ile kullanıcı bilgileri mobil cihazlardan çalınabilir.[6]
Mobil Cihazlar ile iki Faktörlü Kimlik Doğrulama ile İlgili Gelişmeler
Mobil cihazlardaki iki faktörlü doğrulamada ki araştırmalar; ikinci faktörün uygulanabileceği fakat kullanıcıya engel teşkil etmeyeceği yönünde. Sürekli kullanılan ve geliştirilen mobil donanımlar (GPS, mikrofon gibi) sayesinde ikinci faktör kullanımı daha güvenilir hale gelmiştir. Örnek olarak kullanıcının bulunduğu bölgedeki ortamın sesini mobil cihaz ile kaydedip bunu aynı yerde bilgisayardan yapılan ses kaydı ile karşılaştırıp yapılan kimlik doğrulaması daha etkili ve güvenilir olur.[7] Bu ayrıca kimlik doğrulama için gereken zamanı ve eforu azaltmasına yardımcı olur.
Referanslar
- ↑ "Patent US4720860 - Method and apparatus for positively identifying an individual". 3 Temmuz 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160703065048/http://www.google.com/patents/US4720860. Erişim tarihi: 9.04.2016.
- ↑ "The Failure of Two-Factor Authentication - Schneier on Security". 23 Haziran 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160623220212/https://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html. Erişim tarihi: 9.4.2016.
- ↑ "What is 2FA?". 12 Mayıs 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160512211623/http://www.virtualdcs.co.uk/blog/should-two-factor-authentication-be-the-norm.html. Erişim tarihi: 9.04.2016.
- ↑ "SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems". 9 Nisan 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160409074729/http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=4625610. Erişim tarihi: 9.4.2016.
- ↑ "Two-factor authentication: What you need to know (FAQ)". 4 Şubat 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160204032237/http://www.cnet.com:80/news/two-factor-authentication-what-you-need-to-know-faq/?. Erişim tarihi: 9.4.2016.
- ↑ "Dyre Wolf malware bypasses 2FA Security, Manages to Steal $1million". 16 Nisan 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160416174035/https://www.hackread.com/dyre-wolf-malware-bypasses-2-factor-authentication-security-steals-1million/. Erişim tarihi: 9.4.2016.
- ↑ "Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound". 26 Mart 2016 tarihinde kaynağından arşivlendi. http://web.archive.org/web/20160326222117/https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/karapanos. Erişim tarihi: 9.4.2016.