MFA sayesinde dinozor soyunun tükenmesini önlemek
Geçenlerde yemek menümüzü film karakterleri veya konusuna göre belirlediğimiz haftalık akşam yemeği ve film buluşmalarımızın ilkinde ailece bir araya geldik. Hepimiz yaklaşan aile gezimiz için gün sayıyoruz ancak bu eğlenceli rutini geziden sonra da devam ettireceğimizi umuyorum. O hafta hangi filmi izleyeceğimizi zarf seçerek belirlemek çocuklarımızı heyecanlandırıyor. Önümüzdeki günlerde hangi yiyecekleri hazırlayacağımızı bilmek isteyen ben ve eşim de benzer bir heyecan yaşıyoruz. Eğlenceli aile geleneklerimiz anlatmakla bitmez ancak ben bu hikayenin güvenlik kısmına değinmek istiyorum.
Geçen hafta çocuklardan birinin zarfında haftanın filmi olarak “Jurassic World: Hakimiyet” filmi çıktı. Hemen hazırlayacağım menüyü (peynirden raptor pençeleri, dinozor nugget’ları ve pterodaktil kanatları) düşünmeye başladım. Bununla birlikte beni asıl şaşırtan, filmi izlemeye başladıktan sonra çocuklarımla yaptığım siber sohbet oldu. Çocuklarım, liseye yeni başlayan akranları gibi etrafındaki teknolojiyle giderek daha fazla haşır neşir oluyor.
Çok faktörlü kimlik doğrulaması nedir?
Jurassic World: Hakimiyet filmi ve güvenlik arasında nasıl bir ilişki olabileceğini merak ediyorsunuz değil mi? Elbette var. Tüm Jurassic Park filmi boyunca dinozorlar çitlerle çevrili alanlardan kaçıyor ancak benim düşündüğüm bu tür bir güvenlik değildi. Spoiler vermeden (umarım başarabilirim) filmdeki bir sahneden bahsetmek istiyorum. Bu sahnede Ian Malcolm, süper teknolojili künye bilekliğini gizlice Dr. Ellie Sattler’a veriyor. Künyeyi, bileğinize taktığınız bir kimlik kartı gibi düşünebilirsiniz. Yakın zamanda Walt Disney World’e gittiyseniz burada verilen Magic Band saatler de bu künyeye benziyor. Ellie ve Dr. Alan Grant, bu künye bilekliğini erişimi kısıtlı laboratuvar alanına girmek için kullanıyor ve buradan çaldıkları DNA ile Jurassic Park serisindeki filmlerde görmeye alışkın olduğumuz o korkutucu ve heyecan verici olaylar dizisini başlatıyor.
Buradaki önemli nokta, yalnızca künye bilekliğini kullanarak laboratuvarın ziyaretçilere kapalı bölümüne girebilmeleri. Künye bilekliğini okuttuktan sonra parmak izi veya kodla giriş yapmaları istenmiyor (artık Disney’de bile Magic Band’inizi okuttuktan sonra parmak izinizi girmeniz isteniyor!). Sonuç olarak, içeri girip Biosyn laboratuvarına ait maddeyi çalabiliyorlar.
Siber güvenlik dünyasında bu durumu, çok faktörlü kimlik doğrulaması (iki adımlı kimlik doğrulama olarak da bilinir), yani MFA eksikliği olarak adlandırıyoruz. Künye bilekliği örneğinde olduğu gibi yalnızca bir kimlik doğrulaması türünü zorunlu kıldığınızda, tek kaynağın çalınması koruduğunuz nesneler için risk oluşturur. PIN kodu, retina taraması hatta güvenlik sorusu gibi ikinci bir (üçüncü, dördüncü vs. de olabilir) kimlik doğrulama adımı kullandığınızda çok faktörlü kimlik doğrulaması oluşturmuş olursunuz ve ilk adım için kullandığınız nesnenin kaybolması artık önceki kadar büyük bir risk oluşturmaz.
Çok faktörlü kimlik doğrulaması nasıl çalışır?
Günlük hayatımızda da çok faktörlü kimlik doğrulamasını kullanırız ancak bunun pek de farkında olmayız. Örneğin; mobil bankacılık için oturum açtığınızda kullanıcı kimliğinizi (bazı durumlarda hesap numaranızı) ve şifrenizi (veya PIN’inizi) girmeniz istenir. Buna karşın, sitenin cihazınızı tanımlayamadığına dair bir uyarı bildirimi aldığınızda bir tür MFA kullanmış olursunuz. Burada, telefon veya kişisel bilgisayar gibi kayıtlı cihazlar ikinci kimlik doğrulama adımı işlevi görüyor.
MFA, verileri veya uygulamaları korumak için kullanılan ve kullanıcının kimliğini doğrulamak üzere kimlik bilgilerini iki kez veya daha fazla girmesinin sistem tarafından zorunlu kılındığı katmanlı bir güvenlik yaklaşımıdır. Bu kimlik bilgileri üç kategoriye ayrılır:
- Bildiğiniz bir şey: şifre veya bir kişisel güvenlik sorusunun yanıtı gibi bilgiler
- Sahip olduğunuz bir şey: fiziksel cihaz, donanım belirteci, kimlik kartı veya akıllı telefonunuzdaki bir uygulamaya yanıt verme gibi örnekler
- Sizin tanımlayan bir şey: parmak izi veya retina taraması
Mobil bankacılık örneğindeki kayıtlı cihazlar “sahip olduğunuz bir şey” kategorisine giriyor.
Bununla birlikte, kimlik doğrulama kombinasyonu oluşturmanın tek başına çok faktörlü kimlik doğrulaması oluşturmak için yeterli olmadığını bilmeniz önemlidir. Kombinasyonun farklı kategorilerden öğeler içermesi gerekir. Yani hem şifre girip hem de güvenlik sorusuna yanıt vermek çok faktörlü kimlik doğrulaması kullandığınız anlamına gelmez çünkü bunların ikisi de “bildiğiniz bir şey” kategorisindedir. Şifre girip ardından telefonunuzdaki bir uygulamanın ekranında görüntülenen benzersiz kodu girmeniz istendiğinde çok faktörlü kimlik doğrulamasını kullanıyor olursunuz çünkü birinci adımda “bildiğiniz bir şeyi”, ikinci adımda ise “sahip olduğunuz bir şeyi” girmeniz istenir.
Çok faktörlü kimlik doğrulaması türleri
Birden fazla çok faktörlü kimlik doğrulaması türü bulunmaktadır. Bu doğrulamanın en sık kullanılan türü, hesap şifrenize veya PIN’inize ek olarak aşağıdakilerden birini içerir:
- Bilinen bir kimlik doğrulama uygulaması üzerinden gönderilen anlık bildirim
- Tek kullanımlık şifre (e-posta hesabı ve telefonunuza ya da mobil uygulamanıza gönderilen kısa mesaj gibi size özel bir iletişim yöntemi kullanılarak yalnızca size gönderilen ve bir kez kullanmanız için görüntülenen benzersiz kod)
- İki faktörlü belirteç (cihazınıza taktığınız veya içinden bir kod aldığınız fiziksel bir belirteç)
- Biyometrik girdiler (parmak izi, yüz doğrulaması veya retina taraması gibi)
Çok faktörlü kimlik doğrulaması neden önemlidir? Biosyn şirketi, kimlik kartını kullandıktan sonra Ellie ve Alan’dan yüz doğrulaması yapmasını isteseydi karakterlerimiz laboratuvarın erişimi kısıtlı bölümüne giremeyecekti. Aynı şekilde kullanıcı adınızı ve şifrenizi çalan kötü amaçlı kişiler de cep telefonunuza gönderilen tek kullanımlık kodu girmeden sisteminize erişemezler.
MFA’nın tekrarlanması önemlidir
Bugün birçok sistem, kullanıcılarına MFA olanağı sunuyor. İlk zamanlarda yapmanız gereken fazladan bir işlem gibi hissettirse de MFA’yı ne kadar sık kullanırsanız kas hafızanız da o kadar gelişir ve sonrasında ek bir işlem yapıyormuş gibi hissetmezsiniz. Fazladan bir doğrulama yöntemi ile küçük bir adım eklemek, paleontologların gizli böcek laboratuvarınıza erişebilmesi veya erişmelerinin engellenmesi konusunda belirleyici olabilir. Jurassic World: Hakimiyet filmindeki örnekte laboratuvarın MFA kullanmaması iyi karakterlerimizin yararına bir gelişmeydi. Öte yandan bu istisnai bir durumdur ve kullanmamız önerilen çok faktörlü kimlik doğrulamayı etkinleştirmemek siber suçlulara avantaj sağlar.
MFA, uygulanması gereken basit bir dijital güvenlik adımıdır
Çok faktörlü kimlik doğrulamanın zor bir yöntem olduğunu düşünebilirsiniz ancak dijital bankacılık örneğinde olduğu gibi dijital dünyanızın bir parçası haline getirdiğinizde MFA, olağan sürecin bir parçası haline gelir ve dijital güvenliğinizi geliştirmenin en basit ve temel yollarından birini sağlar. Şunu unutmayın: Yalnızca hangi temel adımları eklemeniz gerektiğini öğrenerek çevrimiçi güvenliğinizi kolayca koruyabilirsiniz.
Ailenizle akşam yemeği ve film geleneğini başlatmaya karar verirseniz (Şiddetle öneriyorum ve isterseniz çok sayıda film menüsü paylaşabilirim!) ilk olarak Jurassic World: Hakimiyet filmini izleyin ve MFA’nın sizi taklit ederek sisteminize girmek isteyen kişileri nasıl engelleyebileceğine dair bir sohbet başlatın. Takvimimize eklememizi önerebileceğiniz başka filmler var mı? Aile üyelerinizin siber güvenlik konularını öğrenmesini sağlayacak başka iyi filmler biliyor musunuz?
