Güvenlik İzleme: İki faktörlü kimlik doğrulaması sizi gerçekten daha güvenli kılıyor mu?

Bu hafta, iki faktörlü kimlik doğrulama (2FA) ile ilgili başka bir soruyu çözmek için dipsiz posta çantama geri dönüyorum. Bu daha önce değindiğim bir konudur, ancak bu konuda aldığım soruların miktarını ve özgüllüğünü dikkate alarak, pek çok insanın düşündüğü bir konudur. 2FA'yı belki de normal insanların internette güvende kalmak için yapabilecekleri en iyi tek şey olarak gördüğümden beri, bunun hakkında durmaksızın konuşmaktan çok mutluyum.

Bugünün sorusu, 2FA sistemlerinin gerçekte olduğu gibi olup olmadıklarını sormak için yazan Ted'den geliyor. Ted'in mektubunun kısalık için düzenlendiğini lütfen unutmayın. Ted mesajına 2FA'daki diğer yazılarımdan bahsederek başladı.

"Güvenlik anahtarınızı kaydettikten sonra, anahtarınızı kaybetmeniz veya erişememeniz durumunda SMS şifreler yedekleme seçeneği olacaktır." Bu doğruysa, neden bu cihaz 2FA SMS kodundan daha güvenli? Sizin de yazdığınız gibi, "Ancak telefonlar çalınabilir ve SIM-jacking görünüşe göre şu anda endişelenmemiz gereken bir şey."

Birinin Google’a sizin sizin olduğunuzu, güvenlik anahtarınızı kaybettiğini ve çalınan / çalınan telefonunuza gönderilen bir SMS koduna ihtiyacı olduğunu söylemesini engelleyen nedir? Bunu doğru anlıyorsam, bu cihaz 2FA SMS metinlerinden daha güvenli değildir. Çok daha uygun, kesin, ama daha güvenli olduğunu göremiyorum.

Tüm bunların sonucu, güvenlik anahtarının güvenliğinizi artıracağı, ancak bunu kullanmanız daha muhtemel olduğu için mi, 2FA'dan daha güvenli olduğundan değil mi? Neyi kaçırıyorum?

Hiçbir şey kaçırmıyorsun Ted. Aslında, çevrimiçi kimlik doğrulamasını çevreleyen bir çok güvenlik temelinin temelini bulmakta zekisin: hesaplarını geri almalarını imkansız kılmadan, insanların kim olduğunu nasıl güvenle doğrularsın?

2FA Temelleri

İlk önce bazı temel bilgileri ele alalım. İki faktörlü kimlik doğrulama veya 2FA, olası üç listeden faktör adı verilen iki kimlik kanıtı sunmanız gereken bir güvenlik konseptidir.

• Bir şifre gibi bildiğiniz bir şey.

• Telefon gibi bir şeye sahipsin.

• Parmak izi gibi bir şeysin.

Pratik açıdan, 2FA genellikle bir siteye veya servise giriş yapmak için şifrenizi girdikten sonra yaptığınız ikinci bir şey anlamına gelir. Şifre, birinci faktördür ve ikincisi, telefonunuza özel bir kodla gönderilen veya bir iPhone'da Apple'ın FaceID kodunu kullanarak gönderilen bir SMS mesajı olabilir. Fikir şu ki, bir şifre tahmin edilebilir veya çalınabilirken, bir saldırganın hem şifrenizi hem de ikinci faktörünüzü alma olasılığı daha düşüktür.

Ted mektubunda, özellikle donanım 2FA anahtarlarını soruyor. Yubico'nun YubiKey serisi muhtemelen en iyi bilinen seçenektir, ancak tek seçenekten çok uzaktır. Google’ın kendi Titan Güvenlik anahtarları vardır ve Nitrokey, yalnızca ikisini adlandırmak için açık kaynaklı bir anahtar sunar.

Pratik Tuzaklar

Hiçbir güvenlik sistemi mükemmel değildir ve 2FA da farklı değildir. Google'ın Hesap Güvenliği ekibinin ürün yönetimi lideri Guemmy Kim, hesap kurtarma ve 2FA için güvendiğimiz sistemlerin çoğunun kimlik avına duyarlı olduğunu belirtti. Bu, kötü adamların sahte bilgileri, sizi özel bilgilere girmeye kandırmak için kullandığı yerdir.

Akıllı bir saldırgan, telefonunuza, cihazınıza gönderilen SMS doğrulama kodlarını görüntülemelerini ve hatta engellemelerini sağlayacak bir Uzaktan Erişim Trojanını bulaştırabilir. Veya sizi Google Authenticator gibi bir uygulamadan oluşturulan bir kerelik bir kod girmeniz için kandırmak için ikna edici bir kimlik avı sayfası oluşturabilirler. Gittiğiniz kağıt yedekleme kodları seçeneğim bile beni kod girmeye kandıran bir kimlik avı sitesi tarafından ele geçirilebilir.

En egzotik saldırılardan biri, bir saldırganın SIM kartınızı klonladığı veya telefon şirketinizi, SMS mesajlarınızı engellemek için SIM kartınızı kaydettirmesi için kandırdığı SIM jacking olacaktır. Bu senaryoda, telefon numaranızı kendileri olarak kullanabildiklerinden, saldırgan sizi çok etkili bir şekilde kimliğe bürünebilir.

Çok egzotik olmayan bir saldırı, düz eski kayıp ve hırsızlıktır. Telefonunuzda veya telefonunuzdaki bir uygulama birincil doğrulayıcınızsa ve onu kaybederseniz, bu baş ağrısı olur. Aynısı donanım anahtarları için de geçerlidir. Yubico YubiKey gibi donanım güvenlik anahtarlarını kırmak zor olsa da, kaybetmeleri çok kolaydır.

Yubico Yubikey Series 5 birçok farklı konfigürasyonda geliyor.

Hesap Kurtarma Sorunu

Ted'in mektubunda işaret ettiği şey, birçok şirketin bir donanım güvenlik anahtarına ek olarak ikinci bir 2FA yöntemi ayarlamanızı gerektirdiğidir. Örneğin Google, SMS’i kullanmanızı, şirketin Authenticator uygulamasını yüklemenizi veya Google’dan hesabınızı doğrulayan anında bildirimler almak için cihazınızı kaydetmenizi gerektirir. Google'dan gelen Titan tuşları gibi, kullandığınız diğer herhangi bir 2FA seçeneğinin yedeği olarak bu üç seçenekten en az birine ihtiyacınız var.

Yedekleme olarak ikinci bir güvenlik anahtarı kaydetseniz bile, SMS, Google Kimlik Doğrulayıcı veya push bildirimlerini etkinleştirmeniz gerekir. Özellikle, Google’ın Gelişmiş Koruma Programını kullanmak istiyorsanız, ikinci bir anahtarın kaydedilmesi gerekir.

Benzer şekilde, Twitter, isteğe bağlı bir donanım güvenlik anahtarına ek olarak SMS kodlarını veya bir kimlik doğrulama uygulamasını kullanmanızı da gerektirir. Ne yazık ki, Twitter bir seferde yalnızca bir güvenlik anahtarı kaydetmenize izin veriyor.

Ted'in de belirttiği gibi, bu alternatif yöntemler kendiliğinden bir güvenlik anahtarı kullanmaktan teknik olarak daha az güvenlidir. Yalnızca bu sistemlerin neden bu şekilde uygulandığını tahmin edebilirim, ancak müşterilerinin hesaplarına her zaman erişebilmelerini sağlamak istediklerinden şüpheleniyorum. SMS kodları ve doğrulayıcı uygulamalar, insanların anlaması kolay olan ve ek cihazlar satın almalarını gerektirmeyen, zaman açısından test edilmiş seçeneklerdir. SMS kodları ayrıca cihaz hırsızlığı sorununu da giderir. Telefonunuzu kaybederseniz veya çalınırsa, uzaktan kilitleyebilir, SIM kartını devre dışı bırakabilir ve tekrar çevrimiçi olmak için SMS kodlarını alabilen yeni bir telefon alabilirsiniz.

Şahsen, birçok seçeneğe sahip olmayı seviyorum, çünkü güvenlik konusunda endişelerim varken kendimi de tanıyorum ve işleri düzenli olarak kaybediyorum veya kırdığımı biliyorum. Daha önce hiç 2FA kullanmayan insanların, 2FA kullanıyorlarsa kendilerini hesaplarından kilitli bulma konusunda çok endişeli olduklarını biliyorum.

2FA Aslında Çok İyi

Herhangi bir güvenlik sisteminin sakıncalarını anlamak her zaman önemlidir, ancak bu sistemi geçersiz kılmaz. 2FA'nın zayıf yönleri olsa da, son derece başarılı oldu.

Yine, sadece Google’a bakmak zorundayız. Şirket, dahili olarak 2FA donanım tuşlarının kullanılmasını istedi ve sonuçlar kendileri için konuşuyor. Google çalışanlarının başarılı hesap devralmaları etkin bir şekilde ortadan kayboldu. Bu, özellikle Google çalışanlarının, teknoloji endüstrisindeki konumlarıyla ve (varsayılan) servetleriyle, hedeflenen saldırılar için birincil olduklarını göz önünde bulundurarak önemlidir. Bu, saldırganların bir saldırıda belirli kişileri hedef almak için büyük çaba harcadığı yerdir. Saldırganın yeterli fonu ve sabrı varsa, nadir ve genellikle başarılıdır.

Google Titan Güvenlik Anahtarı Paketi, USB-A ve Bluetooth anahtarlarını içerir.

Buradaki uyarı, Google’ın belirli bir 2FA türü gerektirdiğidir: donanım güvenlik anahtarları. Bunlar, diğer 2FA şemalarına göre, kimlik avı yapmak veya başka şekilde müdahale etmek çok zor bir avantaja sahiptir. Bazıları imkansız diyebilir, ancak Titanik'e olanları gördüm ve daha iyisini biliyorum.

Yine de, 2FA SMS kodlarını veya doğrulayıcı belirteçleri ele geçirmek için yöntemler oldukça egzotiktir ve gerçekten iyi ölçeklenemez. Bu, sizin gibi ortalama bir kişi üzerinde mümkün olduğunca çabuk ve kolay para kazanmak isteyen ortalama bir suçlu tarafından kullanılma ihtimalinin düşük olduğu anlamına gelir.

Ted'in görüşüne göre: donanım güvenlik anahtarları henüz 2FA yaparken gördüğümüz en güvenli yoldur. Kimlik avı yapmaları çok zordur ve saldırıları çok zordur, ancak doğal zayıflıkları olmasa da. Ayrıca, 2FA donanım anahtarları bir dereceye kadar geleceğe yöneliktir. Pek çok şirket, SMS kodlarından uzaklaşıyor ve bazıları FIDO2 standardını kullanan tamamen donanım 2FA anahtarlarına dayanan şifresiz girişleri bile benimsedi. Şimdi bir donanım anahtarı kullanıyorsanız, gelecek yıllar için güvende olmanız için iyi bir şans var.

Nitrokey FIDO U2F açık kaynaklı güvenlik vaat ediyor.

• İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması
• Google: İki Faktörü Yenebilen Kimlik Avı Saldırıları Yükseliyor Google: İki Faktörü Yenebilen Kimlik Avı Saldırıları Yükseliyor
• SecurityWatch: İki Faktörlü Kimlik Doğrulama ile Nasıl Kilitli Olmayacaksınız SecurityWatch: İki Faktörlü Kimlik Doğrulama ile Nasıl Kilitli Olmayacaksınız

Donanım 2FA anahtarları kadar güvenliyse, daha geniş ekosistem sizi gereksiz yere hesabınızdan alıkoymamak için bazı tavizler verilmesini gerektirir. 2FA, insanların gerçekte kullandıkları bir teknoloji olmalı, yoksa hiç bir şeye değmez.

Seçim göz önüne alındığında, çoğu insanın uygulama ve SMS tabanlı 2FA seçeneklerini kullanacağını düşünüyorum çünkü kurulumu kolay ve etkili bir şekilde ücretsiz. Bunlar mümkün olan en iyi seçenek olmayabilir, ancak çoğu insan için çok iyi çalışıyor. Ancak bu durum yakında değişebilir, ancak Google şimdi Android 7.0 veya daha yeni bir donanım güvenlik anahtarı olarak çalışan bir mobil cihazı kullanmanıza izin verir.

Sınırlamalarına rağmen, 2FA muhtemelen antivirüsten bu yana tüketici güvenliği için en iyi tek şey. İnsanların yaşamlarına çok fazla karmaşıklık eklemeden, en yıkıcı saldırıların bazılarını düzgün ve etkili bir şekilde önler. Ancak 2FA kullanmaya karar veriyorsunuz, sizin için anlamlı bir yöntem seçin. 2FA kullanmamak, biraz daha az harika 2FA tat kullanmaktan çok daha zararlıdır.