Hesap Güvenliği için 2-faktörlü doğrulama

Hepimizin en az 1 adet e-posta adresi var. Ağırlıklı olarak web tabanlı e-posta sistemlerinden hotmail (ya da yeni ismi ile outlook.com), Gmail ya da Yahoo uzantılı.  Çalıştığımız kurum ve kuruluşlar da iş için bizlere e-posta adresi veriyor. Tüm bu hengame içerisinde bir de akıllı cihazlarımıza tanımlıyoruz posta kutularımızı.

iris security

Tüm bu e-posta karmaşasında bir de diğer sitelerin (alışveriş, forum vb) şifreleri de var ki genelde yapılan en büyük yanlış tüm şifrelerimizi aynı yapmak. Herhangi bir şifremizi kaptırırsak bir bardak soğuk su içebilme riskimiz çok yüksek. Yurtiçi ve dışında yapılan çeşitli araştırmalarda genelde aynı şifreleri ya da birbirine çok benzer şifreler kullanıldığı tespit edilmiş. Bu yazıda, kullanıcı güvenliği için, iki faktörlü doğrulama sistemleri ile ilgili genel bir bilgi vereceğim.

1995 yılından beridir internet ile haşır neşirim. O zamanlar o kadar az site vardı ki, şifre konusunda pek de sıkıntı çıkmıyordu. Hatta Hotmail, Microsoft tarafından daha satın bile alınmamış, 2 MB disk alanına sahip e-posta adreslerimiz ile mutlu mesut yaşıyorduk. Çünkü kimsede daha e-posta gönderme kültürünün olmaması ve inbox’ımızın her zaman BOŞ olmasından dolayı. Ayda yılda 1 kere girerdik.

hotmail logo

Hotmail’in Microsoft satın almadan önceki logosu 🙂

Geçen süre içerisinde internet furyasından ülkemiz de nasibini aldı. Hem yurt içi hem de yurtdışında mantar gibi sistem ve servisler çoğaldı. Her biri için olmasada işime yarayanlar için hesap açtırmak zorunlu oldu. Bir süre ben de bu yazının başındaki gibi her bir site için kendi belirlediğim aynı şifreyi kullanıyordum. Taa ki gereksiz bir hesabımı kaptırana kadar. Hemen hemen tüm hesaplarımdaki şifrelerimi büyük bir hızla değiştirmeye başladım. Baktım ki bu iş olacak gibi değil, eskisi gibi sağa sola (kağıt ortamına) not almak da doğru değil arayışa girdim. Karşıma envai çeşit servis çıktı.

Hemen hemen hepsini denedim ve şifrelerim için artık Lastpass kullanıyorum. Şifre unutma gibi bir derdim de olmuyor. Bankacılık işlemleri dışında (ki onda da güvenlik için mobil imza kullanıyorum) hemen hemen her türlü şifreyi lastpass tutuyor, isterseniz otomatik olarak giriş yaptırıyor siteye, isterseniz kullanıcı adı şifre kısmını dolduruyor siz siteyi açtığınızda. Oldukça faydalı.

lastpass-logo-1

Lastpass. Kullanıp kullanmamayı sizlere bırakıyorum. Ben öneriyorum.

Tabi bu yazımda Lastpass’i anlatmayacağım.

Google, Microsoft ve Apple kendi ekosistemleri için single-sign-on sistemleri kullanmakta. Türkçe meali; “Tek bir hesap ile, o hesaba tanımlanmış tüm uygulamalardan hizmet almak”. Yani her bir ekosistem için tek bir ID.

Basit bir örnek vermek istersem; ağırlıklı olarak google servislerini kullanmaktayım ve birden fazla hesabım var. Ama ana hesabımda hemen hemen tüm verilerimi saklıyorum. Bu ana hesabımı çaldırırsam hakikaten çok ama çok üzülürüm.

Yedek olarak da Microsoft sistemlerini kullanıyorum.

Yukarıda bahsetmiş olduğum nedenden dolayı bu tür ekosistemlerde güvenlik için kullandığım iki güzel uygulama var. Google Authenticator ve Microsoft Account.

Bu iki güzel programı akıllı telefonlarımıza kurduktan sonra kullanmayı düşündüğümüz hesap için, hesap seçeneklerinden “2 faktörlü doğrulama” seçeneğinizi açtıktan sonra artık şifreniz dışında ek bir PIN kodu daha gerekiyor. Bu sayede ortak bilgisayarlarda dilediğiniz gibi hesabınıza erişim sağlayabilirsiniz. İçiniz ferah olsun. Sizin yapmadığınız bir işlemi onaylamazsanız %90 ihtimalle kimse hesabınızı ele geçiremez.


Google Authenticatorgoogle-authenticator

Detaylarını ve kurulumunu

https://support.google.com/accounts/answer/1066447?hl=tr

adresinden alabileceğiniz bu program android cihazınıza kolaylıkla kuruluyor. Tabi kurduktan sonra Google hesabınızda “iki faktörlü doğrulama” seçeneğinizi https://myaccount.google.com adresinden açmanız gerekiyor.

Açtıktan sonra artık Google hesabınıza erişim için hem şifrenizi hem de bu uygulamanın yaratmış olduğu PIN code’unu girmeniz gerekmekte. Sık kullandığınız ve güvenliğinden emin olduğunuz cihazlarda isterseniz PIN Code sordurmayabilirsiniz.

Unutmadan belirteyim, bu sistemi kullanabilmeniz için mutlaka ama mutlaka cep telefonunuzu onaylatmanız gerekiyor Google’a.

Yukarıda da bahsettim, bu sayede Google hesabınızın dijital hırsızların eline geçmesini engelleyebilirsiniz. Google Authenticator sadece Google için kullanılmıyor tabi;

Sürekli olarak yeni servisler de ekleniyor tabi bunları da sık sık takip etmenizi öneririm. Ben şimdilik Google ve Lastpass hesaplarım için Google Authenticator kullanıyorum.

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2


 

Microsoft Account

microsoft-account

Microsoft’ta ekosistem kararı aldıktan sonra ciddi anlamda güvenliğe (gülmeyin) yatırım yapmaya başladı. Bu uygulamayı da sadece Microsoft hesabı için kullanmaktayım. Google Authenticator’dan daha iyi bir yapısı var ve Android ile daha entegre. Bildirim çubuğunda KABUL ya da RED etme seçenekleri var ama Google tarafında 6 basamaklı rakamları girmeniz gerekmekte. Yapı itibariyle benzer çalışıyor. Ama sadece rakam değil harfleri de kullanıyor Microsoft. Kullanım basitliğinden dolayı daha işlevsel buluyorum bu uygulamayı da.

https://play.google.com/store/apps/details?id=com.microsoft.msa.authenticator


İki faktörlü doğrulama konusunda çekinceleriniz olmasın. Bilgiye erişim konusunda büyük açlık hisseden bazı kesimler için bu tür güvenlik önlemi almanızı önermekteyim. Ağırlıklı olarak Google ve Microsoft hesapları kullanıyorsanız bu önlemler hesaplarınızın güvenliği için önemli.

Son bir şey daha…

Lastpass’in masterpassword kısmındaki doğrulamayı bile ben Google Authenticator ile yapıyorum. Yani Lastpass’in master passeord’ümü biri ele geçirse bile sisteme girmek için 2 faktörlü doğrulama gerektirmekte… Güvenliğin güvenliği gibi bir şey oldu ama hadi neyse 🙂