Kimlik Doğrulama Yöntemleri: Şifreden Passkey’e Güvenlik Merdiveni
Parola tek başına yeterli değil. SMS, e-posta kodu, authenticator ve passkey — her biri bir öncekinden güçlü. Bu merdiveni basamak basamak çıkın ve hangi hesabın hangi katmanı hak ettiğini öğrenin.
EvilMail Team4 Temmuz 20269 dk okuma
Uzun yıllar boyunca bir hesabın tek bekçisi vardı: parola. Onu bilen içeri girerdi, bilmeyen giremezdi. Sorun şu ki paroların çalınması, tahmin edilmesi ve sızması şaşırtıcı derecede kolay — ve tek bir bekçi düştüğünde arkasındaki her şey açığa çıkar. İşte bu yüzden modern güvenlik, tek bir duvar yerine bir merdiven kurar: her basamağı bir öncekinden daha güçlü, birbirini tamamlayan katmanlar.
Bu yazıda o merdiveni basamak basamak çıkacağız. Her yöntemin nasıl çalıştığını, nerede zayıf olduğunu ve hangi hesap için hangisinin yeterli olduğunu göreceksiniz. Amaç sizi paranoyaya sürüklemek değil — en değerli hesaplarınızı en güçlü basamağa taşırken, gerisi için gereğinden fazla zahmete girmemenizi sağlamak.
Neden merdiven?
Güvenlik katmanlarının mantığı basittir: bir saldırganın hesabınıza girmesi için tek bir engeli değil, birden fazla bağımsız engeli aynı anda aşması gerekmelidir. Parolanız sızsa bile, ikinci bir katman varsa saldırgan hâlâ kapının dışındadır. Aşağıdaki merdiven, en zayıf yöntemden en güçlüsüne doğru bu katmanları sıralıyor:
Kimlik doğrulama güvenlik merdiveni başlıklı el çizimi. En zayıftan en güçlüye doğru: sadece şifre (tek engel, sızarsa her şey biter), SMS kodu (SIM-swap saldırısına açık), e-posta kodu yani OTP (posta kutun kadar güvenli), authenticator uygulaması yani TOTP (çevrimdışı üretilir, koda ihtiyaç yok) ve passkey veya donanım anahtarı (phishing'e dayanıklı, sır paylaşılmaz). Solda güvenlik artar yönünde yukarı bir ok var.
Şimdi her basamağı tek tek ele alalım.
1. Sadece şifre — en zayıf basamak
Tek bir sır, tek bir engel. Sorun sırrın kendisinde değil, tek başına olmasında: bir veri ihlalinde sızarsa, aynı parolayı başka yerlerde de kullandıysanız (çoğumuz kullanırız), saldırgan tüm hesaplarınızı sırayla dener. Buna "credential stuffing" denir ve otomatiktir. Parola gereklidir ama asla yeterli değildir.
2. SMS kodu — kolay ama kırılgan
Telefonunuza gelen altı haneli kod. Hiç yoktan iyidir ve kurulumu kolaydır. Ama ciddi bir zaafı vardır: SIM-swap saldırısı. Saldırgan operatörünüzü ikna edip numaranızı kendi SIM kartına taşırsa, kodlarınız artık onun telefonuna düşer. Yüksek değerli hesaplar için SMS'e güvenmek risklidir.
3. E-posta kodu (OTP) — posta kutunuz kadar güvenli
Tek kullanımlık kod bu kez e-postanıza gelir. SMS'ten daha esnektir ve SIM-swap'ten etkilenmez. Ancak zinciri kendi posta kutunuza kaydırır: e-posta OTP, yalnızca o gelen kutusu kadar güvenlidir. E-posta hesabınız ele geçirilirse, ona bağlı tüm kodlar da ele geçirilir. Bu yüzden e-posta hesabınızın kendisi bu merdivenin en üst basamaklarıyla korunmalıdır.
4. Authenticator / TOTP — çevrimdışı ve daha dirençli
Telefonunuzdaki bir uygulama (Google Authenticator, Authy ve benzerleri), paylaşılan bir sır ile o anki zamandan her 30 saniyede bir yeni kod üretir. Kritik fark: hiçbir kod bir yere gönderilmez. Araya girilecek bir SMS veya e-posta yoktur; kod cihazınızda, çevrimdışı doğar. Bu, onu SMS ve e-posta kodlarından belirgin şekilde daha güvenli kılar.
5. Passkey / donanım anahtarı — phishing'in yenildiği yer
Merdivenin zirvesi. Passkey'ler (ve YubiKey gibi donanım anahtarları) açık anahtarlı kriptografi kullanır: cihazınızda gizli bir anahtar durur ve hiçbir zaman paylaşılmaz — ne sunucuyla, ne sizinle, ne de kimseyle. Daha da önemlisi, hangi siteye giriş yaptığınızı doğrularlar. Bu yüzden sahte bir kimlik avı sitesi sizi kandırıp giriş yaptırsa bile, passkey o sahte alan adı için çalışmaz. Kısacası: phishing'e yapısal olarak dayanıklıdır.
Neden phishing tüm kodları yener — ama passkey'i yenemez
Buradaki asıl içgörü şudur: SMS, e-posta ve authenticator kodlarının hepsi paylaşılabilir sırlardır. Sizi kandırıp bir kodu sahte bir siteye girmeye ikna eden bir saldırgan, o kodu anında gerçek sitede kullanabilir. Kod ne kadar güçlü üretilirse üretilsin, siz onu yanlış ele teslim ettiğiniz an değerini yitirir.
Passkey bu oyunu bozar çünkü hiçbir şey teslim etmezsiniz — cihazınız, kriptografik olarak, yalnızca gerçek siteyle konuşur. İşte bu yüzden güvenlik uzmanları uzun vadede passkey'leri parolanın gerçek halefi olarak görüyor.
Hangi basamak sizin için yeterli?
Her hesap için en üst basamağa çıkmanız gerekmez — ama en değerlileri için gerekir. Doğru seçim, hesabın değerine ve sizi ne kadar cazip bir hedef yaptığına bağlıdır:
Hangi doğrulamayı seçmeli başlıklı el çizimi karar akışı. Hesabın değerine göre üç yol: düşük değerli hesaplar (forum, deneme, tek seferlik) için e-posta OTP yeter; orta değerli hesaplar (alışveriş, sosyal medya) için authenticator ekle; yüksek değerli hesaplar (banka, e-posta, kripto) için passkey veya donanım anahtarı şart. Bir not: en değerli hesabın genelde e-postandır çünkü diğer her şeyin şifre sıfırlaması oraya düşer, onu en güçlü yöntemle koru.
Unutulan halka: e-posta hesabınız
İnsanların çoğu bankasını iki faktörle korur ama e-posta hesabını yalnızca bir parolayla bırakır. Bu, kasayı çelik kapıyla kilitleyip anahtarı paspasın altına koymaya benzer. Çünkü e-posta hesabınız, diğer neredeyse tüm hesaplarınızın kurtarma zincirinin başlangıcıdır.
Bir saldırgan e-postanıza girerse, tek tek diğer hesaplarınızda "şifremi unuttum" der, sıfırlama bağlantıları gelen kutunuza düşer ve dominolar arka arkaya devrilir. Bu yüzden hangi merdiveni kurarsanız kurun, ilk sağlamlaştırmanız gereken basamak e-posta hesabınızın kendisidir — ideal olarak bir passkey veya authenticator ile.
Peki tek kullanımlık e-posta bu resmin neresinde?
Tek kullanımlık adresler, doğrulama kodlarını almak için mükemmel bir alıcıdır — ama yalnızca düşük riskli hesaplar için. Bir ürünü denerken gelen kodu tek kullanımlık bir kutuda almak son derece mantıklıdır. Ancak bankanızın veya asıl e-posta hesabınızın ikinci faktörünü asla buharlaşan bir kutuya bağlamayın. Doğrulamayı alan kutu, koruduğu şey kadar kalıcı ve güvenli olmalıdır.
Özet
Güvenlik bir duvar değil, birbirini tamamlayan katmanlardan oluşan bir merdivendir.
SMS, e-posta ve authenticator kodları paylaşılabilir sırlardır; phishing bunları kandırabilir. Passkey paylaşılabilir bir sır içermez, bu yüzden phishing'e dayanıklıdır.
Hesabın değeri arttıkça merdivende yukarı çıkın — banka, e-posta ve kripto için passkey hedefleyin.
En kritik hesabınız genelde e-postanızdır; onu her şeyden önce koruyun. Tek kullanımlık adresleri yalnızca düşük riskli doğrulamalar için kullanın.
Merdiveni bir kez gördüğünüzde, soru "2FA açayım mı" olmaktan çıkar; "bu hesap hangi basamağı hak ediyor" olur — ve en değerli kapılarınız, açılması gerçekten zor olanlar olur.