İki faktörlü kimlik doğrulama her yerde. Gmail hesabınızda oturum açtığınız andan itibaren PayPal aracılığıyla finansal bilgilerinize erişmek için 2FA, oturum açmanın daha güvenli bir yolu olarak sizi karşılamak için oradadır. Bunu bir PS5 veya Xbox Series X kurarken bile bulabilirsiniz. Heck , büyük ihtimalle bugün alıştınız.
Çok faktörlü kimlik doğrulama olarak da bilinen 2FA, neredeyse her çevrimiçi platform tarafından kullanılan ve birçok düşük seviyeli bilgisayar korsanını izinde durduran ve tüm değerli özel bilgilerinizin ihlal edilmesini önleyen ekstra bir güvenlik katmanıdır.
- 2021-2022'deki en iyi telefon fırsatları
- 2021-2022'deki en iyi akıllı telefonları bulun
Ne yazık ki, bilgisayar korsanlığı taktikleri sonsuza kadar gelişiyor ve tek gereken, zırhta küçük bir delik bulmak ve bir zamanlar kalbinin içeriğine nüfuz edilemez hesapları yağmalamak için kurnaz bir siber suçlu. Ancak, şüphelenmeyen bir kurbanın hesabına erişmek için kodun şifresini çözme konusunda bir vızıltı olmanıza gerek yok.
Aslında, 2022-2023 Verizon Veri İhlali Araştırmaları Raporuna göre, Amerikan ağ operatörünün analiz ettiği 5.250 doğrulanmış güvenlik ihlalinin %61'i çalıntı kimlik bilgilerini içeriyor. Tabii ki, çok faktörlü kimlik doğrulamanın amacı, kötü niyetli aktörlerin süper gizli bir şifre bulsalar bile bir hesaba erişmelerini engellemektir.
Ancak Scar'ın Mufasa'yı tüm zamanların en büyük ihanetlerinden birinde kendi kaderine terk etmesi gibi, güvenlik yöntemi de siber suç faaliyetlerinin temel nedeni olabilir. Gerçek hain mi? Eski telefon numaranız.
Saldırganların size karşı iki faktörlü kimlik doğrulamayı nasıl kolayca kullanabileceğini daha iyi anlamak için çevrimiçi güvenlik yönteminin ne olduğunu ve nasıl çalıştığını bilmek en iyisidir. Yardımcı olacaksa, bu parça boyunca eski telefon numaranızı Scar olarak düşünün.
İki faktörlü kimlik doğrulama nedir?
Çok faktörlü kimlik doğrulama (MFA), bir kullanıcının kimliğini en az iki kanıt aracılığıyla bir web sitesine veya uygulamaya erişmelerine izin vermek için doğrulamak için kullanılan dijital bir kimlik doğrulama yöntemidir. Daha popüler olarak 2FA olarak bilinen iki faktörlü kimlik doğrulama, en yaygın kullanılan yöntemdir.
2FA'nın çalışması için, bir kullanıcının bir hesaba giriş yapabilmesi için en az iki önemli kimlik bilgisine sahip olması gerekir (çok faktörlü genellikle üçten fazla farklı ayrıntı içerir). Bu, yetkisiz bir kullanıcının eline bir parola geçmesi durumunda, ekstra bir koruma düzeyi için özel bir kodun gönderildiği hesaba bağlı bir e-postaya veya telefon numarasına erişmeye devam etmesi gerektiği anlamına gelir.
Örneğin, bir banka, bir kullanıcının hesabına erişmesi için bir kullanıcı adı ve şifre ister, ancak aynı zamanda, bir kullanıcının kimliğini doğrulamak için benzersiz bir kod veya parmak izi tanıma gibi ikinci bir kimlik doğrulama biçimine ihtiyaç duyar. Bu ikinci faktör, bir işlem yapılmadan önce de kullanılabilir.
Yazılım şirketi Ping Identity tarafından açıklandığı gibi, 2FA'nın gerekli kimlik bilgileri üç farklı kategoriye ayrılır: "bildikleriniz", "sahip olduğunuz" ve "ne olduğunuz". "Bildikleriniz" veya bilginiz açısından bu, şifrelerinize, PIN numaranıza veya "annenizin kızlık soyadı nedir?" gibi bir güvenlik sorusuna verilen yanıta bağlıdır. (hiç hatırlamadığım bir şey).
Kimliğinizi yalnızca size özgü bir fiziksel özellikten doğruladığı için "ne olduğunuz" tartışmasız en güvenli kategoridir. Bu genellikle, erişim sağlamak için parmak izi veya yüz taraması gibi biyometrik kimlik doğrulama kullanan iPhone veya Samsung Galaxy telefonu gibi akıllı telefonlarda görülür.
“Sahip olduğunuz” ise, akıllı bir cihazdan akıllı karta kadar her şey olabilen, elinizde ne olduğunu ifade eder. Genel olarak, bu yöntem, bir hesaba erişmeden önce onaylanması gereken SMS yoluyla telefonunuza bir açılır bildirim almak anlamına gelir. İşletmeler için Google Gmail'i kullanan tüm profesyoneller için bu kategoriyle karşılaşmış olacaksınız.
Ne yazık ki, özellikle telefon numarası geri dönüşümünü karışıma attığınızda, bu son kategori endişe kaynağıdır.
Telefon numarası geri dönüşümü
Federal İletişim Komisyonu'na (FCC) göre, ABD'deki 35 milyondan fazla numaranın bağlantısı kesildi ve her yıl yeni bir aboneye yeniden atanarak tekrar kullanılabilir hale geldi. Elbette, sayılar sonsuzdur ve hepsi, ancak bir mobil ağın müşterilerine sunabileceği yalnızca çok sayıda 10 veya 11 basamaklı kombinasyon vardır.
Birleşik Krallık ağ sağlayıcılarına cep telefonu numaraları atayan Birleşik Krallık İletişim Ofisi (Ofcom), kullandığın kadar öde için katı bir "kullan ya da kaybet" politikasına sahip olduğunu belirtiyor (The Evening Standard aracılığıyla) cep telefonu numaraları. Vodafone, yalnızca 90 gün boyunca hiçbir işlem yapılmadığında bir telefon numarasının bağlantısını keser ve geri dönüştürürken, O2 bunu 12 ay sonra yapar.
ABD'de Verizon ve T-Mobile dahil olmak üzere ağ sağlayıcıları, müşterilerin web siteleri veya uygulamaları aracılığıyla çevrimiçi numara değiştirme arayüzlerinde gösterilen mevcut numaraları değiştirmesine ve seçmesine izin verir. Her gün daha fazla birikerek milyonlarca geri dönüştürülmüş telefon numarası mevcut.
Gmail ve Facebook da dahil olmak üzere birçok platform, şifre kurtarma için cep telefonu numaranıza bağlı olduğundan veya ve işte en önemli nokta, iki faktörlü kimlik doğrulaması olduğundan, geri dönüştürülmüş numaralar ilk sahibi olanlara zararlı olabilir.
2FA sizi nasıl riske atar?
Princeton Üniversitesi'nde yapılan bir araştırma, herkesin geri dönüştürülmüş bir telefon numarasını ne kadar kolay elde edebileceğini ve bu numarayı, hesap ele geçirme ve hatta bir hesabı rehin tutarak ve erişim karşılığında fidye isteyerek erişimi reddetme dahil olmak üzere birçok yaygın siber saldırı için kullanabileceğini keşfetti.
Araştırmaya göre, bir saldırgan mevcut numaraları bulabilir ve bunlardan herhangi birinin önceki sahiplerin çevrimiçi hesaplarıyla ilişkili olup olmadığını kontrol edebilir. Saldırganlar, çevrimiçi profillerini görüntüleyerek ve eski numaralarının bağlantılı olup olmadığını kontrol ederek geri dönüştürülmüş numarayı (T-Mobile'da sadece 15 $) satın alabilir ve hesaplardaki şifreyi sıfırlayabilir. 2FA kullanarak, SMS yoluyla gönderilen özel kodu alacak ve girecekler.
Araştırmacılar, iki ABD mobil operatörü aracılığıyla elde ettikleri 259 numarayı test etti ve 171'inin yaygın olarak kullanılan altı web sitesinden en az birinde bağlantılı bir hesabı olduğunu buldu: Amazon, AOL, Facebook, Google, PayPal ve Yahoo. Buna "ters arama saldırısı" denir.
Araştırmacılar, kötü niyetli aktörlerin bir şifreyi sıfırlamak zorunda kalmadan hesapları ele geçirmesine izin veren saldırının başka bir varyasyonunu buldu. Çevrimiçi kişi arama hizmetini kullanma BeenVerified, bir bilgisayar korsanı, geri dönüştürülmüş bir telefon numarası kullanarak bir e-posta adresi arayabilir ve ardından e-posta adreslerinin Pwned mi? kullanarak veri ihlallerine karışıp karışmadığını kontrol edebilir. Olsaydı, saldırgan bir siber suçlu karaborsasından parolayı satın alabilir ve parola sıfırlamaya gerek kalmadan 2FA özellikli bir hesaba girebilir.
Daha da kötüsü, saldırganlar hesabınızı rehin alabilirler. Kötü bir numara, bir bilgisayar korsanının bir telefon numarası gerektiren birkaç çevrimiçi hizmete kaydolmak için bir numara elde ettiğini görür. Tamamlandığında, hizmeti durdururlar, böylece yeni bir abonenin kullanmaya başlaması için numara geri dönüştürülebilir. Yeni kullanıcı aynı hizmetlere kaydolmaya çalıştığında, bilgisayar korsanı 2FA aracılığıyla bilgilendirilir ve hizmeti kullanmanın bir yolunu reddeder. Tehdit aktörü daha sonra kurbandan bu çevrimiçi hizmetleri kullanmak istiyorsa fidye ödemesini isteyecektir.
2FA'yı bu şekilde kullanmak iğrenç, ancak bu olmasını engellemiyor. T-Mobile Aralık ayında araştırmayı gözden geçirdi ve şimdi abonelerine numara değişikliği destek sayfasında banka hesaplarındaki ve sosyal medya profillerindeki iletişim numaralarını güncellemelerini hatırlatıyor. Ancak taşıyıcının tüm gücü bu kadar, yani bilgi sahibi olmayanlar saldırılara açık olacak.
2FA kullanmanın alternatif yolları
Bir şey olursa, telefon numaraları ve 2FA çok iyi gelişmiyor. Ancak iyi haber şu ki, 2FA kullanmayı tercih ederken, yukarıda bahsedilen biyometrik yöntemler veya kimlik doğrulama uygulamaları da dahil olmak üzere artık daha fazla seçenek mevcut.
Ancak, bu seçenekler her zaman mevcut değildir ve bazen çevrimiçi hizmetler size 2FA için yalnızca iki seçenek sunar: telefon numaranız veya e-posta adresiniz. Bilgisayar korsanlarının özel bilgilerinizi karıştırmasını istemiyorsanız, e-posta kimlik doğrulamasını tercih etmek en iyisidir. Tabii ki, e-postalarını her zaman kullanmayan ve zamanla şifrelerini unutabilenler var. Şifre yok, bir kimlik doğrulama kodu almanın hiçbir yolu yok demektir.
Bunu çözmek için bir şifre yöneticisi bulmak en iyisidir. LastPass, ücretsiz katmanlı hizmeti sayesinde yıllardır tercih ediliyordu, ancak kontrol etmeye değer başka yarışmacılar da var.
"Peki ya telefon numaramı 2FA için kullanıyorsam?" sorduğunu duyuyorum. Telefon numaranızı değiştirmeyi düşünüyorsanız, geçiş yapmadan önce telefon numaranızın bağlı olduğu çevrimiçi hizmetlerle bağlantısını kaldırdığınızdan emin olun. Ve zaten geçiş yaptıysanız, hiç beklemediğiniz anda sizi arkadan bıçaklamak için bekleyen Yaralardan (telefon numaraları) kurtulmak için hesaplarınızı güncellemek için zaman ayırmaya değer.
Görünüm
İki faktörlü kimlik doğrulama her yerdedir ve kalıcıdır. Aslında, teknoloji devi “şifresiz daha güvenli bir gelecek” için kefil olurken, Google yakında oturum açarken sizi 2FA kullanmaya zorlayacak. Bu korkunç bir fikir değil, ancak birçok insanın telefon numaralarını kimlik tespiti için kullanma potansiyeli var. Düşük seviyeli bilgisayar korsanlarının bunun sesini sevdiğinden eminiz.
Bunun olmasını önlemek için, 2FA tüm çevrimiçi platformları ele geçirmeye başladığında, tek yapmanız gereken bu makalenin başlığını okumak ve tavsiyemize uymak.