Hızlı Cevap

İki adımlı doğrulama (2FA/MFA), parolanıza ek olarak ikinci bir kanıt isteyerek hesabınızı korur. En zayıf yöntem e-posta kodu, en güçlü yöntem ise passkey ve donanım güvenlik anahtarı (FIDO2) yöntemleridir; çünkü bunlar kriptografik olarak alan adına bağlıdır ve oltalanamaz. SMS kodu hiç korumadan iyidir ama SIM swap ve gerçek zamanlı oltalamaya açıktır. Pratik sıralama (en güçlüden en zayıfa): passkey ≈ donanım anahtarı > authenticator/TOTP uygulaması > push onayı > SMS kodu > e-posta kodu. Önerimiz: kritik hesaplarda (e-posta, banka, kurumsal giriş) passkey veya donanım anahtarı kullanın, en azından authenticator uygulamasına geçin ve kurtarma kodlarınızı güvenli saklayın.

Neden Parola Tek Başına Yetmez?

Parolalar tek bir sırra dayanır. O sır bir kez sızdığında, hesabınız savunmasız kalır. Parolalar şu yollarla ele geçirilir:

  • Veri sızıntıları: Bir sitede kullandığınız parola sızar, aynı parolayı başka yerde kullandıysanız tüm hesaplarınız düşer (parola tekrarı).
  • Oltalama (phishing): Sahte giriş sayfaları parolanızı kopyalar.
  • Kaba kuvvet ve sözlük saldırıları: Zayıf parolalar saniyeler içinde kırılır.
  • Zararlı yazılım: Cihazınızdaki keylogger tuş vuruşlarınızı kaydeder.

İki adımlı doğrulama, parola çalınsa bile saldırganın ikinci kanıtı sağlayamamasını hedefler. Yani 2FA, parolanın tek arıza noktası olmasını engeller. Bu nedenle 2FA bireysel kullanıcı için de, kurum için de artık tercih değil zorunluluktur.

Parolanın çalınması çoğu zaman oltalama ile başlar; sahte e-postaları tanımak için oltalama e-postası nasıl anlaşılır rehberimize göz atabilirsiniz.

2FA Yöntemleri: Tek Tek İnceleme

E-posta Kodu (En Zayıf)

Giriş sırasında e-postanıza gönderilen kod, ikinci faktör sayılır ama gerçek bir koruma katmanı değildir. Çünkü saldırgan zaten e-posta hesabınıza erişmişse (en sık hedef budur), kodu da görür. E-posta kodu, hesabı koruyacak kanaldan farklı bir kanal sunmaz. Mümkün olan her yerde başka bir yöntemle değiştirin.

SMS Kodu (Kolay Ama Riskli)

SMS ile gelen tek kullanımlık kod en yaygın yöntemdir çünkü herkesin telefonu vardır ve kurulumu basittir. Hiç 2FA olmamasından kesinlikle daha iyidir. Ancak iki ciddi zaafı vardır:

  • SIM swap (SIM takası): Saldırgan, operatörü sosyal mühendislikle kandırarak veya bir çalışanı satın alarak numaranızı kendi SIM kartına taşıtır. O andan itibaren tüm SMS kodlarınız saldırgana gider.
  • Gerçek zamanlı oltalama: Sahte sayfa, girdiğiniz SMS kodunu anında gerçek siteye iletir ve oturumunuzu çalar.

SMS, telefon şebekesine ve operatör güvenliğine bağımlıdır; bu yüzden kritik hesaplar için ideal değildir. WhatsApp gibi hizmetler de SMS doğrulamaya dayandığından risk altındadır; WhatsApp hesabım ele geçirildi yazımızda bu senaryoyu ele aldık.

Authenticator / TOTP Uygulaması (Sağlam Orta Yol)

Google Authenticator, Microsoft Authenticator veya Authy gibi uygulamalar, her 30 saniyede bir değişen 6 haneli kodlar üretir (TOTP standardı). Avantajları:

  • Çevrimdışı çalışır: Şebekeye veya internete ihtiyaç duymaz, kod cihazınızda üretilir.
  • SIM swap'a dayanıklıdır: Numaranız çalınsa bile kodlar uygulamada kalır.
  • Ücretsiz ve kolay kurulur: QR kod okutarak saniyeler içinde aktive edilir.

Zayıf yanı şudur: TOTP kodu oltalanabilir. Sahte bir sayfaya kodu kendiniz girerseniz, saldırgan onu 30 saniye içinde gerçek siteye iletip oturum açabilir. Yine de SMS'e göre büyük bir sıçramadır ve çoğu birey için en iyi pratik dengeyi sunar.

Push Onayı (Pratik Ama Yorgunluk Riski)

Bazı uygulamalar kod yerine telefonunuza "Giriş yapmak istiyor musunuz? Onayla / Reddet" bildirimi gönderir. Kullanımı çok kolaydır. Ancak MFA fatigue (MFA yorgunluğu) denen bir saldırıya açıktır: saldırgan parolanızı bildiği için arka arkaya onlarca push gönderir, kullanıcı bıkıp veya yanlışlıkla "Onayla" der. Modern push sistemleri bu riski azaltmak için ekranda iki haneli sayı eşleştirmesi (number matching) kullanır; bu özelliği destekleyen uygulamalar daha güvenlidir.

Donanım Güvenlik Anahtarı (FIDO2 - Oltalamaya Dayanıklı)

YubiKey gibi fiziksel anahtarlar USB, NFC veya Bluetooth ile bağlanır. FIDO2/WebAuthn standardını kullanırlar ve oyunu değiştiren özellikleri şudur: anahtar, oturum açtığınız alan adına kriptografik olarak bağlıdır. Sahte bir sitede anahtar çalışmaz, çünkü alan adı eşleşmez. Bu yüzden:

  • Oltalama saldırıları işe yaramaz; kodu "yanlış yere girme" diye bir durum yoktur.
  • SIM swap tamamen anlamsız hale gelir.
  • Sır cihazdan asla çıkmaz; sunucu yalnızca açık anahtarı bilir.

Dezavantajı, anahtarın bir maliyetinin olması ve yanınızda taşımanız gerekmesidir. Kurumlar ve yüksek riskli bireyler için altın standarttır.

Passkey (Parolasız, Geleceğin Standardı)

Passkey, FIDO2 teknolojisini telefonunuza, bilgisayarınıza veya parola yöneticinize gömülmüş şekilde sunar. Parolayı tamamen ortadan kaldırır; giriş için yüz tanıma, parmak izi veya cihaz PIN'i yeterlidir. Neden oltalanamaz?

  • Her passkey bir genel/özel anahtar çiftidir. Özel anahtar cihazınızdan asla çıkmaz, hiçbir sunucuya gönderilmez.
  • Passkey, kayıt sırasındaki alan adına bağlanır. Sahte g00gle.com gibi bir sayfada tarayıcı/işletim sistemi passkey'i sunmaz bile.
  • Aktarılacak veya yanlışlıkla girilecek bir "kod" yoktur; kimlik doğrulama tamamen kriptografiktir.

Apple, Google ve Microsoft passkey'i platformlarına yerleştirdi ve bulut üzerinden cihazlar arası senkronize edilebiliyor. Bu, hem üst düzey güvenlik hem de SMS kadar kolay bir kullanım sunar. Geleceğin standardı budur.

Karşılaştırma Tablosu

Yöntem Güvenlik Kullanım Kolaylığı Oltalama Direnci SIM Swap Direnci
E-posta kodu Çok düşük Yüksek Yok Var
SMS kodu Düşük Çok yüksek Yok Yok
Authenticator (TOTP) Orta-Yüksek Yüksek Zayıf Tam
Push onayı Orta-Yüksek Çok yüksek Orta Tam
Donanım anahtarı (FIDO2) Çok yüksek Orta Tam Tam
Passkey Çok yüksek Yüksek Tam Tam

2FA Nasıl Atlatılır? SIM Swap ve Gerçek Zamanlı Oltalama

2FA'nın da aşılabileceğini bilmek, doğru yöntemi seçmenizi sağlar.

SIM swap saldırısı: Saldırgan operatöre kimliğinizi taklit ederek (kimlik bilgileriniz sızmışsa kolaylaşır) numaranızı yeni bir SIM'e taşıtır. Telefonunuz aniden şebekeyi kaybeder, saldırgan ise tüm SMS kodlarınızı alır. Bu saldırı yalnızca SMS tabanlı 2FA'yı kırar; authenticator, donanım anahtarı ve passkey bundan etkilenmez.

Gerçek zamanlı oltalama (adversary-in-the-middle): Saldırgan, gerçek siteyle aranızda duran sahte bir proxy sayfası kurar. Siz parolayı ve SMS/TOTP kodunu sahte sayfaya girersiniz, sayfa bunları anında gerçek siteye iletip oturum çerezinizi çalar. Bu saldırı SMS ve authenticator kodlarını da aşar. Tek gerçek savunma, kriptografik olarak alan adına bağlı olan FIDO2 donanım anahtarı veya passkey kullanmaktır; çünkü bunlarda iletilecek bir "kod" yoktur ve sahte alan adı eşleşmez.

Hesabınız bu yollarla ele geçirildiyse hızlı hareket etmek kritiktir; Instagram hesabım çalındı geri alma ve telefonum hacklendi mi yazılarımız ilk adımları anlatır.

Kurtarma Kodları ve Yedekleme

Her 2FA yöntemi, bir gün cihazınızı kaybetme ihtimaline karşı yedek gerektirir. Çoğu hizmet, 2FA'yı açarken size tek kullanımlık kurtarma kodları verir. Bunları:

  • Ekran görüntüsü olarak telefonda bırakmayın.
  • Bir parola yöneticisinde, şifreli bir notta veya basılı olarak fiziksel bir kasada saklayın.
  • Bir kez kullandığınız kodun üstünü çizin; her kod tek kullanımlıktır.

Kritik hesaplarda iki ayrı yöntem kaydetmek en güvenli yaklaşımdır: örneğin bir donanım anahtarı artı bir yedek passkey. Böylece biri kaybolduğunda kilitlenip kalmazsınız.

Kayıp Telefon veya Anahtar Senaryosu

  • Telefonunuzu kaybettiniz ve authenticator oradaydı: Authy gibi bulut yedekli uygulamalar veya senkronize passkey'ler yeni cihaza taşınır. Yedeği olmayan TOTP'lerde kurtarma kodlarınızla giriş yapıp 2FA'yı yeni cihaza yeniden kurun.
  • Donanım anahtarınızı kaybettiniz: Bu yüzden her zaman ikinci bir anahtar kaydetmek önerilir. İkincisiyle girin, kayıp anahtarı hesap ayarlarından kaldırın.
  • Hiç yedeğiniz yok: Hizmetin hesap kurtarma sürecini başlatmanız gerekir; bu genellikle yavaş ve kimlik doğrulama gerektiren bir süreçtir. Bu durumu önlemek için yedeği baştan ayarlayın.

Birey ve Kurum İçin Öneriler

Bireysel kullanıcı için:

  1. E-posta ve SMS 2FA'dan, en azından bir authenticator uygulamasına geçin.
  2. E-posta, banka ve sosyal medya gibi kritik hesaplarda passkey'i etkinleştirin.
  3. Kurtarma kodlarınızı güvenli bir parola yöneticisinde saklayın.

Kurum için:

  1. Yönetici ve ayrıcalıklı hesaplarda oltalamaya dayanıklı 2FA'yı (FIDO2 anahtar veya passkey) zorunlu kılın.
  2. SMS tabanlı 2FA'yı kademeli olarak kaldırın; mecbur kalınırsa yalnızca düşük riskli sistemlerde bırakın.
  3. Push kullanılıyorsa number matching özelliğini açın ve MFA yorgunluğu farkındalığı eğitimi verin.
  4. Kurtarma süreçlerini ve yedek anahtar dağıtımını politika haline getirin.

Sık Sorulan Sorular (SSS)

SMS ile gelen 2FA kodu güvenli mi? SMS, hiç 2FA olmamasından iyidir ama en zayıf gerçek yöntemlerden biridir. SIM swap ve gerçek zamanlı oltalamayla aşılabilir. Mümkünse authenticator uygulamasına veya passkey'e geçin.

Passkey neden oltalanamaz? Passkey, kayıtlı olduğu alan adına kriptografik olarak bağlıdır ve özel anahtar cihazınızdan asla çıkmaz. Sahte bir sitede tarayıcı passkey'i sunmaz; aktarılacak veya çalınacak bir kod yoktur.

Authenticator uygulaması internetsiz çalışır mı? Evet. TOTP kodları cihazınızda zamana bağlı olarak üretilir; internet veya şebeke gerekmez. Bu, onu SMS'e göre çok daha dayanıklı kılar.

Telefonumu kaybedersem hesaplarıma giremez miyim? Kurtarma kodlarınız veya ikinci bir yöntem (yedek anahtar, senkronize passkey) varsa girebilirsiniz. Bu yüzden 2FA'yı açarken mutlaka yedek ayarlayın.

Bir hesapta kaç farklı 2FA yöntemi olmalı? Kritik hesaplarda en az iki yöntem önerilir: ana yöntem (passkey veya donanım anahtarı) ve bir yedek. Böylece biri kaybolursa kilitlenmezsiniz.

DSET Hakkında

DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe Çankaya'da faaliyet gösteren bir siber güvenlik firmasıdır. Hesap güvenliği, ele geçirilmiş hesap kurtarma ve kurumsal 2FA mimarisi konularında destek sunuyoruz. İlk teşhis ücretsizdir. Bize ulaşın: +90 536 662 38 09.

Kaynaklar