Brian Curtis
0 
3964
942
Bugünlerde ziyaret ettiğiniz her web sitesi, iki faktörlü kimlik doğrulaması (2FA) kullanmanız için sizi cesaretlendirmeye çalışıyor..
2FA kullanmanın en yaygın yollarından biri mobil cihazınızdan benzersiz bir kod girmektir. Genellikle, kodu bir metin mesajıyla alırsınız veya bir tane oluşturmak için üçüncü taraf bir 2FA uygulaması kullanırsınız..
Her iki yöntem de kolaylıklarından dolayı kod kullanmanın popüler yollarından biridir. Bununla birlikte, her iki yöntem de güvenlik açısından zayıf. Ve 2FA kodunuz yalnızca onu sağlamak için kullanılan teknoloji kadar güvenli olduğundan, zayıf yönleri önemlidir..
Öyleyse, kodlarınıza erişmek için SMS ve üçüncü taraf uygulamaları kullanmanın nesi yanlış? Parolasız Giriş nedir? Aslında Güvenli mi? Parolasız Giriş nedir? Aslında Güvenli mi? Parolasız girişler geliyor. Güvende mi? Parolasız girişler nasıl çalışır? İşte bilmeniz gerekenler. ? Ve daha güvenli olan eşit derecede uygun bir alternatif var mı? Her şeyi açıklayacağız. Daha fazlasını öğrenmek için okumaya devam edin.
İki Faktörlü Kimlik Doğrulama Nasıl Çalışır?
İki faktörlü kimlik doğrulamanın nasıl çalıştığını tartışmak için bir dakikanızı ayıralım. Teknolojinin arkasındaki mekaniği anlamadan, bu makalenin geri kalanı pek bir anlam ifade etmeyecek.
Genel olarak, 2FA, hesabınıza ekstra bir güvenlik katmanı ekler 2FA ile Hesaplarınızı Nasıl Güvende Tutarsınız: Gmail, Outlook ve Daha Fazlası 2FA ile Hesaplarınızı Nasıl Güvende Tutarsınız: Gmail, Outlook ve Daha Fazlası e-postanız ve sosyal ağlarınız? Çevrimiçi güvende olmak için bilmeniz gerekenler burada. . Çok faktörlü kimlik doğrulama olarak da bilinen oturum açma kimlik bilgileri yalnızca bir şifreden değil, aynı zamanda yalnızca hesabın meşru sahibinin erişebildiği ikinci bir bilgi parçasından da oluşur..
2FA, birçok farklı formda gelir: İki Faktörlü Kimlik Doğrulama Tiplerinin ve Yöntemlerinin Artıları ve Eksileri İki Faktörlü Kimlik Doğrulama Tiplerinin ve Yöntemlerinin Artıları ve Eksileri İki faktörlü kimlik doğrulama yöntemleri eşit yaratılmaz. Bazıları gözle görülür şekilde daha güvenli ve daha güvenli. İşte en yaygın yöntemlere ve hangilerinin kişisel gereksinimlerinizi en iyi karşıladığına bir göz atın. . En temel düzeyde, güvenlik soruları kadar basit bir şey olabilir (çünkü annenizin kızlık soyadını başka hiç kimse bilmiyor olabilir. Neden Şifre Yanıtlıyorsunuz? Güvenlik Soruları Yanlış Neden Cevaplıyorsunuz? hesap güvenlik soruları mı? Dürüst cevaplar maalesef dürüstlüğünüz çevrimiçi zırhınızda bir sorun yaratabilir. Güvenlik sorularını veya en sevdiğiniz evcil hayvanı nasıl güvenle yanıtlayacağınıza bir göz atalım. Daha karmaşık sonuçta, retina taraması veya parmak izi gibi biyometrik bir kimlik olabilir.
SMS Doğrulamadan Neden Kaçınmalısınız?
SMS, 2FA kodlarına erişmenin ve kullanmanın en kolay yolu olarak bir konuma sahiptir. Bir site iki faktörlü kimlik doğrulama girişleri sağlıyorsa, neredeyse kesinlikle seçeneklerden biri olarak SMS’i sunar..
Ancak SMS, 2FA'yı kullanmak için güvenli bir yol değildir. İki önemli güvenlik açığı var.
İlk olarak, teknoloji SIM Swap saldırılarına duyarlı. Bir bilgisayar korsanının SIM Takası yapması pek bir şey gerektirmez. Sosyal güvenlik numaranız gibi başka bir kişisel bilgiye erişebiliyorlarsa, operatörünüzü arayabilir ve numaranızı yeni bir SIM karta taşıyabilirler..
İkincisi, hackerlar SMS mesajlarını durdurma. Her şey şimdi tarihli Sinyalizasyon Sistemi No. 7 (SS7) telefon yönlendirme sistemine geri dönüyor. Metodoloji 1975 yılında yeniden tasarlandı, ancak hala aramaları bağlamak ve bağlantılarını kesmek için neredeyse global olarak kullanılıyor. Ayrıca, sayı çevirileri, ön ödemeli faturalandırma ve önemli ölçüde SMS mesajlarını da yönetir..
Şaşırtıcı olmayan bir şekilde, 1975’teki bu teknoloji güvenlik açıklarıyla doludur. Güvenlik uzmanı Bruce Schneier’in kusurları şu şekilde açıkladı:
“Saldırganlar bir SS7 portalına erişebiliyorsa, konuşmalarınızı çevrimiçi bir kayıt cihazına yönlendirebilir ve aramayı istediğiniz yere yönlendirebilirler […] İyi donanımlı bir suçlu, doğrulama iletilerinizi alıp kullanmadan önce kullanabilir. onları bile gördüm.”
Elbette, bir siber suçlunun Facebook'unuzu hacklediğini keşfetme Facebook Hesabınızın Hacklenip Olmadığını Bulma Nasıl Yapılır? Facebook Hesabınız Hacklendiyse Nasıl Bulunacağını Keşfetme Facebook çok fazla veri içeren, hesabınızı güvende tutmanız gerekir. İşte Facebook'unuzun hacklenip etkilenmediğini öğrenmek için. hesap ideal olmaktan uzak. Fakat diğer 2FA kullanımlarını düşündüğünüzde durum daha da korkutucu. Bir siber suçlu, çevrimiçi bankacılığınızda kullandığınız kodları çalabilir veya hatta para transferlerini başlatabilir ve bile başlatabilir: Arkadaşlarınıza Para Göndermek İçin En İyi 6 Arkadaşa Para Göndermek İçin En İyi 6 Uygulama Arkadaşlara para göndermek için En İyi 6 Uygulama, dakika içinde para göndermek için bu harika mobil uygulamaları kullanın. .
Ayrıca, Schneier, SS7 ağına herkesin 1000 $ civarında bir erişim satın alabileceğini de iddia ediyor. Erişime girdikten sonra, bir yönlendirme isteği gönderebilirler. Sorunu tamamlamak için, ağ isteğin kaynağını doğrulayamayabilir.
Unutmayın, SMS yoluyla iki faktörlü kimlik doğrulama kullanmanın 2FA'yı devre dışı bırakmaktan daha iyi olduğunu unutmayın. Ve muhtemelen mağdur olmanız pek mümkün değildir. Ancak, biraz endişe duymaya başlarsanız, okumaya devam etmeniz gerekir. Birçok kişi SMS'in güvensiz olduğunu kabul etmekte ve bunun yerine üçüncü taraf uygulamalara başvurmaktadır..
Ancak bu daha iyi olmayabilir.
Neden 2FA Uygulamalarından Kaçınmalısınız?
2FA kodlarını kullanmanın diğer yaygın yolu, özel bir akıllı telefon uygulaması yüklemektir. Aralarından seçim yapabileceğiniz çok şey var. Google Authenticator tartışmasız en tanınabilir, ancak mutlaka en iyisi değil. Authy, Authenticator Plus ve Duo'ya göz atabileceğiniz birçok alternatif var..
Ancak uzman 2FA uygulamaları ne kadar güvenli? En büyük zayıflıkları gizli anahtara güvenme.
Bir saniye geri adım atalım. Farkında değilseniz, uygulamaların birçoğuna ilk kez kaydolduğunuzda, bir gizli anahtar girmeniz gerekir. Sır, uygulamanın sağlayıcısı ile aranızda paylaşılıyor.
Bir siteye eriştiğinizde, uygulamanın oluşturduğu kod, anahtarınızın ve geçerli zamanın kombinasyonuna dayanır. Aynı anda, sunucu aynı bilgiyi kullanarak bir kod üretiyor. İki kodun erişim izni için eşleşmesi gerekir. Kulağa mantıklı geliyor.
Peki neden anahtarlar zayıf nokta? Peki, bir siber suçlu bir şirketin şifresini ve sırlarını veritabanına erişmeyi başarırsa ne olur? Her hesap savunmasız olacaktı-saldırgan gelip gidebilirdi Başka Birinin Facebook Hesabınıza Erişip Erişmediğini Kontrol Etme Başka Birinin Facebook Hesabınıza Erişip Vermediğini Kontrol Etme Birisi sizin hesabınız olmadan Facebook hesabınıza erişip erişemediğini hem sinirli hem de endişe vericidir bilgi. İşte ihlal edilip edilmediğini bilmek. istediğinde.
İkincisi, sır ya düz metin olarak ya da bir QR kodu olarak gösterilir; Bu bir karma ile kullanılamaz veya tuz kullanılamaz Tüm Bu MD5 Karma Maddeleri Gerçekten Demektir [Teknoloji Açıklanır] Tüm Bu MD5 Karma Maddeleri Aslında Demektir [Teknoloji Açıklaması] İşte tam bir MD5 tükenmesi, karma ve bilgisayarlara genel bir bakış ve kriptografi. . Muhtemelen şirketin sunucularında da düz metin olarak bulunur.
Gizli anahtar, uzman uygulamaların kullandığı Zamana Dayalı Bir Kerelik Parola'daki (TOTP) temel kusurdur. Fiziksel U2F anahtarının her zaman daha güvenli bir seçenek olmasının nedeni budur..
2FA Uygulamaları için Tasarım ve Güvenlikteki Hatalar
Elbette, bir siber suçlunun üçüncü taraf bir uygulamanın gerekli veritabanlarını hackleme olasılığı oldukça düşük. Ancak uygulamanız, tasarımındaki temel güvenlik kusurlarından da zarar görebilir.
Popüler parola yöneticisi LastPass 8 LastPass Güvenliğinizi güçlendirmek için kolay yollar LastPass Güvenliğinizi güçlendirmek için 8 kolay yol LastPass Güvenliğinizi güçlendirmek için kolay yollar Pek çok çevrimiçi şifrenizi yönetmek için LastPass kullanıyor olabilirsiniz, fakat doğru kullanıyor musunuz? LastPass hesabınızı daha da güvenli hale getirmek için atabileceğiniz sekiz adım. Aralık 2017’de kurban düştü. Bir programcının Orta’daki blog yazısında parmak izi, şifre ya da diğer güvenlik önlemleri alınmadan 2FA gizli tuşlarına erişilebileceğini açıkladı.
Çözüm, karmaşık bile değildi. LastPass Authenticator uygulamasının ayarlar etkinliğine (com.lastpass.authenticator.activities.SettingsActivity) erişerek, uygulamanın ayarlar bölmesine herhangi bir kontrol olmadan girilebilir. Oradan basabilirsin Geri tüm 2FA kodlarına erişmek için bir kez.
LastPass artık bu sorunu çözdü, ancak sorular hala devam ediyor. Programcıya göre, LastPass'a konuyu yedi aydır anlatmaya çalıştı ama şirket hiçbir zaman düzelmedi. Kaç tane üçüncü parti 2FA uygulaması güvensiz? Peki geliştiriciler düzeltme ekini bilmekten, ancak gecikmeyi mi biliyor? Ayrıca, Facebook'ta kod oluşturucunuza erişiminizi kaybetme söz konusu olduğunda, Kod Oluşturucuya Erişimi Kaybederseniz Facebook'a Nasıl Giriş Yapabilirsiniz Kod Oluşturucuya Erişimini Kaybettiğinizde Facebook'a Nasıl Girilir? Bu makale Facebook hesabınıza giriş yapmak için alternatif yöntemler içermektedir. Örneğin.
Bunun yerine ne yapmalı: U2F tuşlarını kullanın
Kodlarınız için SMS ve 2FA'ya güvenmek yerine, Evrensel 2. Faktör tuşlarını kullanmanız gerekir. U2F Anahtarları Nedir ve Nerelerde Desteklenirler? U2F Anahtarları Nedir ve Nerelerde Desteklenir? U2F anahtarları, hesaplarınızı güvende ve güvende tutmanın en iyi yollarından biridir. Peki U2F anahtarları nerede destekleniyor? (U2F). Kod oluşturmanın ve servislerinize erişmenin en güvenli yoludur.
Yaygın olarak 2FA'nın ikinci nesil bir sürümü olarak kabul edilir, mevcut protokolü hem basitleştirir hem de güçlendirir. Ayrıca, U2F tuşlarını kullanmak SMS mesajı veya üçüncü taraf uygulaması açmak kadar kolaydır.
U2F tuşları bir NFC veya USB bağlantısı kullanır. Cihazınızı ilk defa bir hesaba bağladığınızda, cihaz adında rastgele bir numara oluşturur. “şimdiki zaman.” Benzersiz bir kod oluşturmak için, Nonce sitenin alan adı ile birleştirildi..
Daha sonra, U2F anahtarınızı cihazınıza bağlayarak ve servisin tanınmasını bekleyerek dağıtabilirsiniz..
Peki olumsuz tarafı ne? Peki, U2F açık bir standart olsa da, fiziksel bir U2F anahtarı satın almak için hala maliyeti vardır. Ve belki de daha fazla ilgili, hırsızlık riski altında.
Çalınan U2F anahtarı, hesabınızı otomatik olarak güvensiz yapmaz; bir hacker'ın şifrenizi bilmesi gerekir. Ancak halka açık bir alanda, bir hırsız, mallarınızı çalmadan önce, şifrenizi uzaktan girdiğinizi görmüş olabilir..
U2F Anahtarları Pahalı Olabilir
Fiyatlar üreticiler arasında büyük farklılıklar gösterir, ancak yaklaşık 15 ile 50 dolar arasında bir ödeme bekleyebilirsiniz..
İdeal olarak, bir model satın almak istiyorsunuz “FIDO Sertifikalı.” FIDO (Çevrimiçi Hızlı Kimlik) İttifakı, kimlik doğrulama teknolojileri arasında birlikte çalışabilirliği sağlamaktan sorumludur. Üyeler arasında Google ve Microsoft'tan, Bank of America'ya ve MasterCard'a kadar herkes var.
Bir FIDO cihazı satın alarak, U2F anahtarının her gün kullandığınız tüm servislerle çalışacağından emin olabilirsiniz. Bir tane satın almak istiyorsanız DIGIPASS SecureClick U2F anahtarını inceleyin.
Güvensiz 2FA Hala 2FA'dan Daha İyi
Özetlemek gerekirse, Universal 2nd Factor tuşları kullanım kolaylığı ve güvenlik arasında mutlu bir ortam sağlar. SMS en az güvenli olan yaklaşımdır, aynı zamanda en uygun olanıdır..
Ve unutmayın, herhangi bir 2FA, 2FA'dan daha iyidir. Evet, belirli uygulamalara giriş yapmanız 10 saniye daha alabilir, ancak güvenliğinizi feda etmekten iyidir.