• (bkz: iki adımlı doğrulama)
  • adindan da belli oldugu gibi coklu adimli dogrulanma seklidir.

    faktor dedigimiz sey, kullanicinin sahip oldugu birseydir.

    ornegin kullanicinin telefonu bir adet faktordur.
    kullanicinin sifresi bir adet faktordur.

    kullanici eger sifre + telefona gonderilen mesajla girmisse bu 2 faktorludur (yani 2 adimli dogrulamadir)

    fakat kullanici sifre + telefon dogrulama kodu + e-mail dogrulama kodu ile giris yaptiysa bu 3 faktorludur.

    o yuzden multi-factor authentication (ks. mfa) deyince akla sadece iki adimli dogrulama gelmemelidir.
  • office 365 versiyonunda multi-factor authentication özelliğini etkinleştirip zorunlu kılmak gerekiyor ardından kullanıcının office 365 hesabı ile portal'a girildiğinde belirlediğiniz cep telefonu numarasına doğrulama şifresi geliyor ve şifre'yi girdikten sonra sistem size 16 basamakli bir şifre veriyor.bu şifre kullanıcının bilgisayarındaki outlook ve telefondaki mail şifreleri olarak giriliyor.bundan sonra kullanıcı office 365 portal'a her girdiğinde sistem cep telefonuna 4 basamaklı doğrulama kodu göndererek giriş yapıyor.
  • aws de bu işlemleri yapmaya çalışırken 2 kutulu doğrulama istemekte, oysa [(bkz: google authenticator)google authenticator] veya authy 2-factor authentication sadece 1 kod üretmekte. çözüm şudur ;
    don't hurry up, delete all the generated code- again scan the bar code-> type the first verification number and wait till the number be changed -> when the number is changed then insert the second number in the field and you will never see the ıssue - ( trick is - you should not insert same code in the 2 fields )
  • multifactor authentication (yani tam türkçe anlamıyla "çok adımlı kimlik doğrulama")nın bu günkü kullanılış çeşitleri bu yazının konusu.
    ama isterseniz önce kısaca neden gerekti ona bir bakalım.

    internet birbirleriyle haberleşen bilgisayarlardır. tabii ki kullanıcılarının istekleri doğrultusunda. yani kullanıcı bir şey sorar, bilgisayar ya kendi cevaplar, ya da bir sonraki bilgisayara sorar, gelen cevabı sunar.

    işin içine para, ticaret, politika, aşk, namus girince, ve de soran internete dünyanın herhangi bir yerinden bağlanmış herhangi bir kişi olabilince, elbette ki soruların kimin adına sorulduğu, ve cevapların kime gideceği önem kazanır.

    kimlik ispatı, kimlik doğrulaması bu yüzden gittikçe daha önemli bir teknolojik alan olmuştur. öyle ya, soran kim? neleri sormaya hakkı var? belgeyi hakikaten o mu yazmış ve imzalamış? belgeyi yanlış kişilerin görmesi, belgenin kimse farkına varmadan kasten veya kaza ile değiştirilmiş olması, belge ile ilgili işlem yapmış olanın inkar etmesi nasıl önlenebilir? belgenin sadece muhattabınca okunabilir şekilde hazır olması nasıl sağlanabilir?

    ilk zamanlarda bir kimlik belirten sayı, sonraları isim ve sadece isim sahibinin bildiği bir parola, peşinden parolanın özel bir yöntemle (bkz: hash) okunamaz hale, yada bir şifreyle sadece şifre bilindiğinde okunabilir hale getirilip (bkz: encryption) saklama ve kontrol işlemini o şekilde biraz daha kandırılamaz yapma, peşinden her bilgisayarda buna, oraya özel ekler (salt) koyarak daha da sağlama alma gibi teknikler geliştirildi. başkasının işlerine karışmak isteyenler bu sefer de bilgisayar gücüyle her olası parolayı deneyerek (bkz: password cracking), ya da ali cengiz oyunlarıyla kandırıp açık ettirerek (bkz: social engineering)(bkz: phishing) parolayı veya şifreyi öğrenme yolları geliştirdiler. bu teknikler o kadar gelişti ki isim artı parola, yada sadece karmaşık şifre artık yetersiz kalmaya başladı. şifre meselesine bir çözüm gizli şifre açık şifre (bkz: asymmetric encryption) ile bulundu, fakat parola (bkz: password) sorun olmaya devam etti.

    multifactor authentication (yani tam türkçe anlamıyla "çok adımlı kimlik teyiti") bu parola yetersizliğine çare aramanın sonucu ve bu çabaların meyvelerine verilen genel isimdir. sadece isim ve parola ikilisi yönteminden daha iyi olduğu kabul görmüş olan yöntemler şu sıralarda beş gruba ayrılabilir (bundan sonrası şu yazıdan özetle tercüme: https://www.eff.org/…-two-factor-authentication-web )
    1- (bkz: 2fa) sizden parolanızı ve mesaj olarak size gönderilen rastgele görünüşlü bir sayıyı girmeniz isteniyor. bu mesajı cep telefonunuza sms olarak gelmesi en güvensizi (eski teknoloji telefon santralları ve sim taklidi yüzünden), email biraz daha iyi ama o da gizli kalmayabilir.
    2- (bkz: one time password) (bkz: otp) sizden parolanız ve cebinizdeki bir aletin (bkz: şifrematik) veya bilgisayarınızdaki/akıllı telefonunuzdaki bir programın (bkz: authenticator) göstereceği, son 30 saniyede yenilenmiş bir parola/sayı (bkz: tek kullanımlık şifre) isteniyor. burada da tam gizlilik için hem sizde hem web sitesinde gizli bir sırrın ele geçirilemez olması, sizdekinin kayba karşı yedeği olması gerekiyor.
    3- (bkz: teyit etmek) kullanıcı adınızı ve parolanızı girdikten sonra güvenilir yoldan gönderilen bir mesajla sizden bu işlemi teyit emeniz isteniyor (bkz: push based 2fa).
    4- (bkz: u2f) en son, şu an en iyi, ama henüz her yerde kullanılamayan, asimetrik kripto kullanan, gizli anahtarın hiç okunamaz gönderilemez olduğu, bir başka 2fa tekniğiyle birlikte kullanılınca parola gerektirmeyen (şükür, en sonunda oldu!!), ayrıca da bir sürü başka güvenlik tedbirine olanak veren (izin seri no, kullanıcı alete dokunma şartı, kullanıcı alet şifresi girme şartı, kullanıcı parmak izi, kullanıcının izin adresini alette görüp kabulü ), kayba karşı birden fazla kullanıp yedeklenebilen, bir sürü standarda uyan (bkz: fido alliance) (bkz: ctap) (bkz: webauthn) (bkz: fido2), ayrı bir küçük donanım. bu tip u2f aletlerine örnekleri şuralarda görebilirsiniz: (bkz. https://github.com/…2freviews/blob/master/readme.md), (bkz: trezor), (bkz: ledger wallet). bu tip alet kullanmayan ama authenticator kabul eden siteler için kendi asimetrik kripto kullanan authenticator'u olan var*.
    5- yedek şifre : bazı web siteleri size isteğiniz üzerine 10 şifre verirler, bunları iyi saklar hiç bir tedbir işe yaramayıp, giriş yapamadığınızda bunlardan birini tek kullanımlık parola olarak kullanır kimlik teyitinizi ve dolayısıyla siteye girişinizi yapabilirsiniz.

    bir de artık rağbet edilmeyen metodlar var onları da bilelim:
    1- özel sorular: evlilik yıldönümün, doğduğun şehir, ananın kızlık soyadı tarzı bilgiler. bunlar azimli kötü niyetli ve sizinle işi olan başkalarının bulma bilme olasılığı yüksek bilgilerdir.
    2- parmak izi, göz, el, yüz, yürüyüş tarzı gibi gerektiğinde değiştiremeyeceğiniz, duruma göre her zaman tamamen ayni olmayan biyometrik verilerin sadece yanınızdan katiyen ayırmadığınız cihazlarda kullanım rahatlığı dışında, kimliğinizi sadece onun belirlemesi şeklinde kullanılması .
  • (bkz: authy)
  • kısa adıyla mfa veya 2fa, türkçesiyle "çok adımlı kimlik teyidi" bunun ne olduğu neden gerektiği gibi temel boyutlarını şurada irdeledim: #109678430
    kısaca: isim ve parola ya ek olarak sadece senin ulaşabildiğin bir ikinci sır ile kimliğin sağlama alınması olayı.

    bu gün okuduğum bir haber, eskiden devlet web sitelerinde senin kim olduğunu ispatlayacak elektronik cihaz için illa bir devlet dairesine gidip, kimliğini ispat etmen gerekirdi. modern pasaportların içinde elektronik olarak kişinin kendine özel bilgilerini içerdiği (bkz: biyometrik pasaport) ve öyle bir pasaportu olanların artık bir devlet dairesine gitmelerine gerek kalmadığı yönünde.

    bir uygulama var, indiriyorsun, ülke sınır kapılarındki pasaport polisinin yaptığı gibi pasaportunu o uygulama ile taratıyorsun, o ülke seni tanıyorsa ve bu uygulamayı kullanacığını biliyorlarsa, bu sayede devlet web sitelerine pasaportunla kimliğinin yeterli ikinci teyidini yaptırabiliyorsun. en azından norveç için bu böyle. kaynak norveç e-devlet makalesi, norveççe metin şurada tercüme ettirilebilir.

    kısaca: norveç dünyanın herhangi bir ülkesinin modern biyometrik pasaportunu kendi e-devlet sayfalarında mfa / 2fa cihazı olarak kabul ediyor. norveç'e veya norveç elçiliğine gitmeye gerek yok.
  • 1)what you know(ne bildiğin):şifre, pin, gizli cevap vs.
    2)what you have(neye sahip olduğun): telefon, security key vs.
    3)who you are(kim olduğun):parmak izi, yüz, iris vs. tanıma
    olarak sınıflanan 3 faktörden en az ikisiyle doğrulama yapılması işlevi.

    not: başlığın il entrysinde yazan şey yanlış. multi-factor authentication iki adımlı doğrulama değildir. çok adımlı doğrulama denmelidir.

    not2:bu arada ben sözlüğün artık bazı noktalarda evrenselliğe yönelmesi taraftarı olduğum için ingilizce terimlerin altına yazıyorum. kanzuk dava ediyorsa etsin. *
  • multi-factor authentication, mfa, 2fa bir kaç çeşit.
    2fa demek sadece senin bilebildiğin parola ötesinde ikinci bir şey ister demektir. o da şunlardan biri olabilir:
    - sadece sana ulaştırılabilen : örn. sms (bu telefon santrali ve sim kartı riski yüzünden en güvensizi, email veya app biraz daha güvenli)
    - sadece senin olduğun : örn. parmakizi, yüz tanıma, iris tanıma, biyometrik pasaport
    - sadece senin ulaşabildiğin: otp (authenticator, şifrematik) sadece 30 s. geçerli sayı, simetrik kripto parolası soran örgütte, risksiz değil
    - sadece senin bulundurduğun: private-key (örn. 2fa, u2f, ufa, fido2, device: trezor, ledger, yubikey, vs..) böyle bir aleti bilgisayara veya telefona takmak, o sadece sana ait içindeki ve hiç bir şekilde dışardan bilinemeyen çok uzun private-key sayesinde onun eşi kısa public-key ile kriptolanmış gelen soruya (sorana o public-key daha önce bildirilmiş olduğundan) doğru cevap vermek tüm diğer yöntemlerden daha güvenlidir.

    bir sürü böyle alet (ing. "security key") fazladan koruma da içerir.
    - dışarı her verdiği izin ya da 6 haneli sayı içindeki bir sayacı bir arttırır. beklenenden düşük sayaç değeri, bir hile durumu işaretidir.
    - bazıları üstündeki bir ışıkla haber verir, üstündeki bir düğmeye dokunarak izin vermeni ister. iznin gelmemesi veya gecikmesi bir hile durumu işaretidir.
    - bazıları neyin teyit edilmek istendiğini kendi ekranına yazar ve ona özel izin ister (trezor böyle), neye izin verdiğini saklayamazlar.
    - bazılarının ekranı veya ışığı yoktur ama sadece ona özel, onunla çok güvenli konuşabilen bir app vardır, o app üzerinden sana soru sorup cevabını üstündeki bir düğmeye dokunarak vermeni ister.
    - bazılarının dokunduğunu algılama olanağı yoktur, sahibi olarak orada olduğunu, aleti çıkarıp geri takarak ispat edersin.
    - bazıları dokunan parmağı tanıyabilir, yani aslında 2fa değil 3fa güvenliği sunar (1-doğru parola, 2-doğru private key, 3-tanıdık parmak izi).

    peki bu aletlerden hangisi en güvenlidir? tabii ki asimetrik kriprografi sayesinde sırrını internet üzerinden göndermeyen ve buna ek olarak biyometri (parmak izi) tanıyan, her işlem için bilerek tasdik garantileyen öndedir ama en kolayına gelen ve dolayısıyla her gerektiğinde kullanmaktan geri durmayacağın, böyle yoğun kullanmaya bozulmadan dayanabilecek olan bence en güvenlisi. yubikey galiba dengeyi iyi tutturmuş, ayrıca sadece authenticator kabul eden siteler için sana özel kendi authenticator'u var ve sadece senin key takılı ise onunla çalışıyor. nitrokey küçük farklarla benziyor ve fazlası var eksiği var (link)

    peki ya kaybedersem? buna da çare yedeklemek. siteler birden (bazen en az iki şart koşulur o zaman ikiden) fazla aleti kaydedebilirler ve herhangi birini kullanabilirsin. bazı siteler sadece bu aletler şartı koşabilir, hepsini kaybedince ulaşılamayabilir. bazı siteler bu aletler çok güvenli olduğu için "parola gerekmez" (ing. "no password") seçeneği sunabilir. bu kullanıcıyı parola hatırlama derdinden kurtarır ama aletin çalınma durumunda farkına varılıp kayıttan düşürülene kadar sorun olabilir, bunun da çaresi sahibinin parmak izini tanıyan bu yüzden hırsızın işine yaramayacak alettir.

    bu "parola grekmez" (ing. "passkey" ) yaygınlaşınca bir sürü dertten (bir sürü parolayı hatırlama, yazdığını saklama, hackerlar, casuslar, vs.) kurtulacağız. gerçi passkey düzeni telefonda da olabilir ama dışardan bağlanan, işi sadece o olan ve private-key'i hiç açık etmeyen, donanım ("passkey" olanağı sunan "security key") en güvenlisidir.
hesabın var mı? giriş yap