Fransa

Güvenlik: Çevrimiçi Hesaplar İçin Çok Faktörlü Kimlik Doğrulama  

29 Mayıs 2022 /

Banka, e-ticaret, e-posta, sosyal ağlar: günümüzde her birey, pek çok farklı internet sitesinde çeşitli kişisel hesaplar kullanmakta ve bu hesapların bazılarında özel nitelikli veriler de olmak üzere pek çok  kişisel veri bulunmaktadır. Çoğu zaman bu kişisel hesaplara erişebilmek için, ilgili hesaba erişmek isteyen kişinin gerçekten erişim yetkisine olduğunun doğrulanmasına dayalı bir sistem kullanılmaktadır. Bu doğrulama sistemi basit (örneğin şifre) ya da çok faktörlü (mesela bir şifre ile birlikte SMS yoluyla alınan bir kod) olabilir.

  1. Neden basit kimlik doğrulama sisteminden kaçınmalıyız?

Basit doğrulama sistemindeki problem, güvenliğin tek bir faktöre bağlanmasından kaynaklanmaktadır. Bu sebeple, bunun gibi tek katmanlı bir kimlik doğrulama sisteminin ihlal edilmesi durumunda, bir bilgisayar korsanı rahatlıkla kullanıcının çevrimiçi hesabına ve bu hesabın barındırdığı tüm kişisel verilere erişebilir. Bu durum, bilgisayar korsanlarının ilk saldırı hedeflerinin neden oturum açmak için kullanılan kimlik bilgileri (hesap tanımlayıcısı- genellikle e-posta adresi- ve şifre) olduğunu da göstermektedir. Bu bilgilerin elde edilmesi, korsanların, kullanıcının diğer hesaplarına erişim sağlayabilmesini ve kullanıcının bankacılık ve özel nitelikli kişisel veriler de dâhil kişisel verileri ile kimliğini çalabilme ihtimallerini arıttırmaktadır. Bu durum kullanıcı adı ve şifre barındıran veri tabanlarının sıklıkla çalınmasına neden olmakta ve kullanıcıları “phishing” saldırılarının da hedeflerinden biri haline getirmektedir.

  1. Neden çok faktörlü kimlik doğrulama sistemini kullanmalıyız?

Çok faktörlü kimlik doğrulama sistemi, bir veya birden fazla doğrulama faktörünün entegrasyonu ile kullanıcı hesaplarının güvenliğinin güçlendirilmesini sağlayan bir sistemdir. Bu sistem, 2FA kısaltmasıyla (“İki faktörlü kimlik doğrulama” anlamına gelmekte), bazen iki adımlı doğrulama, bazen de MFA (“Çok (multi) faktörlü kimlik doğrulama” anlamına gelmekte) olarak tanımlanabilmektedir. Başta bankacılık hizmetleri olmak üzere, pek çok çevrimiçi hizmet, kullanıcılara bu sistemin nasıl etkinleştirildiğini ve kullanıldığını adım adım göstermek suretiyle sunmaktadır.
Çok faktörlü kimlik doğrulama sistemleri, bilgisayar korsanlarının kullanıcı hesaplarına erişimini güçleştirmektedir. Öyle ki, bir bilgisayar korsanı bir şekilde kullanıcı hesabına ilişkin kullanıcı adını ve şifresini ele geçirse bile, ikincil doğrulama faktörüne sahip olmadığı için ilgili hesaba erişim sağlayamayacaktır.

  1. Nasıl Çalışır?

Çok faktörlü doğrulama sistemi, kullanıcı hesabıyla bağlantılı olarak ek bir kimlik doğrulama faktörü getirir: Bu sayede “bildikleriniz” (mesela bir şifreniz) ile “sahip olduklarınız” birleşebilmektedir. Örnek olarak, e-posta ya da SMS yoluyla gelen bir kod, bir USB ya da çipli bir kart gösterilebilir.
Çok faktör mekanizması genellikle hesap güvenlik ayarlarından etkinleştirilebilmektedir. Etkinleştirildiğinde hesaba erişebilmek için kullanıcının kimliği iki aşamalı olarak doğrulanmaktadır:

  • Öncelikle kullanıcı adını ve şifresini girdiğinde;
  • Daha sonra ise, SMS, e-posta, telefon ya da cihazda bulunan doğrulama kodu uygulaması yoluyla gönderilen kod vasıtasıyla doğrulanmaktadır. Bu kod gizlidir ve prensip olarak sadece birkaç dakika geçerlidir.

Dikkat!
Etkinleştirilmesi durumunda çok faktörlü kimlik doğrulaması, hesaba giriş yapılabilmesi için zorunludur. Bu sebeple geri alınmasının mümkün olmadığı durumlarda (örneğin, telefonun kaybolması, çalınması ya da bozulması sebebiyle SMS yoluyla kod alınmasının mümkün olmaması hallerinde) ilgili hesaba erişim geçici olarak imkansız hale gelecektir

  1. Hangi durumlarda zorunludur?

2019 yılının sonundan bu yana, Ödeme Hizmetlerine ilişkin İkinci Direktif (“PSD2 direktifi”) ile birlikte, banka ve ödeme hizmeti sağlayıcılarının, uzaktan ödeme işlemlerinin birçoğunda, hesaba erişim ve hassas işlemlerde (transfer alıcısı eklenmesi, çek defteri siparişi, adres değişikliği vb.) çok faktörlü kimlik doğrulama sisteminin kullanması zorunlu hale gelmiştir.

  1. Çok faktörlü doğrulamanın sınırları

Her güvenlik önleminde olduğu gibi çok faktörlü doğrulama sistemi de hatasız değildir. Dolayısıyla bu sistem de gerçek zamanlı phishing, kimlik doğrulama kodunu içeren SMS’in ele geçirilmesi ya da SIM takası gibi bazı spesifik siber saldırılara karşı savunmasızdır. Fakat tek faktörlü basit doğrulama sistemlerine karşısında, bu sistem veri sızıntısı ya da kişisel verinin tekrar kullanılması gibi riskleri önemli ölçüde azaltmaktadır. Bu sebeple Fransız Veri Koruma Otoritesi, çok faktörlü kimlik doğrulama sisteminin sunulduğu durumlarda, kullanıcılara sistemi etkinleştirilmelerini tavsiye etmektedir.

Kaynak: https://www.cnil.fr/fr/securite-utilisez-lauthentification-multifacteur-pour-vos-comptes-en-ligne

Bunlara da bakmak isteyebilirsin

FRANSA – ÇEREZLERİN KULLANIMINA İLİŞKİN KURALLARIN EVRİMİ: İNTERNET KULLANICILARI İÇİN NELER DEĞİŞTİ?
13 Şubat 2022
Fransız Veri Koruma Kurumu – SPARTOO: 250.000Euro Para Cezası ve Para Cezasına Tabi Olarak GDPR’a Uyum İhtarı
20 Ağustos 2020
Fransa: COVID-19 Aşılaması : Yerel Topluluklar Tarafından Hangi Verilerin İşlenmesi Mümkündür?
16 Mart 2021

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!