Asla Güvenme, Çokça Doğrula – MFA Nedir?

20 Şubat 2025 Siber Güvenlik Yorum Yapın

Sizden kendinizi tanıtmanızı rica etsem, bana vereceğiniz yanıtlar ne olurdu? Bu soruyu sizin de bana sorduğunuzu düşünerek cevap vermek istiyorum. Ben, Doğukan Karadağ. Peki, Türkiye’deki tek Doğukan Karadağ ben miyim? Elbette ki hayır. Biraz daha detay vererek kendimi tanıtmam ve sizi “ben” olduğuma ikna etmem gerekmektedir. Bu anlamda hem fiziksel hem de işimle alakalı ayrıntıları sunmam daha iyi bir yaklaşım olacaktır. Böylece gerçekten benimle paylaşacağınız bir bilgi varsa veya iletişim kurmanız gerekiyorsa bu bilgiler sizin işinize yarayacaktır.

Benzer bir durum dijital dünya için de geçerlidir. Öyle ki, bir sisteme, uygulamaya, ağa veya sunucuya bağlanacaksanız sizin siz olduğunu kanıtlamanız gerekmektedir. Normal şartlarda bir dijital varlığa erişirken hangi bilgilerinizi kullanıyorsunuz? Kullanıcı adı ve parola, değil mi? Peki, bu bilgilerinizin başkalarının eline geçmesi halinde ne olacak? Ne yazık ki büyük bir hüsranla birlikte kaybolan veriler ve maddi-manevi büyük zararlar… Bunu gerçek hayatla bağdaştıracak olursak, sizin yüzünüzün çıktısını maske olarak kullanan bir başka birisi kendisine ait olmayan verileri (ç)almak için kullanabilir. Bu gibi durumların önüne geçmek için ek güvenlik katmanlarının kullanılması büyük bir önem arz etmektedir. Tam da bu noktada devreye MFA çözümleri girmektedir. MFA nedir, ne işe yarar ve siber güvenlikte neden vazgeçilmez bir unsurdur, gelin bu soruların yanıtlarını keşfedelim.

MFA Nedir?

Yukarıda betimlediğim örneklerden de yola çıkabileceğimiz üzere, kendinizi tanıtmanız ve gerçekten sizin siz olduğunuzu kanıtlamanız gerekmektedir. Aksi durumlarda brute force, phishing, keylogger gibi yöntemlerle giriş bilgileriniz ele geçirilebilmektedir. Bunun önüne geçmek için MFA(Multi Factor Authentication) çözümünün uygulanması gerekmektedir. Bu sayede hesaplarınızın ve dolayısıyla bağlı bulunduğunuzun kurumun da güvenliğini arttırma noktasında katkı sahibi olursunuz.

mfa nedir ne işe yarar,

MFA, iki veya daha fazla adımda kimlik doğrulama sürecini ifade etmektedir. 2FA(iki adımlı doğrulama) bu noktada yetersiz mi kalıyor da daha fazla adımda doğrulama ihtiyacı duyuyoruz? Aslına bakarsanız bu konunun temelleri zero trust mantığına dayanmaktadır. Örneğin, kullanıcı adı ve parolanın akabinde ilgili kullanıcının telefonuna doğrulama için bir OTP kodu geliyor. Peki, telefon da kötü niyetlilerin eline geçtiyse? İşte bu gibi durumların önüne geçmek için MFA daha yetkin ve güvenli bir çözüm olarak karşımıza çıkmaktadır. Bu sürecin zahmetli olduğunu düşünebilirsiniz, haksız da sayılmazsınız. Ancak! Geniş perspektifte siber güvenlik bakış açısı ile değerlendirecek olursak, verilerimizin başkalarının eline geçmesindense birkaç saniye daha fazla efor harcamayı tercih etmemiz de bir mahsur göremiyorum. Sizin düşünceleriniz neler?

MFA, temel olarak 3 ana kimlik doğrulama mekanizmasına dayanmaktadır. Bunlar;

  • Bildiğiniz şeyler
    • Kullanıcı adınız ve parolanız bu sınıfa dahildir.
  • Sahip olduğunuz şeyler
    • Fiziksel olarak sahip olduğunuz cihazlar(akıllı telefon, bilgisayar, güvenlik anahtarı…).
  • Olduğunuz şeyler
    • Parmak iziniz, retinanız, yüz şekliniz gibi biyometrik verileriniz.

Olarak kategorize edilmektedir.

MFA Nasıl Çalışır?

Siz bu satırı okurken, .ok faktörlü kimlik doğrulamanın ne olduğunu da zihninizde canlandırdığınızı düşünüyorum. Konuyu öz ve net bir şekilde aktarmak için bu güvenlik çözümünün nasıl çalıştığını adımlar halinde sizinle paylaşmak istiyorum.

  1. adım: Kullanıcı kimlik bilgilerini girerek(kullanıcı adı-parola) ilgili sisteme giriş yapma isteği gönderir.
  2. adım: Kullanıcının girmiş olduğu bilgiler ile kimlik doğrulaması yapılır.
  3. adım: Belirlenen ek güvenlik doğrulama faktörlerinden(biyometrik, QR, SMS, OTP) biri ile kullanıcının kimliği doğrulanır.
  4. adım: Kullanıcı tüm bu adımları başarıyla tamamladıysa, artık erişmek istediği alanın kapıları kendisine açılır.

mfa nasıl çalışır,

4 basamakta MFA sürecinin algoritmasını çıkarmış olduk. Siz bir MFA politikası yazmak isteseydiniz, kullanıcılarınızı ne tür doğrulama aşamalarından geçirirdiniz? Aşağıda yorumlar kısmından belirtebilirsiniz. Hem kim bilir, bu yazıyı okuyan bir kişiye veya kuruma fikir de vermiş olabilirsiniz.

MFA’nın Siber Güvenlik Açısından Önemi Nedir?

Bu çözümün öncelikli amacı yetkisiz erişimleri ve dolayısıyla buradan ortaya çıkabilecek zafiyetleri önlemektedir. Siber güvenlik açısından sağladığı faydaları 5 maddede şu şekilde listeleyebilirim;

  • Phishing Ataklarına Karşı Koruma

E-Posta adresinize gerçekten ilginizi çeken bir mail mi aldınız? Bu mail o kadar çok dikkatinizi çekti ki, içerisindeki linke tıkladınız ve kişisel verilerinizi açılan yeni sayfada doldurdunuz. Hatta belki her platformda kullandığınız parolanızı da buraya kayıt olmak için yine kullandınız. Finalde, parola bilginizi ele geçiren kötü niyetli kişi(ler), bu bilgileri kullanarak kurum içerisine erişmeye çalıştı. Fakat o da ne? Çok faktörlü doğrulama bilgisi gerekiyor, şimdi ne yapacak? Size karşı bir sosyal mühendislik denemesinde bulunabilir. Ancak bunları ekarte etmeniz gerektiğinin farkında olmalısınız.

  • Brute Force ve Credential Stuffing Saldırılarına Karşı Koruma

Eğer zayıf bir şifre kullanıyorsanız, muhtemelen internet üzerinde bulunan wordlistlerde bu parolanız da bulunuyordur. Saldırgan, sizin kullanıcı adınızı ve parolanızı brute force atakları ile kısa süre içerisinde ele geçirebilir. Ancak eğer MFA kullanıyorsanız, yine bu saldırılar sonuçsuz kalacaktır.

  • Yetkisiz Erişimlerin Engellenmesi

İş süreçleriniz gereği RDP, VPN veya bulut ortamlarına erişmeniz gerekiyorsa, bu alanlarda da muhakkak MFA’nın aktif edilmesi gerekmektedir. Aksi takdirde yukarıda sıraladığım maddeler neticesinde ortaya çıkabilecek bir zafiyetin sonuçları çok büyük yıkıcı etkiye sahip olabilir.

  • Veri İhlallerine ve Fidye Yazılımlarına Karşı Koruma

Bilgisayarınıza indirdiğiniz kötü niyetli bir yazılımın tüm dosyaları şifrelemesi, sizi nasıl hissettirirdi? Eğer MFA kullanıyorsanız, bu olasılığı minimize etmeniz ve saldırganların işini büyük ölçüde zorlaştırmanız mümkündür.

  • Zero Trust Modeline Uyumluluk

Parolamız neydi? “Asla güvenme ve her zaman doğrula!” Bu, zero trust’ın mimarisini özetleyen en doğru cümle diyebilirim. Bu anlamda siz benim Doğukan olduğumu bilseniz dahi yine de doğrulamanızda fayda var. Kim bilir, belki benim ismimi kullanarak da bir şeyler yapılabilir. Hatta bu konuyla alakalı hepinizin yakından bildiği olaylar vardır. Örneğin, canlı yayın esnasında Twitch yayıncısı Jahrein’i sağlık servislerinin arayıp, kendisinin ambulansı aradıklarını söylemeleri gibi. Veya Amerika’da bir genci, annesinin telefon numarasından arayıp, annesinin sesi ile acil yardıma ihtiyacı olduğunu söylemeleri gibi. Her zaman teyit edin. Anlık duygu değişimine kapılıp da sizi, iş yerinizi ve sevdiklerinizi üzebilecek saldırılara maruz kalmayın.

MFA hakkında sizin düşünceleriniz neler? Bireysel veya kurumsal hayatınızda kullanıyor musunuz? Kullanmıyorsanız, bu içeriğim sizin fikirlerinizi değiştirmeye yardımcı oldu mu? Görüşlerinizi aşağıda yorumlar kısmından paylaşabilirsiniz. Sağlıkla ve güvenle kalın.

İşinize Yarayabilir

radius nedir ne işe yarar,

Protokolümüz: Güvenlik– RADIUS Nedir?

Arabanızı kimler kullanabiliyor? Eğer anahtar yalnızca sizde varsa ve kimseye vermiyorsanız yalnızca siz erişebilir ve …

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Siber Güvenlik Uzmanı | Doğukan Karadağ
© Copyright 2018 Doğukan Karadağ.