Hacker'lar İki Faktörlü Kimlik Doğrulamayı nasıl aşabilir?
Hesabınızda iki faktörlü kimlik doğrulamayı etkinleştirmenin onu %100 güvenli hale getirdiğini düşünebilirsiniz. İki faktörlü kimlik doğrulama(Two-factor authentication) , hesabınızı korumanın en iyi yöntemlerinden biridir. Ancak, iki faktörlü kimlik doğrulamayı etkinleştirmesine rağmen hesabınızın ele geçirilebileceğini duymak sizi şaşırtabilir. Bu makalede, saldırganların iki faktörlü kimlik doğrulamayı atlayabileceği farklı yolları anlatacağız.
İki Faktörlü Kimlik Doğrulama(Authentication) (2FA) nedir?
Başlamadan önce, 2FA'nın ne olduğunu görelim. Hesabınıza giriş yapmak için bir şifre girmeniz gerektiğini biliyorsunuz. Doğru şifre olmadan giriş yapamazsınız. 2FA, hesabınıza ekstra bir güvenlik katmanı ekleme işlemidir. Etkinleştirdikten sonra, yalnızca şifreyi girerek hesabınıza giriş yapamazsınız. Bir güvenlik adımını daha tamamlamanız gerekiyor. Bu, 2FA'da web sitesinin kullanıcıyı iki adımda doğruladığı anlamına gelir.
Okuyun(Read) : Microsoft Hesabında 2 Adımlı Doğrulamayı Etkinleştirme(How to Enable 2-step Verification in Microsoft Account) .
2FA Nasıl Çalışır?
İki faktörlü kimlik doğrulamanın çalışma prensibini anlayalım. 2FA, kendinizi iki kez doğrulamanızı gerektirir. Kullanıcı adınızı ve şifrenizi girdiğinizde, oturum açmaya çalışan gerçek kişi olduğunuzun ikinci bir kanıtını sağlamanız gereken başka bir sayfaya yönlendirileceksiniz. Bir web sitesi aşağıdaki doğrulama yöntemlerinden herhangi birini kullanabilir:
OTP (Tek Kullanımlık Şifre)
Şifreyi girdikten sonra, web sitesi kayıtlı cep telefonu numaranıza gönderilen OTP'yi girerek kendinizi doğrulamanızı söyler. (OTP)Doğru OTP'yi(OTP) girdikten sonra hesabınıza giriş yapabilirsiniz.
İstemi Bildirimi
İnternete bağlıysa akıllı telefonunuzda istem bildirimi görüntülenir. “ Evet(Yes) ” düğmesine dokunarak kendinizi doğrulamanız gerekir . Bundan sonra, PC'nizde hesabınıza giriş yapacaksınız.
Yedekleme Kodları
Yedek(Backup) kodlar, yukarıdaki iki doğrulama yöntemi çalışmadığında kullanışlıdır. Hesabınızdan indirdiğiniz yedek kodlardan herhangi birini girerek hesabınıza giriş yapabilirsiniz.
Kimlik Doğrulayıcı Uygulaması
Bu yöntemde hesabınızı bir kimlik doğrulayıcı uygulamasına bağlamanız gerekir. Hesabınıza ne zaman giriş yapmak isterseniz, akıllı telefonunuzda yüklü olan kimlik doğrulama uygulamasında görüntülenen kodu girmeniz gerekir.
Bir web sitesinin kullanabileceği birkaç doğrulama yöntemi daha vardır.
Okuyun(Read) : Google Hesabınıza İki Adımlı Doğrulama Nasıl Eklenir(How To Add Two-step Verification To Your Google Account) .
Hacker'lar İki Faktörlü Kimlik Doğrulamayı nasıl aşabilir?(Two-factor Authentication)
Şüphesiz, 2FA hesabınızı daha güvenli hale getirir. Ancak bilgisayar korsanlarının bu güvenlik katmanını atlamasının hala birçok yolu var.
1] Çerez Çalma(Cookie Stealing) veya Oturum Ele Geçirme(Session Hijacking)
Çerez çalma veya oturum ele geçirme(Cookie stealing or session hijacking) , kullanıcının oturum çerezini çalma yöntemidir. Bilgisayar korsanı, oturum tanımlama bilgisini çalmayı başarınca, iki faktörlü kimlik doğrulamayı kolayca atlayabilir. Saldırganlar, oturum sabitleme, oturum koklama, siteler arası komut dosyası oluşturma, kötü amaçlı yazılım saldırısı vb. gibi birçok ele geçirme yöntemini bilir. Evilginx , bilgisayar korsanlarının ortadaki adam saldırısı gerçekleştirmek için kullandığı popüler çerçeveler arasındadır. Bu yöntemde bilgisayar korsanı, kullanıcıya kendisini bir proxy oturum açma sayfasına götüren bir kimlik avı bağlantısı gönderir. Kullanıcı 2FA kullanarak hesabına giriş yaptığında Evilginx(Evilginx) , kimlik doğrulama koduyla birlikte oturum açma kimlik bilgilerini de alır. OTP'den(OTP) berikullanımdan sonra sona erer ve belirli bir zaman dilimi için de geçerlidir, kimlik doğrulama kodunu yakalamanın hiçbir faydası yoktur. Ancak bilgisayar korsanı, hesabına giriş yapmak ve iki faktörlü kimlik doğrulamayı atlamak için kullanabileceği kullanıcının oturum çerezlerine sahiptir.
2] Yinelenen Kod Oluşturma
Google Authenticator uygulamasını kullandıysanız, belirli bir süre sonra yeni kodlar oluşturduğunu bilirsiniz. Google Authenticator ve diğer kimlik doğrulama uygulamaları belirli bir algoritma üzerinde çalışır. Rastgele(Random) kod oluşturucular genellikle ilk sayıyı oluşturmak için bir tohum değeriyle başlar. Algoritma daha sonra kalan kod değerlerini oluşturmak için bu ilk değeri kullanır. Bilgisayar korsanı bu algoritmayı anlayabilirse, kolayca yinelenen bir kod oluşturabilir ve kullanıcının hesabına giriş yapabilir.
3] Kaba Kuvvet
Brute Force , olası tüm şifre kombinasyonlarını oluşturmak için bir tekniktir. Bir parolanın kaba kuvvet kullanılarak kırılma süresi, parolanın uzunluğuna bağlıdır. Parola ne kadar uzun olursa, kırılması o kadar uzun sürer. Genel olarak, kimlik doğrulama kodları 4 ila 6 basamak uzunluğundadır, bilgisayar korsanları 2FA'yı atlamak için kaba kuvvet girişimi deneyebilir. Ancak günümüzde kaba kuvvet saldırılarının başarı oranı daha azdır. Bunun nedeni, kimlik doğrulama kodunun yalnızca kısa bir süre için geçerli kalmasıdır.
4] Sosyal Mühendislik
Sosyal Mühendislik , bir saldırganın kullanıcının zihnini kandırmaya çalıştığı ve onu sahte bir giriş sayfasına giriş bilgilerini girmeye zorladığı tekniktir. Saldırganın kullanıcı adınızı ve şifrenizi bilip bilmemesi önemli değil, iki faktörlü kimlik doğrulamayı atlayabilir. Nasıl? Bakalım:
Saldırganın kullanıcı adınızı ve şifrenizi bildiği ilk durumu ele alalım. 2FA'yı etkinleştirdiğiniz için hesabınıza giriş yapamıyor. Kodu almak için size kötü niyetli bir bağlantı içeren bir e-posta gönderebilir ve hemen harekete geçmezseniz hesabınızın saldırıya uğrayabileceği konusunda sizde bir korku yaratabilir. Bu bağlantıya tıkladığınızda, orijinal web sayfasının gerçekliğini taklit eden bilgisayar korsanının sayfasına yönlendirileceksiniz. Şifreyi girdikten sonra hesabınız saldırıya uğrayacaktır.
Şimdi, bilgisayar korsanının kullanıcı adınızı ve şifrenizi bilmediği başka bir durumu ele alalım. Yine(Again) bu durumda size bir oltalama bağlantısı gönderiyor ve 2FA kodu ile birlikte kullanıcı adınızı ve şifrenizi çalıyor.
5] OAuth
OAuth entegrasyonu, kullanıcılara bir üçüncü taraf hesabı kullanarak hesaplarına giriş yapma olanağı sağlar. Kullanıcılar ve servis sağlayıcılar arasındaki kimliği kanıtlamak için yetkilendirme belirteçlerini kullanan tanınmış bir web uygulamasıdır. OAuth'u(OAuth) hesaplarınıza giriş yapmanın alternatif bir yolu olarak düşünebilirsiniz .
Bir OAuth mekanizması şu şekilde çalışır:
- A Sitesi , bir kimlik doğrulama belirteci için Site B'yi(Site B) (örneğin Facebook ) ister.(Facebook)
- B Sitesi(Site B) , isteğin kullanıcı tarafından oluşturulduğunu kabul eder ve kullanıcının hesabını doğrular.
- B Sitesi(Site B) daha sonra bir geri arama kodu gönderir ve saldırganın oturum açmasına izin verir.
Yukarıdaki işlemlerde saldırganın 2FA üzerinden kendisini doğrulaması gerekmediğini gördük. Ancak bu bypass mekanizmasının çalışması için bilgisayar korsanının, kullanıcının hesabının kullanıcı adı ve şifresine sahip olması gerekir.
Bilgisayar korsanları, bir kullanıcının hesabının iki faktörlü kimlik doğrulamasını bu şekilde atlayabilir.
2FA atlamayı nasıl önleyebilirim?
Bilgisayar korsanları gerçekten de iki faktörlü kimlik doğrulamayı atlayabilir, ancak her yöntemde, onları kandırarak aldıkları kullanıcıların onayına ihtiyaçları vardır. Kullanıcıları kandırmadan 2FA'yı atlamak mümkün değildir. Bu nedenle(Hence) aşağıdaki noktalara dikkat etmelisiniz:
- Herhangi bir bağlantıya tıklamadan önce lütfen orijinalliğini kontrol edin. Bunu, gönderenin e-posta adresini kontrol ederek yapabilirsiniz.
- (Create a strong password)Harfler, sayılar ve özel karakterlerin birleşiminden oluşan güçlü bir parola oluşturun .
- (Use)Yalnızca Google(Google) kimlik doğrulayıcı, Microsoft kimlik doğrulayıcı vb. gibi orijinal kimlik doğrulayıcı uygulamaları kullanın .
- Yedek kodları güvenli bir yere indirin(Download) ve kaydedin.
- Bilgisayar korsanlarının, kullanıcıların zihinlerini kandırmak için kullandığı kimlik avı e-postalarına asla güvenmeyin.
- Güvenlik kodlarını kimseyle paylaşmayın.
- 2FA'ya(Setup) alternatif olarak hesabınızda güvenlik anahtarı kurun.
- Şifrenizi düzenli olarak değiştirmeye devam edin.
Okuyun(Read) : Bilgisayar Korsanlarını Windows Bilgisayarınızdan Uzak Tutmak İçin İpuçları(Tips to Keep Hackers out of your Windows computer) .
Çözüm
İki faktörlü kimlik doğrulama, hesabınızı ele geçirmeye karşı koruyan etkili bir güvenlik katmanıdır. Bilgisayar korsanları her zaman 2FA'yı atlama şansı elde etmek ister. Farklı hack mekanizmalarından haberdarsanız ve şifrenizi düzenli olarak değiştirirseniz hesabınızı daha iyi koruyabilirsiniz.
Related posts
Two-Factor Authentication Discord'te Nasıl Etkinleştirilir?
İki Faktörlü Kimlik Doğrulama için Kurtarma ve Yedekleme Seçeneklerini Doğru Şekilde Ayarlama
Windows üzerinde WAMP kullanarak Drupal nasıl yüklenir
Windows, IOS, Android için Best Software & Hardware Bitcoin Wallets
Setup Internet Radio Station ücretsiz Windows PC üzerinde
Whiteboard Fox, real-time sharing'e izin veren ücretsiz bir online whiteboard'dır
Encrypt Nasıl Yapılır ve LibreOffice Belgelerine Şifreler Ekleyin
Best Laptop Tables çevrimiçi satın almak
NFT ne demek ve NFT Digital Art nasıl oluşturulur?
Zip file, DropBox'ten dosyaları indirirken çok büyük bir hatadır
Microsoft Identity Manager: Özellikler, Download
Analog, Digital and Hybrid computers arasındaki fark
Cyber Monday & Black Friday Sale alışveriş ipuçları takip etmek istediğiniz
Bu hesap herhangi bir Mixer account ile bağlantılı değil
Silly Window Syndrome nedir - Explanation and Prevention
LibreOffice Calc'teki en iyi özellikler
Blue Whale Challenge Dare Game nedir
LibreOffice ile PDf belgelerin güvenliğini Nasıl şifre-koruma ve
Oturum mesajlaşma uygulaması teklifler güçlü güvenlik; No phone numarası gerekli!
Automate.io, ücretsiz bir automation tool and IFTTT alternatifidir