Son yıllarda yeni bir güvenlik konsepti^{(security concept)} manşetlere çıktı - iki adımlı doğrulama veya iki faktörlü kimlik doğrulama^{(verification or two-factor authentication)} (2FA). Her şey Google'ın^(Google) kullanıcıları için etkinleştirmesiyle başladı ve o zamandan beri Microsoft , Apple ve Facebook dahil olmak üzere birçok şirket onların örneğini takip etti . Oyun şirketleri bile bu eğilime katıldı. İki faktörlü kimlik doğrulamanın^{(two-factor authentication)} ne olduğunu, nasıl çalıştığını, neden etkinleştirmeniz gerektiğini ve bu makaleyi nerede okuyun:

İki adımlı kimlik doğrulama veya doğrulama^{(authentication or verification)} nedir?

İki faktörlü kimlik doğrulama, herhangi bir hizmete (e-posta, sosyal ağ, bankacılık vb.) erişmeye çalışan bir kişi veya kuruluşun^{(person or entity)} kimliğini doğrulamak için iki aşamadan oluşan bir güvenlik sürecidir . ^{(security process)}Bu kavram aynı zamanda iki aşamalı doğrulama olarak da adlandırılır ve şu üç kimlik doğrulama faktöründen iki veya daha fazlasını gerektirir: bir bilgi faktörü^{(knowledge factor)} , bir sahiplik faktörü^{(possession factor)} ve bir inherence faktörü^{(inherence factor)} .

Geleneksel kimlik doğrulama, daha önce bahsedilen üç faktörden yalnızca birini veya ikisini içerir. Örneğin, e-posta gibi bir hizmeti kullanmak istiyorsanız, geleneksel kimlik doğrulama, bir kullanıcı adının ve parolasının bilinmesini içerir. Bilgi^(Knowledge) çeşitli şekillerde çalınabilir ve insanlar hem kullanıcı adınızı hem de şifrenizi^{(username and password)} öğrenebilir ve ardından bu bilgileri sizin gibi görünmek için kullanabilir veya size zarar vermek için kullanılabilecek değerli bilgileri çalabilir.

Gerçek dünyada, geleneksel doğrulama bilgi faktörünü^{(knowledge factor)} ve sahip olma faktörünü^{(possession factor)} içerebilir . Örneğin, nakit almak için bir ATM'ye gittiğinizde, ^(ATM)banka veya kredi kartınızı^{(debit or credit card)} ( sahiplik faktörü^{(possession factor)} ) ve PIN'inizi^(PIN) (bir bilgi faktörü^{(knowledge factor)} ) kullanırsınız. Ancak hem şifreniz hem de ^(PIN)kredi kartınızdaki^{(credit card)} bilgiler çeşitli şekillerde çalınabilir ve yetkisiz kişiler paranızı kullanarak online işlem yapabilir. Bu nedenle 3D Secure konsepti, çevrimiçi kredi ve banka kartı işlemleri için ek bir güvenlik katmanı^{(security layer)} sağlamak üzere geliştirilmiştir .

Dijital dünyada iki aşamalı doğrulamayı kullanırken üçüncü bir faktör eklenir: sahip olma faktörü^{(possession factor)} - genellikle akıllı telefonunuz veya cep telefonunuz. Bu cihaz, kimliğinizi doğrulamanın ikinci aşaması için kullanılır. Örneğin, e-posta hesabınızda^{(email account)} oturum açtığınızda , önce kullanıcı adınızı ve şifrenizi sağlarsınız^{(username and password)} . Ardından, birkaç saniye içinde sona erecek zamana dayalı bir parola sağlamanız istenir. Bu şifre e-posta hesabınıza , akıllı telefonunuza gönderilebilir veya ^{(email account)}Google Authenticator veya Microsoft Authenticator gibi bir kimlik doğrulama uygulaması^{(authenticator app)} tarafından oluşturulabilir .

Bazı şirketler ve hizmetler, doğrulama sürecini^{(verification process)} tamamlamak için kullanmanız gereken kodları sürekli olarak oluşturan fiziksel kimlik doğrulama cihazları da sağlar . Örneğin, birçok banka, banka hesabınıza çevrimiçi^{(bank account online)} olarak erişebilmeniz için iki adımlı doğrulama için fiziksel cihazlar sağlar . Ayrıca PayPal bunu ABD^(USA) dahil birçok ülke için yapıyor .

İki faktörlü kimlik doğrulama nasıl çalışır^{(authentication work)} ?

İki adımlı kimlik doğrulama uygulamaları çoktur ve bu makale çok uzun olacağı için hepsiyle ilgili ayrıntılara girmiyoruz.

En popüler uygulama, Google'ın ^(Google)TOTP - Zamana Dayalı Tek Kullanımlık Şifre Algoritmasına dayalı^{(TOTP - Time-based One-time Password Algorithm)} yaklaşımıdır . Hesabınız için iki aşamalı doğrulama etkinleştirildiğinde, özel bir sunucu birkaç saniyede bir yeni bir şifre/kod oluşturur. Şifreyi sizinle paylaşan cihazın, ikinci kimlik doğrulama adımında^{(authentication step)} girdiğiniz kodun sunucudaki kodla eşleşmesi için sunucu ile senkronize edilmesi gerekir. Şifreyi paylaşan cihaz senkronize değilse, kimliğinizin doğrulanmasını tamamlayamazsınız.

Bu algoritma, çevrimiçi olarak bulunan en popüler algoritmadır. Google , Microsoft , Apple , Facebook , Evernote , Dropbox , WordPress , MailChimp ve LastPass dahil olmak üzere birçok şirket bunu kullanıyor .

İki faktörlü kimlik doğrulamanın nasıl çalıştığını anlamanızı kolaylaştırmak için, örneğin birçok kişinin oynadığı popüler bir çevrimiçi oyun olan ^{(online game)}Fortnite'ı ele alalım. ^(Fortnite)Epic Games hesabınız (Fortnite'ın yaratıcıları ) için iki faktörlü kimlik doğrulamayı ( 2FA^(Fortnite) ) yapılandırdıktan sonra , oturum açmak için yalnızca kullanıcı adınızı ve şifrenizi girmeniz^{(username and password)} artık yeterli değildir . bunu yapmak için.

Ek şifre geçicidir ve bunu bilen tek kişi sizsiniz. Bu kodu yalnızca bir kimlik doğrulama uygulamasından^{(authenticator app)} ( Google Authenticator gibi) veya ^{(Google Authenticator)}Epic Games'ten ^(Epic) aldığınız^(Games) bir e-posta iletisinden alabileceğiniz için başka hiç kimse onu bulamamalıdır . İki faktörlü kimlik doğrulama kodları birkaç saniyede bir değişir, bu nedenle tahmin edilmesi neredeyse imkansız olmalıdır.

Doğru iki faktörlü kimlik doğrulama kodunu ^{(authentication code)}sağlarsanız Fortnite hesabınızda^{(Fortnite account)} oturum açmış olursunuz . Sonraki 30 gün boyunca, giriş yaptığınız cihazda 2FA kodları vermenize gerek yoktur. Ancak 30 günün sonunda veya yeni bir cihazdan giriş yapmayı denerseniz, bir şifre sağlamanız gerekmektedir. tekrar geçerli 2FA şifresi.

Bankacılık sektöründe^{(banking sector)} iki faktörlü kimlik doğrulama

Bir başka popüler yaklaşım, bankalar ve kredi kartı^{(credit card)} sağlayıcıları tarafından kullanılan yaklaşımdır. 3-D Secure olarak adlandırılır ve çevrimiçi olarak yapılan finansal işlemleri onaylamak için kullanılır. Bu iki aşamalı doğrulama yöntemi, üç varlığı içerir: tüccarın veya paranın ödendiği bankanın etki alanı, kullanılan kartı veren bankanın etki alanı ve 3 boyutlu protokolü destekleyen altyapı.

Bu protokol, çevrimiçi işlemler yapmak için yalnızca güvenli SSL bağlantıları kullanır ve bir işlemin onaylanması için adınız ve kredi kartı ayrıntılarınızın^{(name and credit card details)} yanı sıra özel bir şifreye ihtiyacınız vardır . Bu şifre geçici ve zamana dayalı olabileceği gibi kalıcı da olabilir ve siz, yani kullanıcı tarafından belirlenebilir. Bir diğer önemli husus ise bu şifrenin işyeri veya paranın ödendiği banka tarafından saklanmamasıdır. Şifre sadece 3 boyutlu protokol için altyapıyı sağlayan sunucular tarafından bilinir. Bu nedenle, işyeri saldırıya uğrarsa, bilgisayar korsanları 3-D Secure şifrenizi^{(Secure password)} alamaz .

Neden iki faktörlü kimlik doğrulamaya ihtiyacınız var?

İki adımlı doğrulamayı kullanmanızın temel nedeni kendinizi korumaktır. Bu ek koruma katmanını kullanarak, istenmeyen tarafların kimliğinize çevrimiçi^{(identity online)} olarak erişmesini ve kişisel veya finansal verileri çalmasını zorlaştırırsınız .

Finansal işlemler için 3-D Secure kullanırken, bilgisayar korsanlarının paranızı çalmasını zorlaştırırsınız. Kart bilgilerinizi kopyalamak onlar için kolaydır ama 3-D Secure şifrenizi^{(Secure password)} almakta zorlanacaklar .

İki faktörlü kimlik doğrulamayı ne zaman kullanmalısınız?

İkincil bir kimlik doğrulama adımı^{(authentication step)} eklemek herkes için can sıkıcıdır ancak hesaplarımızı ve verilerimizi gizli tutmak için gereklidir. En azından aşağıdaki hizmet türleri için iki adımlı doğrulamayı etkinleştirmenizi ve kullanmanızı önemle tavsiye ederiz:

• E-posta^(E-mail) - Gelen Kutunuz^(Inbox) , tüm çevrimiçi hesaplarınızdan en büyük miktarda kişisel veri depolar. İnsanlar e-posta geçmişinizi gözetleyebilir, bankacılık ve PayPal hesaplarınızın^{(banking and PayPal accounts)} kullanıcı adını öğrenebilir, işiniz, ilişkileriniz ve diğer birçok önemli ayrıntı hakkında daha fazla bilgi edinebilir. Gelen kutunuzun güvenliğini sağlamak, yapmanız gereken ilk şey.
• Çevrimiçi bankacılık ve finansal işlemler^{(Online banking & financial transactions)} - çevrimiçi bankacılık yapıyorsanız, Amazon , eBay veya diğer çevrimiçi mağazalardan bir şeyler satın alırsanız, kredi veya banka kartınızı güvenceye almalısınız. Bankanıza 3 boyutlu güvenlik ve sundukları iki adımlı doğrulama seçeneklerini sorun, etkinleştirin ve kullanın.
• Parolalarınızı saklamak^{(Storing your passwords)} - güvenlik bilincine sahip birçok kişi LastPass , Roboform veya KeePass^{(Roboform or KeePass)} gibi hizmetleri kullanır . Onları güvence altına almak çok önemlidir. Hesap şifreniz^{(account password)} çalınırsa , yetkisiz kişiler tüm şifrelerinize erişebilir ve size çok fazla zarar verebilir.
• Sosyal Ağ^{(Social Networking)} - hepimiz Facebook , Twitter veya Instagram gibi sosyal ağlarda çok sayıda kişisel veri depolarız . Başkaları verilerinize erişirse, gizli tutmayı tercih edeceğiniz birçok şey bulabilirler. Örneğin, kıskanç bir partneriniz varsa, o zaten Facebook şifrenizi^{(Facebook password)} biliyor olabilir ve ne yaptığınıza göz kulak olabilir. Kendinizi koruyun ve iki faktörlü kimlik doğrulamayı etkinleştirin.

En önemli hesaplarınız için iki faktörlü kimlik doğrulama nasıl etkinleştirilir?

Genel olarak, iki faktörlü kimlik doğrulamayı etkinleştirmek, çevrimiçi hesabınızda oturum açmanız ve ^{(account and head)}parola ve güvenlik ayarlarınıza^{(password and security settings)} gitmeniz gerektiği anlamına gelir . Ardından, hesabınız için iki faktörlü kimlik doğrulamayı kullanabiliyorsanız, bunun için bir seçenek bulmalısınız. 2FA mevcutsa, etkinleştirmek, tercih ettiğiniz yöntemi seçtiğiniz birkaç adımı takip etmek anlamına gelir (bu, genellikle e-posta veya^{(email or authenticator app)} bir akıllı telefondaki kimlik doğrulama uygulaması aracılığıyla kimlik doğrulamadır). İki faktörlü kimlik doğrulamayı etkinleştirmenize ve kullanmanıza yardımcı olmak için en popüler çevrimiçi hizmetlerden bazılarını kapsayan birkaç kılavuz yayınladık:

• Google hesabınız^{(Google account)} için 2 adımlı doğrulama nasıl etkinleştirilir veya devre dışı bırakılır
• ^(Approve)Android kullanarak Microsoft hesabınızda^{(Microsoft account)} oturum açma isteklerini onaylayın veya reddedin
• Bir iPhone veya iPad'de ^{(iPhone or iPad)}Apple Kimliğiniz^{(Apple ID)} için iki adımlı doğrulama nasıl etkinleştirilir?
• ^(Set)Google Authenticator ile Microsoft hesabınız^{(Microsoft account)} için iki adımlı doğrulamayı ayarlayın
• Fortnite'ın 2FA'sı^(Fortnite) (iki faktörlü kimlik doğrulama) nasıl etkinleştirilir ve kullanılır
• Blizzard hesabınız^{(Blizzard account)} için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin ve kullanın

Ayrıca, kendi şirketinizde iki faktörlü kimlik doğrulamayı uygulamanın kolay bir yolunu arıyorsanız, işte bu tür mükemmel bir çözümün faydaları hakkında kısa bir makale: ESET Secure Authentication ile yapabileceğiniz 7 şey .

Tüm hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirdiniz mi?

Umarız bu kılavuzu faydalı bulmuşsunuzdur. İki adımlı doğrulamanın nasıl çalıştığını anlamakla ilgili herhangi bir sorunuz veya sorununuz varsa, aşağıya yorum bırakmaktan çekinmeyin.

Simple questions: What is two-factor authentication or two-step verification?

Іn recent years a new securitу concept has made the headlines - two-step verification or two-fаctor authentication (2FA). It all started wіth Google enabling it for its users, and since then, many cоmpanieѕ followed thеir example, іncluding Microsoft, Apple, and Facebook. Even gamіng comрanies joined this trend. If you would like to undеrstand what two-factor authentіcatіоn is, how it works, why you should enable it and where read thiѕ article:

What is two-step authentication or verification?

Two-factor authentication is a security process that involves two stages for verifying the identity of a person or entity that is trying to access a service of any kind (e-mail, social networking, banking, etc.). This concept is also named two-step verification, and it requires two or more of these three authentication factors: a knowledge factor, a possession factor, and an inherence factor.

Traditional authentication involves only one or two of the three factors mentioned earlier. For example, if you want to use a service like e-mail, traditional authentication involves knowing a username and its password. Knowledge can be stolen in a variety of ways and people can find out both your username and password, and then use that information to pose as you, or steal valuable information that can be used to harm you.

In the real world, traditional verification may involve the knowledge factor and the possession factor. For example, when you go to an ATM to get cash, you use your debit or credit card (possession factor) and the PIN (a knowledge factor). However, both the PIN or the information on your credit card can be stolen in various ways, and unauthorized parties can make online transactions using your money. That's why the 3D Secure concept has been developed to provide an additional security layer for online credit and debit card transactions.

When using two-step verification in the digital world, a third factor is added: the possession factor - usually your smartphone or mobile phone. This device is used for the second stage of verifying your identity. For example, when you sign-in to your email account, you first provide your username and password. Then, you are asked to provide a time-based password that expires in a couple of seconds. This password can be sent to your email account, to your smartphone, or it can be generated by an authenticator app such as Google Authenticator or Microsoft Authenticator.

Some companies and services also provide physical authentication devices that continuously generate the codes you need to use to finalize the verification process. For example, many banks provide physical devices for two-step verification, so that you can access your bank account online. Also, PayPal does this for a number of countries, including the USA.

How does two-factor authentication work?

The implementations for two-step authentication are many, and we do not go into details about all of them because this article would become very long.

The most popular implementation is Google's approach based on the TOTP - Time-based One-time Password Algorithm. When two-step verification is enabled for your account, a special server generates a new password/code once every couple of seconds. The device sharing the password with you needs to be synchronized with the server so that the code you enter during the second authentication step matches the one on the server. If the device sharing the password is out of sync, you cannot complete the verification of your identity.

This algorithm is the most popular one found online. Many companies use it, including Google, Microsoft, Apple, Facebook, Evernote, Dropbox, WordPress, MailChimp, and LastPass.

To make it easier for you to understand how two-factor authentication works, let's take for example Fortnite, a popular online game that many people play. Once you have configured two-factor authentication (2FA) for your Epic Games account (the creators of Fortnite), it is no longer enough just to provide your username and password to log in. You also have to provide a secondary passcode to be able to do that.

The additional passcode is temporary, and you are the only one who knows it. No one else should be able to find it, as you can only get this code from an authenticator app (such as Google Authenticator) or from an email message you receive from Epic Games. The two-factor authentication codes change every couple of seconds, so they should be almost impossible to guess.

If you provide the correct two-factor authentication code, you are signed into your Fortnite account. For the next 30 days, you do not have to provide 2FA codes on the device on which you already signed in. However, at the end of the 30 days or if you try to log in from a new device, you have to provide a valid 2FA passcode again.

Two-factor authentication in the banking sector

Another popular approach is the one used by banks and credit card providers. It is named 3-D Secure, and it is used for approving financial transactions that are made online. This method of two-step verification involves three entities: the domain of the merchant or the bank to which the money is being paid, the domain of the bank which issues the card being used and the infrastructure that supports the 3-D protocol.

This protocol uses only secure SSL connections for making online transactions and, for a transaction to be approved, you need a special password, alongside your name and credit card details. This password may be temporary and time-based, or it may be permanent and set by you, the user. Another important aspect is that this password is not stored by the merchant or the bank to which money is being paid. The password is known only by the servers providing the infrastructure for the 3-D protocol. Therefore, if the merchant is hacked, hackers cannot get your 3-D Secure password.

Why do you need two-factor authentication?

The main reason why you should use two-step verification is to protect yourself. By using this additional layer of protection, you make it harder for unwanted parties to access your identity online and steal personal or financial data.

When using 3-D Secure for financial transactions, you make it harder for hackers to steal your money. It is easy for them to copy your card details but they are going to have a hard time getting your 3-D Secure password.

When should you use two-factor authentication?

Adding a secondary authentication step is annoying for everyone but necessary to keep our accounts and data private. We highly recommend that you enable and use two-step verification at least for the following types of services:

• E-mail - your Inbox stores the biggest amount of personal data out of all your online accounts. People can spy on your email history, learn the username for your banking and PayPal accounts, learn more about your work, your relationships, and many other important details. Securing your inbox is the first thing you should do.
• Online banking & financial transactions - if you do online banking, if you purchase stuff from Amazon, eBay or other online shops, you must secure your credit or debit card. Ask your bank about 3-D secure and the two-step verification options they offer, enable them and use them.
• Storing your passwords - many security conscious people use services like LastPass, Roboform or KeePass. Securing them is crucial. If your account password is stolen, unauthorized parties have access to all your passwords and can do a lot of harm to you.
• Social Networking - we all store lots of personal data on social networks such as Facebook, Twitter, or Instagram. If others get access to your data, they might find many things you would rather keep private. For example, if you have a jealous partner, they may already know your Facebook password and keep an eye on what you do. Protect yourself and enable two-factor authentication.

How to enable two-factor authentication for your most important accounts

In general, enabling two-factor authentication means that you have to log in to your online account and head to your password and security settings. Then, if you can use two-factor authentication for your account, you should find an option for it. If 2FA is available, enabling it means following a couple of steps in which you choose the method you prefer (usually, that is authentication via email or authenticator app on a smartphone). To help you out in enabling and using two-factor authentication, we have published a few guides that cover some of the most popular online services:

• How to enable or disable 2-step verification for your Google account
• Approve or deny sign-in requests to your Microsoft account using Android
• How to activate two-step verification for your Apple ID, on an iPhone or iPad
• Set up two-step verification for your Microsoft account with Google Authenticator
• How to enable and use Fortnite's 2FA (two-factor authentication)
• Enable and use two-factor authentication (2FA) for your Blizzard account

Also, if you are looking for an easy way to implement two-factor authentication in your own company, here is a short article about the benefits of an excellent solution of this kind: 7 things you can do with ESET Secure Authentication.

Have you enabled two-factor authentication on all your accounts?

We hope that you found this guide useful. If you have any questions or issues with understanding how two-step verification works, do not hesitate to leave a comment below.

Related posts

• Windows PC'nizde Remote Desktop'ü nasıl engellenir

• Nasıl Microsoft account şifresini sıfırlarım?

• Nasıl Windows 10 proxy sunucu ayarlarını yapılandırmak için

• Windows 10'da bir VPN'yı nasıl ekleyebilir ve kullanabilirsiniz (bilmeniz gereken tek şey)

• Windows Defender Güvenlik Duvarı ile uygulamaların ve oyunların internete erişmesini engelleyin

• Windows 8.1'de VPN Bağlantıları Nasıl Eklenir, Değiştirilir veya Kaldırılır

• Windows 10 Güncellemeleri için Bant Genişliği Sınırları Nasıl Değiştirilir

• ekleyebilir ve Windows 11 bir VPN nasıl kullanılır

• InPrivate and Incognito sağlar. Özel tarama nedir? Which browser en iyisidir?

• Verileri Yedeklemek için Ağ Sürücüleri ve Konumlarla Dosya Geçmişi Nasıl Kullanılır

• Windows 10 ağ konumu nasıl özel (veya genel) olarak değiştirilir

• Windows Defender Firewall'de izin verilen uygulamaların listesini nasıl düzenlenir (ve diğerlerini engelle)

• Çevrimiçiyken güvenli bankacılık ve finansal işlemler nasıl yapılır?

• Windows 10'u yerel ağdaki veya internetteki başka bir bilgisayardan güncelleyin

• Windows 7 Paylaşılan Bölümleri ve Klasörleri Ubuntu'ya Bağlayın

• Windows 8 ve 8.1'de VPN Bağlantısı Nasıl Oluşturulur, Yapılandırılır ve Kullanılır

• Microsoft'un OneDrive'ı nedir? Nasıl kullanılır?

• Facebook dışı etkinliğinizi nasıl görüntüleyebilir ve silebilirsiniz?

• Windows'ta Hosts dosyası nedir? etc/host'lar nasıl düzenlenir?

• Basit Sorular: Proxy sunucusu nedir ve ne anlama gelir?