Have I Been Pwned veri tabanında 12 milyarı aşkın sızdırılmış hesap bilgisi var. Bu satırları okuyan kişinin e-posta adresi ve parolası büyük ihtimalle bu listede yer alıyor. Credential stuffing adı verilen saldırı yönteminde botlar bu bilgileri saniyeler içinde binlerce serviste deniyor. Parolanız çalınmışsa, hesabınız ele geçirilmesi an meselesi.
İki aşamalı kimlik doğrulama (2FA) bu senaryoyu tamamen bozar. Parola sızdırılmış olsa bile saldırgan hesabınıza giremez. Ama dikkat: her 2FA türü eşit güvenli değil.
2FA Türleri: En Güçlüden En Zayıfa
2FA denildiğinde akla önce SMS kodu geliyor. Oysa SMS, 2FA türleri arasında en zayıf olanıdır. Güven skalası şöyle dizilir:
- Donanım güvenlik anahtarları (YubiKey, Google Titan Key)
- TOTP tabanlı authenticator uygulamaları (Google Authenticator, Authy)
- Push bildirimi tabanlı uygulamalar (Duo Security)
- SMS ile tek kullanımlık kod
- E-posta ile kod
Listede aşağıya indikçe güvenlik azalıyor. SMS ve e-posta tabanlı yöntemler belirli saldırılara karşı savunmasız kalıyor.
SMS 2FA Neden Riskli?
SMS doğrulama kodu kullanmanın temel sorunu SIM swapping saldırısıdır. Saldırgan, telefon operatörünü kandırarak telefon numaranızı kendi SIM kartına taşıtır. Artık tüm SMS'ler ona geliyor. Bu saldırı için teknik bilgi gerekmez; sosyal mühendislik yeterli.
2019'da Twitter CEO'su Jack Dorsey'nin hesabı bu yöntemle ele geçirildi. 2020'de kripto para borsalarından hesap sahiplerini hedef alan bir SIM swap kampanyasında milyonlarca dolar çalındı.
SIM swapping dışında, mobil ağların dayandığı SS7 protokolündeki açıklar sayesinde deneyimli saldırganlar SMS'leri hedef cihaza ulaşmadan önce yakalayabiliyor. Bu saldırı devlet düzeyinde aktörler ve gelişmiş tehdit grupları tarafından kullanılıyor. Kritik hesaplarınızda SMS 2FA kullanmaktan kaçının.
Authenticator Uygulamaları: Pratik ve Güvenli
TOTP (Time-based One-Time Password) standardına dayanan authenticator uygulamaları, SMS'ten çok daha güvenli bir alternatif sunar. Uygulama, sunucuyla paylaşılan gizli bir anahtar ve mevcut zamanı kullanarak 30 saniyede bir değişen 6 haneli kod üretir. Bu kod internet bağlantısı gerektirmez ve SMS'in taşıdığı ağ risklerinden muaftır.
Google Authenticator: Basit ve güvenilir. Hesap yedekleme 2022'den itibaren Google hesabına senkronize ediliyor; ancak bu bir avantaj olduğu kadar potansiyel risk de taşıyor. Authy: Çoklu cihaz desteği ve şifreli bulut yedekleme sunar; daha esnek ama biraz daha karmaşık. Microsoft Authenticator: Microsoft ekosistemi kullanıcıları için iyi entegrasyon.
Donanım Güvenlik Anahtarları: Paranın Gerçek Değeri
YubiKey, Google Titan Key veya benzer FIDO2/WebAuthn uyumlu donanım anahtarları, mevcut en güçlü 2FA yöntemidir. Kimlik avı (phishing) saldırılarına karşı da koruma sağlar; çünkü anahtar yalnızca gerçek site URL'siyle eşleştiğinde çalışır. Sahte bir siteye girdiğinizde anahtar aktivasyon reddeder.
Google, tüm çalışanlarına 2017 yılında donanım anahtarı dağıttıktan sonra kimlik avı saldırısı kaynaklı hesap ihlali sıfıra indi. Bu istatistik her şeyi özetliyor.
Passkey Devrimi: Parola Olmayan Gelecek
Passkey teknolojisi FIDO2 standardına dayanan ve hem parola hem de 2FA ihtiyacını tek adımda karşılayan yeni nesil kimlik doğrulama yöntemidir. Apple, Google ve Microsoft'un ortaklaşa desteklediği bu sistem; cihaz biyometrisini (yüz tanıma, parmak izi) veya PIN kodunu kullanarak kriptografik anahtar çifti oluşturur. Sunucuya hiçbir zaman parola gönderilmez.
2026 itibarıyla Google, Apple, Microsoft ve GitHub gibi büyük platformlar passkey desteği sunuyor. Geçiş süreci hâlâ devam ediyor; şu an için kritik hesaplarda passkey + yedek donanım anahtarı kombinasyonu en güçlü korumayı sağlıyor.
Her 2FA kurulumunda size verilen yedek kodları (recovery codes) güvenli bir yerde saklayın. Telefonunuzu kaybettiğinizde veya authenticator uygulamanıza erişemediğinizde bu kodlar hesabınıza geri girmenizi sağlar. Bunları dijital ortamda değil, fiziksel olarak saklamanız önerilir. Kaybetmek veya çaldırmak, hesabınıza kalıcı erişim kaybına yol açabilir.