multi-factor authentication

• multifactor authentication (yani tam türkçe anlamıyla "çok adımlı kimlik doğrulama")nın bu günkü kullanılış çeşitleri bu yazının konusu.
  ama isterseniz önce kısaca neden gerekti ona bir bakalım.
  
  internet birbirleriyle haberleşen bilgisayarlardır. tabii ki kullanıcılarının istekleri doğrultusunda. yani kullanıcı bir şey sorar, bilgisayar ya kendi cevaplar, ya da bir sonraki bilgisayara sorar, gelen cevabı sunar.
  
  işin içine para, ticaret, politika, aşk, namus girince, ve de soran internete dünyanın herhangi bir yerinden bağlanmış herhangi bir kişi olabilince, elbette ki soruların kimin adına sorulduğu, ve cevapların kime gideceği önem kazanır.
  
  kimlik ispatı, kimlik doğrulaması bu yüzden gittikçe daha önemli bir teknolojik alan olmuştur. öyle ya, soran kim? neleri sormaya hakkı var? belgeyi hakikaten o mu yazmış ve imzalamış? belgeyi yanlış kişilerin görmesi, belgenin kimse farkına varmadan kasten veya kaza ile değiştirilmiş olması, belge ile ilgili işlem yapmış olanın inkar etmesi nasıl önlenebilir? belgenin sadece muhattabınca okunabilir şekilde hazır olması nasıl sağlanabilir?
  
  ilk zamanlarda bir kimlik belirten sayı, sonraları isim ve sadece isim sahibinin bildiği bir parola, peşinden parolanın özel bir yöntemle (bkz: hash) okunamaz hale, yada bir şifreyle sadece şifre bilindiğinde okunabilir hale getirilip (bkz: encryption) saklama ve kontrol işlemini o şekilde biraz daha kandırılamaz yapma, peşinden her bilgisayarda buna, oraya özel ekler (salt) koyarak daha da sağlama alma gibi teknikler geliştirildi. başkasının işlerine karışmak isteyenler bu sefer de bilgisayar gücüyle her olası parolayı deneyerek (bkz: password cracking), ya da ali cengiz oyunlarıyla kandırıp açık ettirerek (bkz: social engineering)(bkz: phishing) parolayı veya şifreyi öğrenme yolları geliştirdiler. bu teknikler o kadar gelişti ki isim artı parola, yada sadece karmaşık şifre artık yetersiz kalmaya başladı. şifre meselesine bir çözüm gizli şifre açık şifre (bkz: asymmetric encryption) ile bulundu, fakat parola (bkz: password) sorun olmaya devam etti.
  
  multifactor authentication (yani tam türkçe anlamıyla "çok adımlı kimlik teyiti") bu parola yetersizliğine çare aramanın sonucu ve bu çabaların meyvelerine verilen genel isimdir. sadece isim ve parola ikilisi yönteminden daha iyi olduğu kabul görmüş olan yöntemler şu sıralarda beş gruba ayrılabilir (bundan sonrası şu yazıdan özetle tercüme: https://www.eff.org/…-two-factor-authentication-web )
  1- (bkz: 2fa) sizden parolanızı ve mesaj olarak size gönderilen rastgele görünüşlü bir sayıyı girmeniz isteniyor. bu mesajı cep telefonunuza sms olarak gelmesi en güvensizi (eski teknoloji telefon santralları ve sim taklidi yüzünden), email biraz daha iyi ama o da gizli kalmayabilir.
  2- (bkz: one time password) (bkz: otp) sizden parolanız ve cebinizdeki bir aletin (bkz: şifrematik) veya bilgisayarınızdaki/akıllı telefonunuzdaki bir programın (bkz: authenticator) göstereceği, son 30 saniyede yenilenmiş bir parola/sayı (bkz: tek kullanımlık şifre) isteniyor. burada da tam gizlilik için hem sizde hem web sitesinde gizli bir sırrın ele geçirilemez olması, sizdekinin kayba karşı yedeği olması gerekiyor.
  3- (bkz: teyit etmek) kullanıcı adınızı ve parolanızı girdikten sonra güvenilir yoldan gönderilen bir mesajla sizden bu işlemi teyit emeniz isteniyor (bkz: push based 2fa).
  4- (bkz: u2f) en son, şu an en iyi, ama henüz her yerde kullanılamayan, asimetrik kripto kullanan, gizli anahtarın hiç okunamaz gönderilemez olduğu, bir başka 2fa tekniğiyle birlikte kullanılınca parola gerektirmeyen (şükür, en sonunda oldu!!), ayrıca da bir sürü başka güvenlik tedbirine olanak veren (izin seri no, kullanıcı alete dokunma şartı, kullanıcı alet şifresi girme şartı, kullanıcı parmak izi, kullanıcının izin adresini alette görüp kabulü ), kayba karşı birden fazla kullanıp yedeklenebilen, bir sürü standarda uyan (bkz: fido alliance) (bkz: ctap) (bkz: webauthn) (bkz: fido2), ayrı bir küçük donanım. bu tip u2f aletlerine örnekleri şuralarda görebilirsiniz: (bkz. https://github.com/…2freviews/blob/master/readme.md), (bkz: trezor), (bkz: ledger wallet). bu tip alet kullanmayan ama authenticator kabul eden siteler için kendi asimetrik kripto kullanan authenticator'u olan var^*.
  5- yedek şifre : bazı web siteleri size isteğiniz üzerine 10 şifre verirler, bunları iyi saklar hiç bir tedbir işe yaramayıp, giriş yapamadığınızda bunlardan birini tek kullanımlık parola olarak kullanır kimlik teyitinizi ve dolayısıyla siteye girişinizi yapabilirsiniz.
  
  bir de artık rağbet edilmeyen metodlar var onları da bilelim:
  1- özel sorular: evlilik yıldönümün, doğduğun şehir, ananın kızlık soyadı tarzı bilgiler. bunlar azimli kötü niyetli ve sizinle işi olan başkalarının bulma bilme olasılığı yüksek bilgilerdir.
  2- parmak izi, göz, el, yüz, yürüyüş tarzı gibi gerektiğinde değiştiremeyeceğiniz, duruma göre her zaman tamamen ayni olmayan biyometrik verilerin sadece yanınızdan katiyen ayırmadığınız cihazlarda kullanım rahatlığı dışında, kimliğinizi sadece onun belirlemesi şeklinde kullanılması .