Çok Faktörlü Doğrulama (MFA/2FA) nedir? — Bilgi Güvenliği Sözlüğü

Kimlik & Erişim

Çok Faktörlü Doğrulama (MFA/2FA)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Parolanız çalınsa bile hesabınız açılmaz: MFA, saldırganın elinde sadece parola olduğunda kapıyı kapalı tutan ikinci kilittir — Microsoft'a göre hesapları otomatik saldırıların %99'undan fazlasına karşı korur.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta Kimlik & Erişim kategorisinden Çok Faktörlü Doğrulama'yı (MFA / iki faktörlü hâline 2FA denir) öğreniyoruz: ne olduğunu, hangi mekanizmayla çalıştığını ve neden iş yerinde tek başına parolaya güvenmenin yetersiz olduğunu inceliyoruz.

Anlatım

NEDİR? Çok Faktörlü Doğrulama (Multi-Factor Authentication, MFA), bir kullanıcının kimliğini doğrulamak için BİRDEN FAZLA bağımsız kanıt isteyen güvenlik yöntemidir. İki faktör kullanıldığında buna İki Faktörlü Doğrulama (2FA) denir; 2FA, MFA'nın özel bir hâlidir. Amaç şudur: tek bir kanıt (örneğin yalnızca parola) çalınırsa bile saldırgan ikinci kanıtı sağlayamadığı için hesaba giremez. ÜÇ FAKTÖR KATEGORİSİ Gerçek MFA için faktörler FARKLI kategorilerden seçilmelidir: • Bildiğiniz bir şey (knowledge): parola, PIN, güvenlik sorusu. • Sahip olduğunuz bir şey (possession): telefondaki authenticator uygulaması, SMS kodu, donanım anahtarı (örn. FIDO2/YubiKey), akıllı kart. • Olduğunuz bir şey (inherence): parmak izi, yüz tanıma, iris gibi biyometrik özellik. İki parola sormak MFA DEĞİLDİR — çünkü ikisi de aynı kategoridendir (bildiğiniz şey). NASIL ÇALIŞIR? (adım adım) 1) Kullanıcı kullanıcı adı ve parolasını girer (1. faktör — bildiğiniz şey). 2) Sistem parolayı doğrular, ancak oturumu HENÜZ açmaz; ikinci faktörü ister. 3) Kullanıcı ikinci kanıtı sağlar: telefonundaki uygulamada üretilen 6 haneli zamana bağlı kodu (TOTP) girer, gelen bildirimi onaylar veya donanım anahtarına dokunur. 4) TOTP'de hem sunucu hem uygulama, kurulumda paylaşılan gizli anahtar ve geçerli zaman dilimini (genelde 30 sn) kullanarak aynı kodu bağımsız üretir; kodlar eşleşirse faktör doğrulanır. 5) Her iki faktör de geçerliyse oturum açılır; biri eksik veya yanlışsa erişim reddedilir. NEDEN ÖNEMLİ / İŞ YERİNDE Parolalar tek başına zayıftır: yeniden kullanılır, oltalama (phishing) ile çalınır, sızıntılarda açığa çıkar ve kaba kuvvet (brute force) saldırısına maruz kalır. MFA, çalınmış bir parolayı tek başına işe yaramaz hâle getirir. Kurumsal ortamda VPN, e-posta, bulut yönetim panelleri ve yönetici (admin) hesapları için MFA neredeyse zorunlu kabul edilir; KVKK/ISO 27001 gibi uyum çerçeveleri de erişim kontrolünde güçlü doğrulama bekler. DİKKAT / İYİ UYGULAMA • SMS kodu, SIM swap ve araya girme (MITM) saldırılarına SMS'in zayıf bir faktör olduğunu unutmayın; mümkünse authenticator uygulaması veya donanım anahtarı tercih edin. • Oltalamaya dayanıklı en güçlü seçenek FIDO2/WebAuthn donanım anahtarlarıdır (sahte siteye kod sızdırmaz). • "MFA yorgunluğu" (push bombing) saldırısına karşı sayı eşleştirmeli (number matching) onay kullanın; gelen her bildirimi düşünmeden onaylamayın. • Kurtarma/yedek kodları güvenli saklayın; tek faktör kaybında kilitlenmeyi önler.

📌 Senaryolar

📌 Örnek 1 (Bankacılık 2FA): Kullanıcı internet bankacılığına parolasıyla giriş yapar, ardından bankanın authenticator uygulaması 6 haneli tek kullanımlık kod ister.
  Açıklama: 1. faktör parola (bildiğiniz şey), 2. faktör telefondaki uygulamanın ürettiği kod (sahip olduğunuz şey). İki farklı kategoriden kanıt istendiği için bu gerçek bir 2FA'dır; parolayı çalan saldırgan telefona erişemediği için işlemi tamamlayamaz.

📌 Örnek 2 (Kurumsal e-posta — oltalama sonrası): Bir çalışan sahte bir e-posta ile parolasını bir saldırgana kaptırır. Saldırgan parolayı kullanarak şirket e-postasına girmeye çalışır ancak hesapta MFA açıktır ve telefon onayı ister.
  Açıklama: Saldırganın elinde sadece parola (1. faktör) var; çalışanın telefonundaki onay (2. faktör) olmadan giriş reddedilir. MFA, çalınmış parolanın tek başına yetersiz kalmasını sağlayarak hesabı korur.

📌 Örnek 3 (Telefon + parmak izi — biyometrik MFA): Kullanıcı banka uygulamasını açarken önce PIN girer, sonra parmak iziyle onaylar.
  Açıklama: PIN bildiğiniz şey, parmak izi olduğunuz şey (biyometrik). Faktörler farklı kategorilerden olduğu için bu da geçerli bir çok faktörlü doğrulamadır; iki kez PIN sorulsaydı bu MFA SAYILMAZDI çünkü her ikisi de aynı kategoriden olurdu.

Özet

• MFA, kimliği farklı KATEGORİLERDEN birden fazla kanıtla doğrular; iki faktörlü hâli 2FA'dır. • Üç kategori: bildiğiniz şey (parola), sahip olduğunuz şey (kod/donanım anahtarı), olduğunuz şey (biyometri). • Tek faktör (parola) çalınsa bile ikinci faktör olmadan giriş engellenir — oltalama ve brute force'a karşı güçlü koruma. • En güçlü seçenek FIDO2/donanım anahtarı; SMS en zayıf faktördür (SIM swap riski).

✅ Mini-Test (3)

1.Aşağıdakilerden hangisi geçerli bir çok faktörlü doğrulama (MFA) örneğidir?

2.MFA faktörlerinden parmak izi veya yüz tanıma hangi kategoriye girer?

3.Parola çalınmış olsa bile, hesapta MFA etkinse saldırgan ikinci faktörü sağlayamadığı için genellikle giriş yapamaz.

← Tüm sözlük terimleri · Farkındalık eğitimi