Multi Factor Authentication (Çok faktörlü kimlik doğrulama)

MFA Nedir

Çok faktörlü kimlik doğrulaması (MFA), bir kullanıcı, hesabına erişmek istediğinde, kullanıcı kimliğini kanıtlamak için en az iki veya daha fazla türde doğrulamayı gerekli kılan, araya ekstra bir güvenlik adımı ekleyerek hesap güvenliğini artıran bir sistemdir.

alt text

Neden Kullanılır

Herhangi bir platformda, kullanıcı, hesabına erişmek istediğinde temel olarak parola / kullanıcı adı kombinasyonu kullanır. Fakat kullanıcılar, özellikle birden fazla web sitesinde aynı parolayı kullanırlarsa, parolalarının ele geçirilmesi konusunda sandıklarından daha büyük risk altında olabilirler. Çok faktörlü kimlik doğrulama mekanizmasını desteklemeyen hassas bilgilerin yer aldığı bir sistem üzerinde kullanıcının şifresi ele geçirilirse, tahmim edilirse veya kimlik avına maruz kalırsa, şifreyi ele geçiren kötü kullanıcı hassas bilgilere kolayca erişebilir, manipüle edebilir veya silebilir. Basit bir yazılım indirmek veya e-postalardaki bağlantılara tıklamak bile kullanıcıyı şifre hırsızlığına maruz bırakabilir. Karşılaşılan sorun istenmeyen bir durumdur ve bazen geri dönüşü olmayan sorunlara neden olabilir.

Fakat çok faktörlü kimlik doğrulaması olan bir sistem üzerinde şifre kötü kullanıcı tarafından ele geçirilse bile, kötü kullanıcı ikinci bir faktöre ihtiyaç duyacaktır ve bu da çalınan şifreyi tek başına işe yaramaz hale getirecektir.

Multi Factor Authentication (Çok Faktörlü Kimlik Doğrulama) ile Two Factor Authentication (İki Faktörlü Kimlik Doğrulama) Arasındaki Farklar

MFA denince akla 2FA da gelir. Hatta bir çok kişi tarafından da karıştırılır. MFA ile 2FA temelde aynı işlemleri gerçekleştirirler. Her iki sistem de bir güvenlik adımı ekleyerek hesap güvenliğini artırır. Fakat farklar vardır. MFA ile 2FA arasındaki bariz fark aslında isimlerden de anlaşılabiliyor. Çoklu - "çok" anlamına gelirken iki "iki", yani "birden fazla" anlamına gelir. MFA en az iki veya daha fazla türde doğrulamayı gerekli kılarken 2FA yalnızca iki türde doğrulamayı gerekli kılar. 2FA, MFA'nın alt kümesi diyebiliriz.

MonoSign'da Kullanılan MFA Mekanizmaları

  1. Monosign Mobile Authenticator (Monosign Mobil Kimlik Doğrulayıcı)

    Monosign mobil doğrulayıcı Monofor şirketi tarafından geliştirilmiş bir kimlik doğrulayıcıdır.

    Nasıl Çalışır?

    Kullanıcı sisteme giriş yapmak istediğinde kullanıcının mobil cihazına anında bir ileti göndererek kullanıcının doğru kullanıcı olup olmadığını kanıtlamasını ister. Kullanıcı, mobil cihazına bildirim geldiğinde onayla tuşuna tıklarsa sisteme başarılı bir şekilde giriş yapar. Eğer kullanıcı giriş işleminin kendi tarafından yapılmadığını düşünüyorsa redded tuşuna tıklayarak sisteme giriş işlemini iptal edebilir. Monosign Mobil Doğrulayıcı uygulaması aynı zamanda her 30 saniyede 6 rakamdan oluşan kod üretir. Monosign mobil doğrulayıcı uygulamasına sadece kullanıcının sahip olabileceği parmak izi veya yüz tanıma da eklenebilir. Kullanıcı dilerse sisteme giriş yaparken mobil doğrulayıcı uygulaması üzerinde yenilenen kodu kullanarak da sisteme giriş yapabilir.

  2. Third Party Mobile Authenticators (Üçüncü Parti Mobil Kimlik Doğrulayıcılar Monotp, Google Authentication,Microsoft Authentication vb.)

    Üçüncü Parti Mobil Kimlik Doğrulayıcılar başka şirketler tarafından geliştirilmiş kimlik doğrulayıcılardır.

    Nasıl Çalışır?

    Üçüncü parti mobil doğrulayıcılar MonoSign mobil doğrulayıcı uygulalaması gibi çalışırlar.Üçüncü parti kimlik doğrulayıcılar da her 30 saniyede 6 rakamdan oluşan kod üretir. Kullanıcı 6 rakamdan oluşan kodu sisteme giriş yaprken kullanır ve doğrulama işlemi gerçekleşmiş olur.

  3. SMS

    Kullanıcı sisteme giriş yapmak istediğinde kullanıcıya ait sistemde kayıtlı olan telefon numarasına bir sms gönderir. Kullanıcı sms yoluyla gelen 6 rakamdan oluşan kodu sisteme giriş yaparken kullanır ve doğrulama işlemi gerçekleşmiş olur.

  4. Phone Call (Arama)

    Kullanıcı sisteme giriş yapmak istediğinde kullanıcıya ait sistemde kayıtlı olan telefon numarasına bir telefon çağrısı yapar. Kullanıcı telefon çağrısında belirtilen adımı uygulayarak doğrulama işlemini gerçekleştirir ve sisteme giriş yapar.

  5. Security Key (Güvenlik Anahtarı)

    Güvenlik Anahtarı, USB bağlantı noktanızla çalışan mini cihazdır. Güvenli bir şekilde ikincil bir doğrulama gerçekleştirmenize olanak sağlar. Bu güvenlik anahtarına sahip olmayan hiç kimse kullanıcı hesabına erişemez veya kullanıcı adına işlem yapamaz.

  6. Personal E-Mail (Kişisel E-Posta)

    Kişisel e-posta doğrulama özelliği, kullanıcının güvendiği ikinci e-posta adresine bir doğrulama kodu gönderir. Bu kod yalnızca kullanıcının güvendiği bir e-posta adresine gönderileceğinden, bu e-posta adresine erişimi olmayanlar kullanıcı hesabına giriş yapamayacaktır.

MonoSign'da MFA Tanımlamaları ve Kullanımları

MFA Tanımlamaları

Monosign üzerinde daha önce hiç MFA tanımı yapılmamışsa, kullanıcı bilgileriyle sisteme giriş yapılır.

alt text

Sisteme giriş yapıldıktan sonra sağ üstte bulunan kullanıcı resmine tıklandığında çıkan menüden "My Account" sekmesine tıklanır.

alt text

Yönlendirilen ekranda bulunan "Multi Factor Security" bölümüne tıklanır

alt text

MFA hiç aktif edilmediği için sağ üstte bulunan "Activate" bölümüne tıklanır ve kullanıcı için MonoSign üzerinde MFA tanımlaması yapılmış olur.

alt text

MFA aktif edildikten sonra Mobile Authenticator MFA mekanizmasını kullanmak için "Use" bölümüne tıklanır. Kullanıcının karşısına mobil uygulamadan okutması gereken bir QR kod çıkar.

alt text

Mobil cihaza indirilen Monosign Mobil MFA uygulamasına girilir ve "Scan Barcode" bölümüne tıklanır. Kullanıcının karşısına çıkan QR kod okutma ekranından web sitesi üzerinden açılmış MonoSign uygulamasındaki QR kod okutulur ve Mobile Authentication kullanıcının hesabına tanımlanmış olur.

alt text

Kullanıcı Multi-Factor Authentication sayfasına geri yönlendiği zaman Mobile Authentication mekanizmasının aktif olduğunu görüntüleyecektir.

alt text

Kullanıcı isterse diğer MFA mekanizmalarını da aynı şekilde sisteme tanımlayabilir.

MFA Kullanımları

Monosign üzerinde daha önce MFA tanımı yapılmışsa, kullanıcı bilgileriyle sisteme giriş yapılır. Giriş yapıldıktan sonra kullanıcının karşısına güvenlik adımı ekranı gelir.

alt text

Kullanıcı karşısına bu ekran geldiğinde mobile authenticator uygulamasından bir bildirim alır. Kullanıcı isterse gelen bildirime basılı tutarak hesaba girişi onaylayabilir ya da onaylamayabilir. Kullanıcı dilerse bildirime tıklayarak uygulamaya yönlenip, uygulama içerisinden de onaylama işlemini gerçekleştirebilir.

alt text

Kullanıcı hesabına giriş yapmaya çalışırken bildirim almakla ilgili sorun yaşıyorsa (cihaz ayarlarından uygulama için bildirim göndermeye yetki verilmediyse vb.), giriş yapıldıktan sonra kullanıcının karşısına güvenlik adımı ekranı geldiğinde "To write 6 digit codes manually click here" yazısına tıklar. Mobil cihazındaki doğrulama uygulamasına giriş yaparak her 30 saniyede bir yenilenen 6 rakamlı kodu girerek doğrulama işlemini gerçekleştirebilir.

Ek olarak uygulama üzerinde kullanıcıya özel pin ya da mobil cihazlarda bulunan yüz tanıma veya parmak izi okuma mevcutsa mobil doğrulama uygulamasına tanımlanabilir. Kullanıcı uygulamaya her giriş yapmak istediği durumda bu özelliklerden herhangi birini kullanarak mobil uygulamaya girişi gerçekleştirebilir.

alt text

MFA Avantajları ve Dezavantajları

Avantajları

  • Güvenlik:

    Çok faktörlü kimlik doğrulamanın birincil faydası, katmanlara ek koruma ekleyerek güvenlik sağlamasıdır. Ne kadar çok faktör mevcutsa, saldırganın kritik sistemlere ve verilere erişim riski o kadar düşüktür.

  • Uyumluluk ve Yasal riskler:

    Veri şifrelemenin yanı sıra, eyalet hükümetleri ve federal hükümetler, belirli işletmelerin son kullanıcı düzeyinde standart işletim prosedürlerine çok faktörlü kimlik doğrulamasını uygulamasını zorunlu kılmıştır.

  • Giriş Sürecini Daha Az Zor Hale Getirir:

    Düzenlemeye tabi olmayan birçok işletme, çalışanlar ve müşteriler için daha karmaşık bir oturum açma sürecinden korkarak MFA uygulamalarına direniyor. Ancak bu ekstra güvenlik katmanı, kuruluşların gelişmiş güvenlik yolunda oturum açma süreçlerini yeniden tanımlamalarına ve yeniden tasarlamalarına olanak tanır.

  • Güvenlik Beklentilerini Belirleme:

    Kuruluşunuzdaki güvenlik gereksinimlerini ve beklentilerini belirlemek, herhangi bir MFA uygulamasının önemli bir parçasıdır. Örneğin, sektörünüz, iş modeliniz, uygulanabilir uyumluluk düzenlemeleri (varsa) ve normal iş operasyonlarını yürütmek için yakaladığınız, kullandığınız ve sakladığınız verilerin türü önemli hususlardır. Bir MFA uygulaması, her kuruluş için risk düzeyine göre yaygın iş senaryolarını tanımlama ve sınıflandırma ve MFA oturumunun ne zaman gerekli olduğunu belirleme fırsatıdır.

Dezavantajları

  • Engellenen Erişim:

    Eğer çok faktörlü kimlik doğrulayıcılarından birine erişiminiz yoksa ve kullanıcı erişimini doğrulamak için yedekleme kaynakları ayarlamadıysanız, belirli bir uygulama veya sisteme erişim izni verilemez.

  • Maliyet:

    Geleneksel olarak, bir kuruluş şirket içi donanım gerektiren ve mevcut kimlik çözümleriyle entegre olması gereken bir çözüm kullanıyorsa MFA maliyetli olabilir.

  • Oturum Açma Süresi:

    Sisteminizde oturum açmak ve bir mobil cihaz kullanarak doğrulama yapmak için gereken süre oturum açma süresini uzatabilir.

10'dan fazla MFA opsiyonu ile MonoSign her platformda yanınızda