Çevrimiçi kimliklerin korunmasında “İki Adımlı Doğrulama”

Haziran 2015 Paros Dergisi’nde yayımlanan yazım.

Biz kullanıcılar olarak sanal dünyayı pek seviyoruz. Neredeyse gerçek kimliğimiz olduğu gibi sanal ortama taşınmış durumda. Facebook gibi sanal ortamlarda kişisel içeriklerimizi paylaşıyoruz ve hatta bu içeriklerin kimler tarafından erişilebildiği ile pek ilgilenmiyoruz. Google, Windows gibi teknoloji devlerinin sağladığı platformlarda e-posta hesaplarına sahibiz; banka işlemlerimizi, müşteri ilişkilerimizi ve daha bir çok işlemi bu e-posta hesaplarımız sayesinde yürütebiliyoruz. Morhipo, 1V1Y gibi birçok alışveriş sitesinde açtığımız yeni hesaplarımız sayesinde, oturduğumuz yerden alışveriş yapma ayrıcalığına sahibiz. Tüm bunlar teknolojinin bize sağladığı kolaylıklar ve bu kolaylıklardan vazgeçmemiz artık pek de kolay değil.

Şu anda bir durup düşünün bakalım, toplamda kaç tane çevrimiçi hesabınız var sayabildiniz mi? Kaçı için aynı şifreyi kullanıyorsunuz? Biliyorum çoğunuzun cevabı benzer. Hepsi için bir veya iki şifreniz var, hatta unutmamanız için de seçtiğiniz kolay şifreler. Mesela 123456? 12341234? Doğum tarihiniz, adınız, tuttuğunuz takım, telefon numaranız vs.? Unutmayın ki sizin kolay hatırlamak için seçtiğiniz bu şifreler, kötü niyetli kişiler tarafından da ele geçirilebilir. Aman neyim var ki bu hesaplarda demeyin. En basitinden alışveriş sitesindeki hesabınızda kayıtlı bir ev adresiniz, cep telefonu numaranız, kimlik bilgileriniz ve e-posta bilgileriniz var. E-posta şifreniz de aynı ise, tüm e-postalarınıza erişilebilir. Başka hesaplarınıza ait şifreler sıfırlanarak, onlara da erişim sağlanabilir. İşte karşımızda “zincirleme şifre çalınması”…

Peki çevrimiçi hesaplarınıza ait şifreler nasıl çalınır? Çeşitli sitelere kayıt olurken hep aynı şifreyi kullanıyorsanız, tehlikedesiniz. Güvenli olmayan bir site vasıtasıyla, şifreniz ele geçirilebilir. E-postalar içerisinde gelen bağlantılara tıkladığınız takdirde, karşınıza güvenli olmayan bir site çıkabilir. Örneğin, X Bankası’na ait olduğunu sandığınız bir sayfada, tüm banka bilgilerinizi kendi elinizle veriyor olabilirsiniz. Internet’ten indirdiğiniz herhangi bir yazılım vasıtasıyla da bilgileriniz kötü niyetli kişilerin eline geçebilir. Böylesi bir durumda, hesaplarınızın kontrolü bu kişilerin eline geçer. Hatta bu durum, sadece sizin değil, size bağlı kişilerin de güvenliğini tehlikeye atar. Örneğin, bu kişiler sizin gibi davranarak bir arkadaşınıza e-posta atabilir, arkadaşınızın bir bağlantıya tıklamasını sağlayabilir ve bilgilerini çalabilir.

Çevrimiçi hesapların güvenli tutulabilmesi için maalesef ki şifre ile giriş yöntemleri yetersiz kalıyor. Bunu daha güvenli hale getirmenin yolu ise “İki Adımlı Doğrulama” yöntemi. Bu yönteme göre, ilk adımda her zaman yaptığınız gibi şifrenizi giriyorsunuz. İkinci bir adım olarak ise, size özel olarak üretilen tek kullanımlık bir kod gerekiyor. Bu kodu sadece sizin biliyor olmanız ise en önemli kısım. Bu kodu üreten ise yanınızda taşıdığınız fiziksel bir cihaz, cep telefonunuza yüklediğiniz bir uygulama veya cep telefonunuza gelen bir SMS. İnternet bankacılığına giriş yaparken tam da bu yöntemi kullanıyoruz. Aynı yöntemi, çevrimiçi hesaplara giriş yaparken de kullanmak mümkün. Örneğin, Gmail, Facebook, Dropbox, Windows Live gibi çokça kullandığımız tüm bu sistemler, iki adımlı doğrulama yöntemini destekliyor. Bu yöntem bizi nasıl korur derseniz… Diyelim ki Ali e-posta şifrenizi çalmayı başardı ve hesabınıza girmeye çalışıyor. Ali şifrenizi bildiği için ilk adımı rahatlıkla geçecek. İkinci adımda gerekli kodu Ali bilmediği için (cep telefonunuzu Ali’nin çalmadığını varsayarsak!), Ali’nin hesabınıza girme girişimi engellenmiş olacak. Oysaki iki adımlı doğrulama yöntemini kullanmıyor olsaydınız, Ali hesabınıza girerek dilediği her şeyi yapabilirdi. Güvenliğiniz sizin için biraz önemliyse, kullandığınız çevrimiçi hesaplarda bu yöntemi etkinleştirin. Basit bir arama sonrasında, bu yöntemi nasıl etkinleştireceğinizi bulabilirsiniz. Örneğin, Gmail için bu işi yapmak istiyorsanız, Google arama motorunda “Gmail iki adımlı doğrulama” yazarak, karşınıza çıkan ilk sayfaya girip adımları takip edebilirsiniz.

“Ne güzel şifremizi girip, hesabımıza erişiyorduk. Şimdi bir de kod ile mi uğraşacağız?” dediğinizi duyar gibiyim. Kendi bilgisayarlarınızda veya akıllı cihazlarınızda giriş yaptıktan sonra, bu cihazların sizi hatırlamasını sağlayabilirsiniz. Yani kendi cihazlarınızı kullanırken eskisi gibi şifre girerek hesaplarınıza girebileceksiniz. Fakat başka bir bilgisayardan oturum açmaya kalktığınız takdirde, iki adımlı doğrulama sizi karşılıyor olacak. Her zaman cep telefonunuz yanınızda olmayabilir. Bu gibi durumlarda, size özel üretilen kodların bir çıktısını alıp, cüzdanına koyabilirsiniz. Diyelim tatile gittiniz, telefon da yanınızda değil ve koda ihtiyacınız var. Cüzdanınız sizi kurtaracak!

Her ne kadar karışık gözükse de, o kadar da zor değil. Güvenliğiniz her şeye değer. Bir yarım saatinizi ayırıp çevrimiçi hesaplarınızın güvenliğini gözden geçirmenizi tavsiye ederim.