İki Faktörlü Kimlik Doğrulamanın Yetersiz Kaldığı Yer
Yayınlanan: 2021-01-26Web tasarımcıları sürekli olarak güvenlik tavsiyesi bombardımanına tutulur. En iyi uygulamalar, güvenlik açıkları ve bunların gerekli yamaları hakkında bilgilendiriliriz. Başını döndürmek için yeterli.
Tabii ki, bunların hepsi önemli ve iyi niyetli. Çevrimiçi güvenlik, en büyük oyuncuların bile hassas olduğu, sürekli hareket eden bir hedeftir. Bu nedenle son gelişmeleri takip etmek bize düşüyor.
İki faktörlü kimlik doğrulama (2FA), çevrimiçi hesapları güvende tutmak için en çok lanse edilen teknolojiler arasında yer aldı. Bankacılıktan sosyal medyaya kadar her yerde uygulandığını görüyorsunuz. Ve kendi web sitenize de kolayca kurulabilir.
2FA, hesaplarımıza yetkisiz erişimi engellemede etkili olsa da, potansiyel olarak bazı önemli dezavantajları da vardır. Geçenlerde bunu bizzat yaşadım. Aşağıdakiler, olanlara ve yaratılmasına yardımcı olan karmaşaya bir bakış.
Sağlayıcılar Arasında Farklı Uygulamalar – Tek Bir Ortak Konuyla
Hemen hemen tüm diğer teknolojiler gibi, iki faktörlü kimlik doğrulama da çeşitli şekillerde uygulanabilir. Kullanıcılar, bir SMS mesajı, e-posta veya Google Authenticator gibi bir uygulamadan gelen bir doğrulama kodu aracılığıyla kimlik doğrulaması yapabilir. Ayrıca, her oturum açma işleminde görüntülenen ve bir kimlik avı sitesinde olmadıklarından emin olan güvenilir bir fotoğraf seçebilirler.
Bazen bir servis sağlayıcı size bir seçenek sunar. Ancak çoğu zaman sundukları yöntem ne olursa olsun takılıp kalırsınız. 2FA aracılığıyla ne kadar çok hesap korursanız, her şey o kadar karmaşık hale gelir.
Örneğin, birçok yer telefonunuz için SMS mesajları kullanır. Ama sonra yine bazıları bu kimlik doğrulama uygulamasını da gerektirecektir. Yine de diğerleri farklı bir yaklaşıma sahip olacak. Buradaki zorluk, kimin hangi teknolojiyi kullandığını takip etmeye çalışmak ve elinizde doğru araçlara sahip olduğunuzdan emin olmaktır.
Ancak çoğu yöntemin tek bir ortak noktası var gibi görünüyor: çalışması için mobil cihazınıza güveniyorlar. Bu kesinlikle uygun. Yine de, ya o cihaza bir şey olursa?
Başarısız Bir Telefon Kaosa Yol Açar
Android telefonumdaki mobil veri bağlantısı bozulduğu için kendimi bu durumda buldum. Kısa mesajlar saatlerce gecikiyor veya hiç teslim edilmiyor. Aynı evde ve aynı ağda yaşayan bir aile üyesi mesajlarını gayet iyi aldı. Bu beni bunun bir tür donanım arızası olduğuna inandırdı.
Bu çıkmazda olduğu gibi, birkaç çare denedim. Bu, telefonumu fabrika ayarlarına sıfırlamanın korkunç “nükleer seçeneği”ni içeriyordu. Denemeye değer, değil mi?
Buradaki sorun iki yönlüydü. İlk olarak, kısa mesaj sorununu çözmedi. Daha da kötüsü, beni çeşitli hesaplarımdan çıkardı. Google, Facebook, Twitter vb. hepsi bombalandı. Belki bu zihinsel sağlığım için daha iyidir, ama muhtemelen iş/oyun için o kadar iyi değil.
Bu hesapların her birine tekrar giriş yapmaya çalışmak o kadar kolay değildi. Niye ya? Elbette 2FA nedeniyle.
Google, bana sunduğu iki seçenek telefonuma bağlı olduğu için özellikle zordu. Bana bir mesaj göndermek istedi - ama bu işe yaramayacaktı. Ayrıca bir Google Authenticator koduna da izin verdiler. Bu harika olurdu, ancak koda erişmek için Google hesabıma giriş yapmamı gerektiriyordu.
Çözüm, nihayet masaüstü bilgisayarımı başlatmak ve Google için 2FA'yı geçici olarak kapatmaktı (bunu gerçekten beğenmediler). Tatlı bir rahatlama, Gmail'imi geri aldım.
Daha da fazla eğlence için, benzer bir işlemi diğer birkaç hesapla tekrarlamak zorunda kaldım. İronik olarak, SMS doğrulamasına bağlı olduğu için çevrimiçi bankacılığıma masaüstüm üzerinden erişemiyorum. Ancak böyle bir zorunluluk olmadığı için telefonumdan ulaşabiliyorum. Bunu düşünmek bile beni soğuk terletiyor.
Tabii ki, benim durumum benzersiz değil. Mobil cihazlarına erişimi olmayan herkes kolaylıkla aynı teknede olabilir.
Dersler öğrenildi
2FA ile ilgili hayal kırıklıkları, öğretilebilir bir an olarak faydalı olabilir. Yaşamak için web siteleri oluşturan bizler, güvenliği artırmak için sırtımızı sıvazlıyoruz - ve haklı olarak. Ancak bu teknolojiyi kendi içinde uygulamak bizim görevimizin sonu değil.
Bunun yerine, ciddi bir düşünce gerektirir. Web sitenize iki faktörlü kimlik doğrulama eklemeden önce aklınızda bulundurmanız gereken birkaç şey:
2FA'nın Zorunlu Olarak Bir Gereklilik Olması Gerekmiyor
Kullanıcıları iki faktörlü kimlik doğrulamayı kullanmaya zorlamak caziptir. Ve bazı yüksek riskli durumlarda bu mantıklı.
Ancak çoğu site için bunun yerine katı parola gereksinimleriyle gitmeyi düşünebilirsiniz. Örneğin, gizli hiçbir şey içermeyen bir üyelik sitesi işletiyorsanız, 2FA isteğe bağlı olabilir. Ancak belki de kullanıcılardan altı ayda bir şifrelerini değiştirmelerini istersiniz.
Kullanıcılar için biraz daha az güçlük ve umarım sizin için daha az destek çalışması. Erişilebilirliği de unutmayın. Varsayımlara rağmen, herkesin birden fazla cihaza erişimi yoktur.
Alternatifler Sunun
Bakım açısından zor olsa da, tek bir 2FA yönteminden fazlasını sunmak faydalı olabilir. Kullanıcılar kendileri için en uygun aromayı seçebilirler. Veya gerektiğinde, mobil cihazlarının kullanılamaması durumunda kullandıkları şeyi bile değiştirebilirler.
Kısacası, en azından insanların bir sorunla karşılaştıklarında sizinle iletişim kurmaları için kolay bir yol sunun. Hesabınıza erişememeniz ve orada yardım edecek kimsenin olmaması inanılmaz derecede sinir bozucu.
Bazı Zorluklar Bekleyin
Her şeyi doğru yapmak ve yine de giriş sorunu yaşayan kullanıcılarla karşılaşmak mümkündür. Örneğin, bazı 2FA uygulamaları tek kullanımlık yedek kodlar sunar. Seçtiğiniz kimlik doğrulama yönteminin çalışmadığı zamanlar için harikadırlar.
Ancak, herkes bu kodları kaydetmek veya yazdırmak için zaman ayırmaz (kesinlikle yapmadım). Bu nedenle ortaya çıkacak kaçınılmaz sorunlara hazırlıklı olmak önemlidir.
İki Faktörlü Kimlik Doğrulama Faydalıdır, ancak Mükemmel Değildir
Tümü, 2FA'yı sevmek için birçok neden olduğunu söyledi. Uygulaması oldukça basit olabilir ve kullanıcı verilerine yetkisiz erişimin önlenmesine yardımcı olur. Ve bir dizi farklı yöntem mevcuttur.
Yine de eksiklikleri yok değil. Öğrendiğim gibi, bozuk bir telefon birçok soruna neden olabilir. En önemli hesaplarınıza giriş yapamamak hayatınızı durma noktasına getirir. Banka hesabınıza veya hatta cep telefonu sağlayıcınıza erişemediğinizi hayal edin.
Bu nedenle, elbette web sitelerinize ve uygulamalarınıza iki faktörlü kimlik doğrulama ekleyin. Ancak önceden plan yapın ve süreci kullanıcılar için ağrısız hale getirmeye çalışın. Daha güvenli bir ortam bekleyebilirsiniz – sadece mucizeler beklemeyin.