İki Faktörlü Kimlik Doğrulama Nedir?
İki faktörlü kimlik doğrulama (2FA), daha geniş çoklu faktör kimlik doğrulama (MFA) kavramının özel bir uygulamasıdır; bir sistemin erişim vermeden veya ayrıcalıklı bir eylemi kaydetmeden önce kullanıcının iki farklı kimlik doğrulama faktörü kategorisinden kanıt sunmasını gerektiren bir oturum açma ve eylem doğrulama mekanizmasıdır. Kabul edilen üç kategori şunlardır: bilgi faktörleri (parolalar, PIN’ler, güvenlik soruları), sahiplik faktörleri (cep telefonları, donanım belirteçleri, kimlik doğrulama uygulamaları) ve içkin faktörler (parmak izleri veya yüz geometrisi gibi biyometrikler). Gerçek bir 2FA sistemi en az iki farklı kategoriden faktör gerektirir — örneğin iki parola birleştirmek nitelik kazanmaz.
Teknik Mekanizma
Tüketici web uygulamalarındaki en yaygın uygulama, RFC 6238’de standardize edilen TOTP’dir (Zaman Tabanlı Tek Seferlik Parola). Kayıt sırasında, sunucu bir gizli anahtar oluşturur ve bunu genellikle Google Authenticator, Authy veya 1Password gibi bir kimlik doğrulama uygulamasına aktarılan bir QR kodu aracılığıyla kullanıcıyla paylaşır. Daha sonra, hem sunucu hem de uygulama bağımsız olarak, paylaşılan gizli ile mevcut Unix zaman damgası kombinasyonuna 30 saniyelik pencerelere bölünmüş HMAC-SHA1 uygulayarak 6 haneli bir kod hesaplar. Her iki taraf da aynı algoritmayı ve gizli kullandığından, ürettikleri kod özdeştir — ve yalnızca mevcut zaman penceresinde geçerlidir.
Diğer yaygın 2FA teslimat mekanizmaları şunları içerir:
- SMS OTP: Metin mesajı yoluyla gönderilen tek seferlik bir kod. Yaygın olarak kullanılır ancak SIM değiştirme saldırıları nedeniyle daha düşük güvenli kabul edilir.
- E-posta OTP: Kayıtlı bir e-posta adresine teslim edilen tek seferlik bir bağlantı veya kod.
- Push bildirimi: Kullanıcı, oturum açma isteğini doğrudan bir eşlik eden uygulamada onaylar (Duo Security ve Microsoft Authenticator tarafından kullanılır).
- Donanım güvenlik anahtarları (FIDO2/WebAuthn): Kriptografik bir tasdik üreten fiziksel USB veya NFC cihazları. Kimlik avı dirençlidir ve en yüksek güvenlikli tüketici 2FA yöntemi olarak kabul edilir.
2FA Yarışma ve Oylama Platformlarında Ne Zaman Kullanılır?
Yarışma platformları 2FA’yı en yaygın olarak hesap oluşturma sırasında (kayıt yaptıran kişiye gerçek bir telefon numarası veya e-posta adresinin ait olduğunu doğrulamak için), dönen seçmenler için oturum açma sırasında ve bazen oy gönderim eyleminin kendisinde bir kapı olarak dağıtırlar — özellikle her kayıtlı kullanıcının tam olarak bir oy vermesine izin verildiği yüksek riskli yarışmalarda. Telefon numarası doğrulama varyantı özellikle etkilidir çünkü çok sayıda benzersiz, doğrulanmış telefon numarası edinmek bot operatörleri için önemli maliyet ve operasyonel yük taşır.
Oylar 2FA ile Nasıl Etkileşir
Bir yarışma platformu oy vermek için 2FA doğrulamalı hesaplar gerektirdiğinde, her oy dolaylı olarak doğrulanmış bir kimlik sinyaliyle desteklenir: kayıt sırasında tek seferlik kodu alan telefon numarası veya e-posta adresi. 2FA korumalı hesaplar kullanarak N hileli oy göndermek isteyen bir bot operatörü, bu nedenle OTP mesajları alabilen N benzersiz telefon numarası veya e-posta gelen kutusu edinmeli ve her biri için doğrulama adımını tamamlamalıdır — bu süreç tamamen otomatikleştirilemez ve ölçeklenmesi zayıftır.
SMS tabanlı 2FA, sanal telefon numarası hizmetleri kullanılarak kısmen aşılabilir; bu nedenle daha gelişmiş yarışma dolandırıcılık önleme sistemleri, VoIP veya coğrafi olmayan numaraları işaretleyen operatör seviyesinde kontroller uygular. TOTP tabanlı 2FA’nın toplu olarak edinilmesi daha zordur çünkü hesap başına sırların kalıcı yönetimini gerektirir. FIDO2/WebAuthn anahtarları, fiziksel donanım gerektirdikleri için toplu kayıt dolandırıcılığına etkili bir şekilde dirençlidir.
Tedarikçi ve Standart Özellikleri
2FA tek bir tedarikçinin ürünü değildir; IETF standartlarıyla (TOTP için RFC 6238, HOTP için RFC 4226) ve FIDO Alliance’ın WebAuthn şartnamesiyle yönetilen açık bir kategoridir. Her büyük programlama dili için uygulama kütüphaneleri vardır. Google Identity Platform, Auth0 ve Amazon Cognito gibi bulut kimlik sağlayıcıları, yarışma platformlarının kimlik doğrulama mantığını sıfırdan yazmadan etkinleştirebileceği yerleşik bir özellik olarak 2FA sunar.
Meşru Kullanımlar
2FA, neredeyse her hassas dijital bağlamda temel bir güvenlik kontrolüdür: çevrimiçi bankacılık, kurumsal VPN’ler, kripto para borsası girişleri, hükümet e-hizmetleri, sağlık portalları ve sosyal medya hesabı koruması. Oylama platformlarındaki dağıtımı, seçmen benzersizliğini sağlama ve dolandırıcılık soruşturmaları için denetim izlenebilirliği sağlama gibi ikili amaca hizmet eder.
Dolandırıcılık Önleme Açısı
Yarışma bütünlüğü açısından, 2FA en etkili yapısal kontrollerden biridir çünkü dolandırıcılık önleme yükünü bot davranışını tespit etmekten (bu bir silahlanma yarışıdır) gerçek dünya kimlik kıtlığını uygulamaya kaydırır. Bir telefon numarası veya e-posta gelen kutusu sınırlı, edinilmesi maliyetli bir kaynaktır. Her oy böyle bir kaynak ve canlı bir doğrulama adımı gerektirdiğinde, büyük ölçekli oy manipülasyonunun ekonomisi önemli ölçüde değişir: önceden bir veri merkezi dolusu IP adresiyle başarılabilen şey, artık gerçek dünyadaki telekomünikasyon varlıklarını veya insan emek çiftliklerini içeren paralel bir operasyon gerektirir; her ikisi de çoğu dolandırıcılık operatörünün sürdürmek istemediği yasal maruziyet ve operasyonel ek yük getirir. Buyvotescontest.com Türkiye’deki müşterilerimize Papara ve Iyzico ile ödeme alarak, 2FA korumalı yarışmalarda gerçek hesap kimlik doğrulamasıyla teslimat sağlıyoruz.
