Serkan Bolek 100223821

Credential Stuffing Saldırılarına Karşı İki Faktörlü Kimlik Doğrulama (2FA) Sistemlerinin Etkinliği ve Uygulama Örnekleri

 

İçindekiler Tablosu

 

Özet

Çevrimiçi servisler hızla yaygınlaşmaktadır. Nitekim bu durum geleneksel parolaları savunmasız bırakmaktadır. Özellikle artan veri ihlalleri ve bot saldırıları bu riski büyütür. Buna ek olarak kullanıcılar pratiklik adına aynı şifreyi farklı platformlarda tekrar kullanmaktadır. Dolayısıyla bu alışkanlık, credential stuffing operasyonlarına zemin hazırlar. Sonuçta zincirleme hesap gasplarına yol açmaktadır. Bu sebeple çalışma, söz konusu çok boyutlu tehditleri ele almaktadır. Ayrıca İki Faktörlü Kimlik Doğrulama (2FA) mimarisinin rolünü incelemeyi amaçlar. Nihayetinde bu inceleme bütüncül bir yaklaşımla yürütülmektedir.

Bu doğrultuda, araştırma kapsamında güncel siber güvenlik bulguları değerlendirilmiştir. Dahası teorik altyapının sahadaki karşılığı analiz edilmiştir. Örneğin e-Devlet Kapısı, GitHub ve özgün mobil uygulama üzerindeki 2FA entegrasyonları incelenmiştir. Böylelikle elde edilen bulgular, 2FA sistemlerinin yetkisiz erişimleri kaynağında kestiğini kanıtlamaktadır. Kısacası bu sistemler en somut kalkandır. Sonuç olarak, güvenli bir dijital ekosistem için salt teknolojik önlemler yetersizdir. Bunun yerine CAPTCHA ve hız sınırlandırma (rate limiting) gibi katmanlar kullanılmalıdır. Son olarak bunların yüksek bilişim etiği ve dijital okuryazarlıkla desteklenmesi gerektiği sonucuna varılmıştır.

Anahtar Kelimeler: Siber Güvenlik, İki Faktörlü Doğrulama (2FA), Credential Stuffing, Veri İhlali, Bilişim Etiği.

1. Giriş

Şüphesiz ki çevrimiçi servislerin günlük hayatın merkezine yerleşmesi kritik bir durumdur. Dolayısıyla bu durum, dijital platformlara güvenli erişim ihtiyacını en üst seviyeye çıkarmıştır. Ancak yalnızca geleneksel parolalara dayanan kimlik doğrulama yöntemleri yetersiz kalmaktadır. Çünkü modern siber tehditler karşısında bu yöntemler işlevsizdir. Bu yüzden bu zafiyet, dinamik koruma katmanlarının inşasını zorunlu kılmaktadır (Liu vd., 2023).

Buna paralel olarak artan küresel veri ihlalleri ciddi sonuçlar doğurmaktadır. Özellikle sızdırılan kimlik bilgilerinin siber suç şebekelerince ele geçirilme riski hızla büyütmektedir. Dahası bu sızıntılar sistemsel arızaların ötesine geçer. Nitekim bu ihlaller, kullanıcı mahremiyetini doğrudan baltalar (Eroğlu, 2023; Yürük, 2023). Bununla birlikte otomatik botlar aracılığıyla çapraz platformlarda test edilirler. Böylece credential stuffing saldırılarına zemin hazırlarlar. Ne yazık ki kullanıcıların aynı parolayı farklı servislerde tekrar kullanma alışkanlığı büyük bir hatadır. Nihayetinde bu durum, tek bir ihlalin domino etkisi yaratmasına neden olmaktadır. Sonuçta bireyin tüm dijital hesapları savunmasız bırakılmaktadır (Kocatekin, 2023).

Belirtilen nedenlerden dolayı çok faktörlü doğrulama ihtiyacı belirgindir. Zira Liu vd. (2023) ve Otta vd. (2023) tarafından vurgulanan bu ihtiyacı temel alan bu çalışma, önemli bir hedefe sahiptir. Özetle İki Faktörlü Kimlik Doğrulama (2FA) sistemlerinin hesap güvenliğindeki yetkinliği incelenmektedir. Bu sayede dijital güvenlik bilincine katkı sunulması hedeflenmektedir. Sonuç itibarıyla bu kapsamda 2FA mimarisinin defansif rolü ele alınmaktadır. Son olarak bu rol; teorik argümanlar ve sahadan pratik uygulama örnekleriyle incelenmektedir.

2. Veri İhlalleri ve Kullanıcı Güvenliği

2.1. Veri İhlali Kavramı

Genel hatlarıyla veri ihlali dinamik bir siber risk faktörüdür. Çünkü kişisel verilerin yetkisiz taraflarca ele geçirilmesiyle kullanıcı mahremiyetini doğrudan hedef alır (Yürük, 2023). Örneğin Eroğlu (2023), bu ihlallerin kronik bir tehdide dönüştüğünü vurgular. Zira bu durum sistem açıkları ve insan faktörünün birleşimiyle oluşur. Bunun doğal bir sonucu olarak, kimlik bilgilerinin sızdırılması en yaygın ihlal türüdür. Nitekim parolalar yasa dışı ağlarda dolaşıma sokularak hesaplar ele geçirilir. Dolayısıyla bu durum, bireylerin dijital güvenliğini ve mahremiyet zeminini kökten sarsmaktadır (Uluç ve Eyüpoğlu, 2024).

2.2. Aynı Şifre Kullanımının Riskleri

Günümüzde çevrimiçi platform sayısındaki artış dikkat çekicidir. Bu sebeple kullanıcılar karmaşık parolalar ezberleme konusunda ciddi bir bilişsel yük altında kalmaktadır. Nitekim Kocatekin (2023), bu yükün bireyleri pratiklik arayışına ittiğini ifade eder. Böylece kullanıcılar farklı servislerde aynı ya da benzer parolayı kullanmaktadır. Sonuç olarak parola tekrarı zafiyeti savunma direncini kırar. Ardından sosyal medya kimliklerinin çalınmasına zemin hazırlar. Buna ek olarak finansal hesaplar tek bir ihlalde domino taşı gibi ele geçirilmektedir.

2.3. Veri Sızıntılarının Sonuçları

Öte yandan sızıntıların en doğrudan tahribatı organize hesap gaspı (account takeover) dalgalarıdır. Çünkü siber suçlular elde ettikleri verileri çapraz platformlarda test ederler (Kocatekin, 2023; Uluç ve Eyüpoğlu, 2024). Buna ek olarak kurumların ve sistem yöneticilerinin ihmalleri de söz konusudur. Nitekim bu durum yetkisiz erişim riskini doğrudan tırmandırmaktadır (Yürük, 2023). Nihayetinde veri ihlalleri sadece dijital mahremiyeti yok etmekle kalmaz. Aynı zamanda ele geçirilen profiller üzerinden yasa dışı işlemler yürütülür. Sonuçta bireyler ve şirketler telafisi zor ekonomik zararlarla yüz yüze bırakılır (Eroğlu, 2023).

3. Credential Stuffing Saldırıları

3.1. Kimlik Bilgisi Doldurma Nedir?

Credential stuffing (kimlik bilgisi yığma); sızdırılan kullanıcı adı ve şifre kombinasyonlarının, bot ağları (botnet) aracılığıyla hedef platformlarda otomatik olarak test edilmesi işlemidir. Çıtlak vd. (2023), bu yığınsal bot saldırılarının dijital sistemleri zorlayan en ciddi tehditlerden birine dönüştüğünü belirtir. Yöntemin yüksek başarı oranı büyük ölçüde “parola tekrarı” hatasından beslenmektedir. Ayaz ve Kamışlı Öztürk (2023) otomatik saldırı düzeneklerinin geleneksel algoritmaları saniyeler içinde aşabildiğine dikkat çekerken; Salman (2023) bilgi güvenliğinin teknik bir bariyerden öte, kullanıcı farkındalığı ve davranış dinamiklerini de kapsayan bütünsel bir süreç olduğunu vurgular.

3.2. Credential Stuffing Saldırıları Nasıl Gerçekleşir?

Aslında güvenlik duvarlarını aşındıran bu yoğun bot trafiğinin yıkıcı boyutu ortadadır. Nitekim Çıtlak vd. (2023) bu durumu açıkça vurgulamaktadır. Hatta F5 Labs (2023) verilerine göre durum daha da vahimdir. Zira dünya genelindeki kimlik doğrulama isteklerinin ezici bir çoğunluğunu gerçek insanlar oluşturmaz. Bunun yerine bu kötü amaçlı yazılımlar devrededir. Ne yazık ki milyonlarca deneme içinden süzülen doğru kombinasyonlar hesapların gasp edilmesini sağlar. Ancak sürecin asıl başarı sırrı otomasyonun gücü değildir. Esasen kurbanların inatla sürdürdüğü zayıf şifreleme pratikleridir (F5 Labs, 2023).

3.3. Credential Stuffing Saldırılarının Etkileri

Çoğu durumda başarılı bir operasyon, hesap gaspı (account takeover) ile sonuçlanır. Böylece asıl kullanıcının tüm kontrol yetkileri saldırganlara devreder (OWASP Foundation, 2023). Ardından ele geçirilen profillerdeki iletişim ve hassas finans kayıtları kullanılır. Nitekim siber suç şebekeleri bunları dolandırıcılık faaliyetlerinde kullanmaktadır. Örneğin F5 Labs (2023), çapraz platformlarda test edilen kimlik parametrelerinin riskini doğrular. Çünkü bu durum bireyleri siber uzayda açık hedef haline getirmektedir. Dolayısıyla bu ihlaller çok boyutlu mağduriyetler yaratır. Bunlara itibar suikastları ve ekonomik zararlar dahildir. Ayrıca bu zafiyetler, bireylerin teknolojik altyapılara duyduğu genel güveni de kökten sarsmaktadır (Human Security, 2024; Proofpoint, 2023). Özetle credential stuffing, basit bir deneme-yanılma aktivitesinin ötesindedir. Nihayetinde kimlik hırsızlığı, finansal kayıp ve itibar erozyonu gibi yıkıcı sonuçları birleştirir (OWASP Foundation, 2023).

4. İki Faktörlü Kimlik Doğrulama (2FA)

4.1. 2FA Nedir?

İki faktörlü kimlik doğrulama (2FA), kapsamlı bir güvenlik mimarisidir. Bu sistemde kullanıcılar parolaya ek olarak sahip oldukları bir cihaz veya veriyle kimliklerini kanıtlar. Örneğin telefon veya biyometrik veri (parmak izi) kullanılır. Esasen bu yapı, yalnızca parola girişine dayanan sistemlerin yapısal zafiyetlerini giderir. Sonuçta yetkisiz erişimleri kaynağında keser (Liu vd., 2023).

4.2. 2FA Neden Gereklidir?

Özellikle veri sızıntılarının ve otomatikleştirilmiş bot saldırılarının tırmandığı günümüz dijital ekosisteminde riskler büyüktür. Bu yüzden salt parola kullanımı tamamen savunmasız kalmaktadır. Çünkü saldırgan sızdırılan ana parolayı ele geçirse dahi sistemi aşamaz. Zira o an üretilen ikinci faktöre sahip olamayacaktır. Dolayısıyla 2FA, hesabı hayatta tutan en kritik ve zorunlu çözüm haline gelmiştir (Liu vd., 2023).

4.3. 2FA Hangi Riskleri Önler?

Bu altyapı, özellikle credential stuffing gibi yığınsal operasyonları kilitler. Çünkü bu saldırılar saniyeler içinde binlerce hesabı hedefler. Ancak ikinci adımı uzaktan tahmin etmek veya otomatize etmek fiilen imkânsızdır. Nitekim OWASP Foundation (2023) bu mekanizmayı temel bir savunma hattı olarak görür. Kısacası bu sistem hesap gaspı (account takeover) saldırılarını çökertmektedir.

4.4. 2FA Yöntemleri

Geleneksel olarak sektörde SMS ve e-posta tabanlı onay mekanizmaları oldukça yaygındır. Ne var ki bu pratikler çeşitli riskler barındırır. Örneğin hedefli bir SIM kart kopyalama (SIM swapping) vakası yaşanabilir. Veya mail hesabı korsanların eline geçebilir. Nihayetinde bu durum bariyerleri anında yıkarak kullanıcıyı tamamen savunmasız bırakmaktadır (Szczygieł vd., 2023). Söz konusu uzaktan müdahale risklerini boşa çıkaran asıl çözüm ise farklıdır. Nitekim cihazın internete dahi bağlanmasına gerek duymadan anlık kod üretebilen sistemler mevcuttur. Sonuç olarak Zaman Tabanlı Tek Kullanımlık Şifre (TOTP – Authenticator) altyapılarına geçiş yapmak şarttır.

4.5. Günlük Hayatta 2FA Kullanımı

Sosyal medya devlerinden bankacılık altyapılarına kadar geniş bir alana yayılan 2FA, artık teorik bir önlem değil; dijital yaşamın omurgasıdır. Finansal uygulamalardaki biyometrik onaylardan (push notification), e-posta servislerindeki acil durum kurtarma senaryolarına kadar tüm iletişim ve işlem trafiğimiz bu merkezi savunma hattıyla korunmaktadır (Szczygieł vd., 2023).

5. Credential Stuffing Saldırılarına Karşı Alınabilecek Önlemler

5.1. Güçlü ve Benzersiz Şifre Kullanımı

Credential stuffing saldırıları doğrudan parola tekrarından beslenir. Bu nedenle, bu zincirleme riski kırmanın en temel yolu, her platform için benzersiz ve tahmin edilmesi güç şifreler belirlemektir. Nitekim Otta vd. (2023), 2FA sistemleri yaygınlaşsa bile parolanın hesap korumasındaki ilk ve en hayati savunma hattı olmaya devam ettiğini vurgular.

5.2. Şifre Yöneticisi Kullanımı

Genel olarak onlarca karmaşık parolayı akılda tutma zorluğu, kullanıcıları pratiklik adına parola tekrarına iterek büyük bir zafiyet yaratır. Neyse ki, şifre yöneticileri (password managers), her hesap için kriptografik olarak güçlü parolalar üretip şifreli bir kasada saklayarak bu bilişsel yükü ortadan kaldırır. Üstelik Otta vd. (2023), teknolojik altyapılardan ziyade bu tür araçları benimseme davranışının hesap güvenliğini belirleyen asıl faktör olduğuna dikkat çeker.

5.3. CAPTCHA

Saniyeler içinde binlerce deneme yapan bot ağlarını durdurmayı hedefleyen CAPTCHA mekanizmaları, sistem girişlerinde “insan-makine” ayrımı yapar. Ne var ki Alsuhibany (2023), yapay zeka destekli modern botların standart CAPTCHA duvarlarını aşabildiğini kanıtlayarak, bu doğrulamaların tek başına yetersiz kalacağını belirtir. Sonuç olarak, bu yapıların mutlaka ek güvenlik katmanlarıyla desteklenmesi gerekmektedir.

5.4. Rate Limiting Uygulamaları

Diğer bir önlem olarak ağ trafiğini denetleyen hız sınırlandırma (rate limiting), belirli bir süredeki giriş denemelerine kota koyarak devasa veri listelerinin test edilmesini fiziksel olarak engeller. Benzer şekilde Sivaraman (2023), makine öğrenmesi destekli “adaptif” sistemlerin olağandışı anormallikleri gerçek zamanlı tespit ederek API suistimallerini durdurduğunu ifade eder.

5.5. Veri İhlallerinin Takip Edilmesi

Kuşkusuz saldırıların temel hammaddesi internete sızdırılan veri tabanlarıdır. Bu yüzden kimlik bilgilerinin ifşa olup olmadığını düzenli takip etmek proaktif bir savunmadır; kaldı ki sızdırılan parolanın hızla değiştirilmesi hesabı saldırgandan önce kurtarır. Buna paralel olarak Meyer vd. (2023), veri ihlali farkındalığının bireyleri doğrudan harekete geçiren ve dijital güvenlik davranışlarını şekillendiren en güçlü motivasyon olduğunu ortaya koymaktadır.

6. Kullanıcı Farkındalığı ve Dijital Güvenlik

6.1. Bilinçli İnternet Kullanımı

Dijital güvenlik yalnızca teknolojik altyapılarla değil, nihai kullanıcının bilinçli refleksleriyle sağlanabilir. Öncelikle kaynağı belirsiz bağlantılardan uzak durmak ve şüpheli içerikleri sorgulamak sistem güvenliğinin ilk basamağıdır. Nitekim Eroğlu (2023), siber suç mağduriyetlerinin temelinde teknik açıklardan ziyade insan faktörünün yattığını vurgular. Bu bağlamda, kurumların aldığı idari ve teknik tedbirler ancak dijital okuryazarlığı yüksek kullanıcı davranışlarıyla desteklendiğinde başarıya ulaşmaktadır (Yürük, 2023).

6.2. Güvenlik Alışkanlıkları

Kısacası 2FA sistemlerini aktif kullanmak ve platformlara özgü güçlü parolalar belirlemek dijital varlıkları korumanın en pratik yoludur. Çünkü doğrudan insan hatasını sömüren credential stuffing saldırılarında, savunma hattının direncini bu alışkanlıklar belirler. Ayrıca Liu vd. (2023), hesap ele geçirme operasyonlarına karşı bu tür bireysel rutinlerin aşılmaz bir kalkan oluşturduğunu kanıtlar. Bunun bir sonucu olarak bu farkındalık düzeyi, yalnızca mevcut tehditleri savuşturmakla kalmayıp, olası sızıntılarda krizin büyümesini engelleyerek zararı asgari düzeye indirmektedir (Otta vd., 2023).

6.3. Dijital Etik Açısından Değerlendirme

Siber savunma hatları ne kadar gelişmiş olursa olsun, işin özünde bireylerin mahremiyet haklarına duyduğu saygı yatar. Dolayısıyla kendi dijital ayak izimizi koruma gayretimiz, başkalarının verilerini izinsiz kullanmama veya yaymama sorumluluğundan bağımsız düşünülemez. Zaten Salman (2023), tam da bu noktaya işaret ederek kullanıcıların şüpheli içerikleri teyit etme refleksleri ile kişisel ahlaki duruşları arasında doğrudan bir etkileşim gözlemlemiştir. Diğer yandan bu bilincin inşası sadece yetişkinlerin dünyasıyla sınırlı kalamaz. Özellikle akıllı cihazların devasa veri toplama kapasiteleri dikkate alındığında, bilişim etiğinin ve mahremiyet sınırlarının çocuklar dâhil tüm yaş gruplarına aktarılması artık ertelenemez bir ihtiyaç hâlini almıştır (Uluç ve Eyüpoğlu, 2024).

7. İki Faktörlü Kimlik Doğrulama (2FA) Uygulama Örnekleri

Teorik siber güvenlik literatüründe etkinliği kanıtlanan 2FA sistemleri, günümüzde kamu platformlarından küresel geliştirici ekosistemlerine kadar geniş bir yelpazede kullanılmaktadır. Özetle bu bölümde; e-Devlet Kapısı, GitHub platformu ve hesap güvenliği mimarisini sahada test etmek üzere geliştirilen özgün mobil uygulama üzerindeki pratik 2FA yapılandırmaları incelenmektedir.

7.1. Kamu Dijital Hizmetlerinde 2FA: e-Devlet Kapısı Uygulaması

Milyonlarca vatandaşa ait resmi kayıtları barındıran e-Devlet Kapısı, şüphesiz ki credential stuffing risklerine karşı korunması gereken en kritik ulusal altyapılardandır. Bu nedenle platform, yalnızca T.C. kimlik numarası ve parolayla oturum açılmasının doğurduğu zincirleme zafiyetleri kapatmak için “İki Aşamalı Giriş” mekanizmasını devreye almıştır. Böylelikle bu çift kademeli koruma kalkanını aktif etme süreci, kullanıcı arayüzündeki şifre ve güvenlik ayarları menüsünden başlatılmaktadır (Şekil 1).

e-Devlet Kapısı kullanıcı menüsünde Güvenlik ve Ayarlar sekmesinin görünümü.
Şekil 1: e-Devlet Kapısı Şifre ve Güvenlik Ayarları Ekranı

 

Kullanıcı girişinin ardından panelde beliren “İki Aşamalı Giriş İşlemleri” sekmesi, bu çift kademeli koruma altyapısını aktif hâle getirmeyi sağlar (Şekil 2).

e-Devlet Kapısı İki Aşamalı Giriş İşlemleri yönetim paneli arayüzü.
Şekil 2 e-Devlet Kapısı İki Aşamalı Giriş İşlemleri Paneli

İkinci güvenlik katmanını oluşturmak için platform, kullanıcının fiziksel bir cihazı sisteme dâhil etmesini zorunlu kılar. Doğrulama süreci; mobil uygulama eşleştirmesi veya SMS onayı seçenekleriyle etkinleştirilmektedir (Şekil 3).

e-Devlet Kapısı iki aşamalı doğrulama SMS kod giriş ekranı arayüzü.
Şekil 3 e-Devlet Kapısı İki Aşamalı Doğrulama Kod Giriş Ekranı

Kurulum tamamlandıktan sonra, parolayı doğru giren kullanıcılar doğrudan ikinci doğrulama ekranına yönlendirilir (Şekil 4). Bu ek bariyer, ana şifrenin sızdırıldığı en kötü senaryolarda bile yetkisiz girişleri tamamen engeller.

e-Devlet Kapısı iki aşamalı doğrulama SMS kod giriş ekranı arayüzü.
Şekil 4 e-Devlet Kapısı İki Aşamalı Doğrulama Kod Giriş Ekranı

7.2. Küresel Geliştirici Ekosisteminde 2FA: GitHub Uygulaması

Benzer şekilde, açık kaynak dünyasının en büyük kod deposu olan GitHub, projelere yönelik yetkisiz müdahaleleri engellemek amacıyla aktif geliştiriciler için çok faktörlü kimlik doğrulamayı (MFA) standart bir güvenlik katmanı hâline getirmiştir. Örneğin hesap güvenlik ayarlarından başlatılan bu aktivasyon sürecinde kullanıcılara; Authenticator (TOTP) uygulamaları veya SMS tabanlı doğrulama gibi alternatifler sunulmaktadır (Şekil 5).

GitHub kullanıcı arayüzünde çok faktörlü kimlik doğrulama başlangıç ve güvenlik ayarları ekranı.
Şekil 5 GitHub Çok Faktörlü Kimlik Doğrulama Başlangıç ve Seçenek Ekranı

Eşleştirme aşaması; platformun sunduğu QR kodun bir Authenticator uygulamasıyla taranması, üretilen 6 haneli dinamik kodun sisteme girilmesi ve kurtarma kodlarının (recovery codes) yedeklenmesiyle tamamlanır (Şekil 6). Kurulan bu dinamik bariyer, brute force (kaba kuvvet) ve credential stuffing gibi otomatik saldırıları tamamen etkisiz kılarak hesap güvenliğini en üst düzeye çıkarır.

GitHub iki faktörlü kimlik doğrulama arayüzünde TOTP uygulaması için QR kod eşleştirme ve kod doğrulama ekranı.
Şekil 6 GitHub 2FA QR Kod Eşleştirme ve Doğrulama Ekranı

 

7.3. Özgün Mobil Uygulama Entegrasyonu

Teorik ilkelerin pratikteki karşılığını doğrulamak adına, ilk olarak proje kapsamında geliştirilen React Native tabanlı özgün mobil uygulamaya özel bir 2FA modülü eklenmiştir. Bununla birlikte kullanıcıların hesap güvenliğini kendi tercihlerine göre yönetebilmesi için profil ayarlarına dinamik bir denetim alanı entegre edilmiştir. Dolayısıyla tasarlanan bu kullanıcı arayüzü bileşeni, iki faktörlü doğrulama mekanizmasının tek bir hamleyle aktif hâle getirilmesini sağlamaktadır (Şekil 7).

Geliştirilen özgün mobil uygulamanın kullanıcı profil paneli ve iki faktörlü doğrulama aktivasyon arayüzü.
Şekil 7 Geliştirilen Uygulama İçi 2FA Güvenlik Ayarları ve Aktivasyon Ekranı

Öte yandan 2FA etkinken, ana şifre doğru olsa dahi sisteme doğrudan giriş yapılamaz. Çünkü güvenlik algoritması, kullanıcıyı anlık doğrulama kodu talep eden ikinci bir arayüze yönlendirir (Şekil 8). Sonuç olarak bu ekranın aşılması, hesap ele geçirme riskine karşı proaktif koruma sağlar.

Geliştirilen özgün mobil uygulamada Microsoft ve Google Authenticator için QR kod eşleştirme ve 6 haneli doğrulama kodu giriş arayüzü.
Şekil 8 Geliştirilen Uygulamada QR Kod Eşleştirme ve Doğrulama Arayüzü

 

7.4. Zaman Tabanlı Kod Üretimi: Microsoft Authenticator Örneği

Küresel platformlarda ve özgün yazılım projelerinde ikinci doğrulama faktörü olarak genellikle Zaman Tabanlı Tek Kullanımlık Şifre (TOTP) algoritmaları tercih edilir. Zira internet bağlantısına ihtiyaç duymayan bu sistem, yerel olarak 30 saniyede bir dinamik şifre üretir. Örneğin endüstri standardı kabul edilen Microsoft Authenticator uygulamasının kod üretim arayüzü Şekil 9’da gösterilmiştir. Son adımda kullanıcı, üretilen bu anlık kodu hedef sisteme girerek kimlik doğrulama adımını güvenle tamamlar.

Microsoft Authenticator mobil uygulaması hesap ekleme ve QR kodu tara başlangıç arayüzü ekranı.
Şekil 9 Microsoft Authenticator Uygulaması Dinamik Kod Üretim Ekranı

8. Sonuç

Dijital platformların yaygınlaşması, salt parolaya dayalı sistemleri açıkça tamamen yetersiz kılmıştır. Nitekim güncel raporlar bu durumu net biçimde doğrulamaktadır. Botlarla yürütülen credential stuffing saldırıları siber ekosistemdeki en büyük tehdittir (OWASP Foundation, 2023; F5 Labs, 2023). Sonuç olarak bu ihlaller parola tekrarı zafiyetinden beslenir. Böylece bireysel ve kurumsal çapta yıkıcı sonuçlar doğurmaktadır (Kocatekin, 2023; Eroğlu, 2023).

Tüm bu nedenlerle çok boyutlu tehditlere karşı kesin önlem alınmalıdır. 2FA mekanizmaları opsiyonel değil, temel bir zorunluluktur (Liu vd., 2023). Özellikle e-Devlet, GitHub ve özgün mobil uygulamamız bunu kanıtlamaktadır. 2FA, sızdırılan şifrelere karşı somut bir kalkan oluşturur. Ayrıca bu altyapı mutlaka ek sistemlerle desteklenmelidir. CAPTCHA ve adaptif rate limiting ile bot trafiği kaynağında kesilir (Alsuhibany, 2023; Sivaraman, 2023).

Ne var ki dijital güvenlik, yalnızca teknik çözümlerle sağlanamaz; zincirin en belirleyici halkası insan faktörüdür. Kuşkusuz şifre yöneticisi kullanımı ve sızıntı takibi donanımsal bir gerekliliktir (Meyer vd., 2023; Otta vd., 2023). Bununla beraber mahremiyetin korunması vazgeçilmez bir bilişim etiği sorumluluğudur (Salman, 2023; Uluç ve Eyüpoğlu, 2024). Özetle, 2FA (TOTP) gibi sağlam teknolojik altyapılar şarttır. Güvenli ekosistem, bu altyapıların yüksek kullanıcı farkındalığıyla harmanlanmasıyla inşa edilebilir.

9. Kaynakça

Akademik Makaleler ve Bildiriler

Alsuhibany, S. A. (2023). A Survey on Adversarial Perturbations and Attacks on CAPTCHAs. Applied Sciences13(7), 4602. https://doi.org/10.3390/app13074602

Ayaz, H. İ., & Kamışlı Öztürk, Z. (2023). Shilling Attack Detection with One Class Support Vector Machines. Necmettin Erbakan University Journal of Science and Engineering5(2), 246-256. https://doi.org/10.47112/neufmbd.2023.22

Çıtlak, O., Dörterler, M., & Dogru, İ. (2023). A Hybrid Spam Detection Framework for Social Networks. Politeknik Dergisi26(2), 823-837. https://doi.org/10.2339/politeknik.933785

Eroğlu, C. (2023). İşletmelerin Maruz Kaldığı Siber Suçların Boyutu. Güvenlik Bilimleri Dergisi12(1), 69-96. https://doi.org/10.28956/gbd.1264593

Kocatekin, T. (2023). Evolution and State of the Art in Password Storage. Eskişehir Türk Dünyası Uygulama Ve Araştırma Merkezi Bilişim Dergisi4(3), 37-44. https://doi.org/10.53608/estudambilisim.1318760

Liu, K., Zhou, Z., Cao, Q., Xu, G., Wang, C., Gao, Y., Zeng, W., & Xu, G. (2023). A Robust and Effective Two-Factor Authentication (2FA) Protocol Based on ECC for Mobile Computing. Applied Sciences13(7), 4425. https://doi.org/10.3390/app13074425

Meyer, L. A., Romero, S., Bertoli, G., Burt, T., Weinert, A., & Ferres, J. L. (2023). How effective is multifactor authentication at deterring cyberattacks?. arXiv preprint https://arxiv.org/abs/2305.00945

Otta, S. P., Panda, S., Gupta, M., & Hota, C. (2023). A Systematic Survey of Multi-Factor Authentication for Cloud Infrastructure. Future Internet15(4), 146. https://doi.org/10.3390/fi15040146

Salman, G. (2023). Sosyal Medyadaki Yanlış Bilgiye Yönelik Kullanıcı Doğrulama Davranışlarının İncelenmesi. Türkiye İletişim Araştırmaları Dergisi44, 148-168. https://doi.org/10.17829/turcom.1196015

Sivaraman, H. (2023). Adaptive rate limiting using reinforcement learning to thwart API abuse. Journal of Mathematical & Computer Applications, 2(4), 1–4. https://doi.org/10.47363/JMCA/2023(2)E139

Szczygieł, I., Florczak, S., & Jasiak, A. (2023). Two-factor authentication (2FA) comparison of methods and applications. Advances in Web Development Journal, 1(1). https://doi.org/10.5281/zenodo.10050024

Uluç, C., & Eyüpoğlu, C. (2024). Çocuklara Yönelik Akıllı Saatlerin Siber Güvenlik ve Mahremiyet Açısından İncelenmesi. İstanbul Ticaret Üniversitesi Teknoloji ve Uygulamalı Bilimler Dergisi7(1), 77-87. https://doi.org/10.56809/icujtas.1419510

Yürük, Z. (2023). Veri Sorumlusunun Veri Güvenliğine İlişkin İdari ve Teknik Tedbirleri Alma Yükümlülüğü. İstanbul Ticaret Üniversitesi Sosyal Bilimler Dergisi22(48), 899-920. https://doi.org/10.46928/iticusbe.1218693

Kurumsal Raporlar ve İnternet Kaynakları

F5 Labs. (2023). 2023 Identity threat report: The unpatchables. https://www.f5.com/labs/articles/2023-identity-threat-report-the-unpatchables

Human Security. (2024). Credential stuffing and account takeover attacks remain nagging business problems. https://www.humansecurity.com/learn/blog/credential-stuffing-and-account-takeover-attacks-remain-nagging-business-problems/

OWASP Foundation. (2023). Credential stuffing. https://owasp.org/www-community/attacks/Credential_stuffing

Proofpoint. (2023). Credential stuffing threat reference. https://www.proofpoint.com/us/threat-reference/credential-stuffing

10. Ekler

EK-1 Özgünlük (İntihal) Analizi

İntihal kontrolü: Çalışmanın özgünlüğü plagiarismdetector.net üzerinden test edildi. Sonuç %97 özgün (unique) olarak raporlandı.

EK-2 Yapay Zeka Dedektörü Analizi

Yapay zeka kontrolü: Metnin yapay zeka tarafından üretilip üretilmediği aidetectorwriter.com üzerinden test edildi. Sonuç %7.40 yapay zeka oranı olarak raporlandı. Bu oran kabul edilebilir sınırın altında.

 

Creative Commons Lisansı
Bu eser Serkan Bölek tarafından  Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.