Çok Faktörlü Kimlik Doğrulamanın (MFA) En İyi 10+ Kullanım Alanı

Çok faktörlü kimlik doğrulama (MFA) çözümleri üzerine yaptığımız araştırma, önde gelen yazılımların uyarlanabilir kimlik doğrulama, biyometrik kimlik doğrulama (Parmak izi/Yüz Tanıma) ve anlık bildirimlerde etkili olduğunu göstermektedir. Salesforce, Microsoft ve Mastercard gibi şirketlerin bu yöntemleri nasıl kullandığını vurgulamak için 10'dan fazla gerçek hayattan MFA kullanım örneği sunduk:

Daha fazla bilgi için: Çok faktörlü kimlik doğrulama (MFA) fiyatlandırması ve planları ve en iyi 10 açık kaynaklı MFA aracı .

1. VPN üzerinden kurumsal kaynaklara erişim

VPN erişimi için çok faktörlü kimlik doğrulama (MFA) uygulamak, kurumsal kaynaklara yetkisiz erişimi engelleyerek uzaktan ve hibrit çalışma ortamları için güvenliği artırır. Kuruluşlar genellikle VPN'lerini tek kullanımlık şifreler ve fiziksel güvenlik belirteçleri gibi MFA faktörleriyle güvence altına alırlar.

Gerçek hayattan bir örnek:

BlueSnap, çok faktörlü kimlik doğrulama (MFA) ile VPN güvenliğini artırıyor.

Küresel bir çevrimiçi ödeme şirketi olan BlueSnap, VPN'i ve diğer hassas sistemlerinde Silverfort MFA'yı devreye aldı. Uygulama, erişim izni vermeden önce oturum açma bağlamını, cihaz güvenini, coğrafi konumu ve risk seviyesini değerlendiren uyarlanabilir MFA politikaları kullandı ve ödeme işleme sistemlerine erişen hem çalışanlara hem de harici ortaklara çok katmanlı kimlik doğrulama uyguladı. ¹

2. Tescilli yazılıma giriş yapma

Çok faktörlü kimlik doğrulama (MFA), yetkisiz kullanıcıların gizli bilgiler içeren yazılımlara giriş yapmasını veya hassas sistemlere erişmesini engeller. Tescilli bir yazılım sistemine giriş yapmak için kullanıcıdan parola ve güvenlik belirteci veya biyometrik veri gibi ikinci bir kimlik doğrulama yöntemi girmesi istenebilir.

Gerçek hayattan bir örnek:

Salesforce, CRM platformlarının tamamında çok faktörlü kimlik doğrulama (MFA) kullanmaktadır.

Salesforce, sisteme giriş yapan tüm kullanıcılar için, özellikle gizli müşteri bilgilerine erişen veya ayarları değiştirme veya finansal verileri görüntüleme gibi yüksek riskli faaliyetlerde bulunanlar için çok faktörlü kimlik doğrulama (MFA) gerektirir. Kullanıcıların şifrelerini girmeleri ve mobil cihazlarına gönderilen tek kullanımlık şifre (OTP) veya bir kimlik doğrulama uygulaması (örneğin, Google Authenticator ) aracılığıyla kimliklerini ikinci bir faktörle doğrulamaları gerekiyordu. ²

3. Üçüncü taraf tedarikçilerin erişiminin güvenliğinin sağlanması

Ankete katılan kuruluşların %80'inden fazlası, üçüncü taraflara kendi ortamlarında geniş okuma erişimi veriyor. ³ Tedarikçilerin veya yüklenicilerin şirket sistemlerine veya verilerine erişmesi gerektiğinde, çok faktörlü kimlik doğrulama (MFA), yalnızca yetkili üçüncü tarafların hassas kaynaklara erişebilmesini sağlar.

Gerçek hayattan bir örnek:

Cisco, üçüncü taraf tedarikçilerin erişimini güvence altına alıyor.

100.000'den fazla kullanıcısı ve 170.000'den fazla cihazı bulunan küresel bir teknoloji şirketi olan Cisco, uygulama erişimi vermeden önce üçüncü taraf satıcı kimlik doğrulamasını sağlamak için Duo Beyond'u uygulamaya koydu.

Cisco, üçüncü taraf tedarikçilere erişimi nasıl güvence altına aldı:

• Çok faktörlü kimlik doğrulama (MFA): Satıcılar mobil bildirimler, biyometrik veriler (Touch ID) veya parolalar aracılığıyla doğrulanır, bu da yetkisiz erişim risklerini azaltır.
• Cihaz sağlık kontrolleri: Üreticinin cihazları, uygulamalara erişmeden önce güvenlik standartlarını (örneğin, güncel işletim sistemi, ekran kilidi, antivirüs) karşılamak zorundaydı.
• Cihaz sağlığı izleme: Duo Beyond'un "güven izleme" özelliği, anormal satıcı oturum açma girişimlerini ve istemlerini tespit etti. ⁴

4. Uzaktan masaüstü erişiminin (RDP) güvenliğinin sağlanması

Uzaktan çalışanlara sahip kuruluşlar, Uzaktan Masaüstü Protokolü (RDP) kullanır. Bu protokol, şifrelenmiş bir iletişim kanalı üzerinden uzaktan bağlı makineler arasında güvenli bilgi alışverişini kolaylaştırır. Ancak siber suçlular, kimlik avı saldırıları başlatmak için sıklıkla zayıf veya çalınmış RDP kimlik bilgilerini kullanırlar.

Çok faktörlü kimlik doğrulama (MFA) , şifreler ele geçirilse bile yalnızca yetkili kullanıcıların oturum açabilmesini sağlayarak kritik bir güvenlik katmanı ekler. RDP erişimi, kimlik doğrulama uygulaması, SMS OTP veya güvenlik anahtarı aracılığıyla MFA doğrulaması gerektirir ve kimlik bilgilerinin ele geçirilmesini ve kimlik avı girişimlerini önler.

Gerçek hayattan bir örnek:

Microsoft uzaktan masaüstü erişimi (RDP) için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirir.

Microsoft yetkisiz erişimi önlemek için Azure ve Windows RDP oturum açma işlemleri için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirir. ⁵

5. Banka hesabına giriş yapma

Banka hesabına giriş yaparken, çok faktörlü kimlik doğrulama (MFA) yalnızca hesap sahibinin erişime sahip olduğunu doğrulayabilir. Bir banka hesabına giriş yapmak için kullanıcıdan şifre girmesi ve telefonuna gönderilen tek kullanımlık kod veya biyometrik tarama gibi ikinci bir doğrulama yapması istenir. Bu, kritik finansal bilgilere yetkisiz erişimi önler ve dolandırıcılığa karşı koruma sağlar.

Gerçek hayattan bir örnek:

Bank of America, banka hesaplarının güvenliğini sağlamak için çok faktörlü kimlik doğrulama (MFA) kullanmaktadır.

Bank of America Kullanıcı tanınmayan bir cihazdan veya konumdan giriş yapmaya çalışırsa, banka meşru bir kullanıcı olduğundan emin olmak için ek doğrulama adımları (örneğin, kısa mesaj veya e-posta yoluyla gönderilen bir güvenlik kodu) isteyebilir. ⁶

6. Çevrimiçi kredi kartı kullanımı

Çevrimiçi bir işlem için müşteri genellikle kredi kartı bilgilerini (kart numarası, son kullanma tarihi, CVV) verir, ancak çok faktörlü kimlik doğrulama (MFA) doğrulama için ek bir adım gerektirir.

Gerçek hayattan bir örnek:

Mastercard kimlik doğrulama (3D Secure 2.0) kullanıyor.

Mastercard ve Visa gibi diğer ödeme sağlayıcıları, çevrimiçi kredi kartı işlemlerinde 3D Secure (3DS) adı verilen bir teknoloji kullanmaktadır. 3D Secure ile, kart sahibi çevrimiçi bir satın alma işlemi yapmaya çalıştığında, işlemi ikinci bir kimlik doğrulama faktörüyle doğrulaması gerekecektir.

Örneğin, SMS veya e-posta yoluyla bir OTP (tek kullanımlık şifre) alabilirler veya bankalarının mobil uygulaması aracılığıyla (anlık bildirim yoluyla) ödemeyi onaylamaları gerekebilir. ⁷

7. Bulut hizmetlerine erişimin güvenliğinin sağlanması

Çok faktörlü kimlik doğrulama (MFA), yetkisiz erişimi önlemek ve hassas verileri korumak için bulut platformlarına erişimi güvence altına almak amacıyla kullanılır. En popüler bulut platformlarının çoğu, çok faktörlü kimlik doğrulamayı temel bir güvenlik özelliği olarak içerir.

Gerçek hayattan bir örnek:

Google Cloud, güvenlik modelinin bir parçası olarak çok faktörlü kimlik doğrulama (MFA) sunmaktadır.

Google Cloud, bulut kaynaklarına erişmek için kullanıcıların iki veya daha fazla kimlik doğrulama faktörü (örneğin parola ve mobil cihazlarına gönderilen bir kod) sağlamasını gerektirir. Bu, GCP (Google Cloud Platform), Google Drive ve hassas veriler içeren diğer hizmetler gibi Google Cloud hizmetlerine erişen yöneticiler ve normal kullanıcılar için geçerlidir. ⁸

8. Geliştiricilerin kod depolarına (GitHub, GitLab) erişiminin güvenliğini sağlamak

Geliştiriciler ve kuruluşlar, kaynak kodunu depolamak ve üzerinde iş birliği yapmak için GitHub ve GitLab gibi platformlara güveniyor. Güvenliği artırmak için geliştiricilerin genellikle aşağıdaki gibi çok faktörlü kimlik doğrulama (MFA) yöntemlerini kullanmaları gerekmektedir:

• Kimlik doğrulama uygulamaları (Google Authenticator, Microsoft Authenticator)
• SMS kodları
• Donanım güvenlik anahtarları (YubiKey)

Gerçek hayattan bir örnek:

GitHub, geliştiricilerin çok faktörlü kimlik doğrulama (MFA) kullanmasını zorunlu kılıyor.

GitHub, 2023 yılında GitHub.com'da kod paylaşan tüm kullanıcıların bir veya daha fazla iki faktörlü kimlik doğrulama (2FA) yöntemini etkinleştirmesini zorunlu hale getirdi. ⁹

9. Hassas sağlık verilerine (PHI) erişimin güvenliğinin sağlanması

Sağlık hizmeti sağlayıcıları ve kuruluşları hassas hasta bilgileri (PHI) ile ilgilenir ve HIPAA gibi uyumluluk standartlarına tabidir. Çok faktörlü kimlik doğrulama (MFA), sağlık kayıtlarına yetkisiz erişimi önlemek, hasta verilerini güvence altına almak ve düzenleyici uyumluluk gereksinimlerini karşılamak için gereklidir.

Gerçek hayattan bir örnek:

Gerçek hayattan örnek: Oracle Sağlık (eski adıyla Cerner)

Oracle Health (eski adıyla Cerner, Haziran 2022'de Oracle'ın 28,3 milyar dolarlık satın alımının ardından yeniden markalandı), elektronik sağlık kayıt sistemlerindeki hasta verilerine klinik uzman ve personel erişimini güvence altına almak için çok faktörlü kimlik doğrulama (MFA) kullanmaktadır. Kullanıcılar, kayıtlara erişirken parola ve ikinci bir faktör olan tek kullanımlık şifre (OTP) veya biyometrik kimlik doğrulama ile kimliklerini doğrularlar. ¹⁰

10. Hukuk veritabanlarına erişim

Hassas bilgiler içeren veri tabanlarına erişen hukuk uzmanları ve kolluk kuvvetleri mensupları, yalnızca yetkili kişilerin gizli veya sınıflandırılmış verilere erişebilmesini sağlamak için çok faktörlü kimlik doğrulama (MFA) kullanmalıdır.

Örneğin, hukuk veritabanına (örneğin LexisNexis veya Westlaw) erişen avukatlar, giriş işlemlerini güvence altına almak için çok faktörlü kimlik doğrulama (MFA) kullanırlar. Şifrelerini (birinci faktör) girerler ve ardından parmak izi taraması veya anlık bildirim kullanarak kimliklerini doğrularlar.

Gerçek hayattan bir örnek:

Hukuk bürosu erişim güvenliğini artırmak için çok faktörlü kimlik doğrulama (MFA) kullanıyor.

Birleşik Krallık merkezli hukuk firması Freeths LLP, S-Key'in biyometrik, parmak iziyle etkinleştirilen erişim kontrol kartlarını mevcut erişim kontrol sistemine entegre ederek çok faktörlü kimlik doğrulama (MFA) uygulamasını hayata geçirdi. ¹¹

11. Kripto ve blok zinciri cüzdanlarının güvenliğini sağlamak

Varsayılan olarak, Ndax veya benzeri platformlar gibi kripto cüzdanları ve işlem platformları, standart güvenlik önlemi olarak 2FA'yı uygulamaktadır.

Ayrıca, merkezi borsalar için yasal bir gereklilik olan müşteri tanıma (KYC) süreci, hesaba erişim için kullanıcının verilerine bağlanan çok faktörlü kimlik doğrulama (MFA) güvenlik önlemleri ekler; çoğu durumda e-posta ve telefon doğrulaması gereklidir.

• Binance ve Coinbase gibi borsa platformları, hesap erişimini ve para çekme işlemlerini güvence altına almak için çok faktörlü kimlik doğrulama (MFA) uygulamasını zorunlu kılıyor.
• Kullanıcılar genellikle bir kimlik doğrulama uygulaması, donanım belirteci (örneğin, YubiKey) veya biyometrik kimlik doğrulama (örneğin, parmak izi) kullanırlar .
• Bazı dijital cüzdanlar, işlemlerin gerçekleştirilmeden önce birden fazla cihaz/hesaptan onay almasını gerektiren çoklu imza kimlik doğrulamasını zorunlu kılar.

Gerçek hayattan bir örnek:

TrueCode Capital, blockchain cüzdanlarını güvence altına almak için çok faktörlü kimlik doğrulama (MFA) özelliğini uygulamaya koydu.

TrueCode Capital, kimlik avı saldırılarını ve yetkisiz erişimi önlemek için YubiKey tabanlı çok faktörlü kimlik doğrulama (MFA) sistemini uygulamaya koydu. ¹²

12. IRS MFA zorunluluklarına uyumluluğun sağlanması

ABD Vergi Dairesi (IRS), vergi uzmanları için çok faktörlü kimlik doğrulamasını zorunlu kılıyor. Haziran 2023'te yürürlüğe giren değişiklik, herhangi bir sisteme, uygulamaya veya cihaza erişirken kimliği doğrulamak için yalnızca kullanıcı adı ve şifrenin ötesinde kimlik doğrulaması gerektirerek hesap güvenliğini artırmayı amaçlıyor.

Çok faktörlü kimlik doğrulama (MFA), vergi uzmanının bilgisayarında veya ağında bulunan müşteri bilgilerinin güvenliğini sağlamak ve vergi hazırlama yazılımında kaydedilen müşteri bilgilerine erişmek için kullanılmalıdır. ¹³

Çok faktörlü kimlik doğrulama (MFA) örnekleri

Araştırmamızda, Apple, PayPal ve Google gibi şirketlerin nasıl yararlandığını vurguladık. Çeşitli MFA örnekleri .

Kullanıcının bildiklerine dayalı kimlik tespiti: Kullanıcılar yalnızca kendilerinin bilmesi gereken bilgileri vermelidir. Bazı yaygın örnekler şunlardır:

• Şifreler
• Güvenlik soruları
• Bilgi tabanlı kimlik doğrulama

Kullanıcının sahip olduğu bir nesne kullanılarak kimlik doğrulama: Kullanıcılar, kimliklerini doğrulamak için fiziksel olarak sahip oldukları bir nesneyi göstermelidir. Bu kimlik doğrulama biçiminin bazı tipik örnekleri şunlardır:

• Akıllı kartlar
• Mobil cihazlar

Kullanıcının kimliğine dayalı kimlik doğrulama: Bu çok faktörlü kimlik doğrulama, bireyin kimliğini benzersiz biyolojik özellikler aracılığıyla doğrular. Bu kimlik doğrulama biçiminin bazı tipik kullanım alanları şunlardır:

• Parmak izi tanıma
• Yüz tanıma

Konum ve zaman yoluyla kimlik doğrulama: Bu kimlik doğrulama yöntemi, bir sisteme veya ağa erişimin yalnızca yetkili yerlerden ve belirtilen zamanlarda mümkün olduğunu doğrulamak için kullanılır. Bu kimlik doğrulama biçiminin bazı tipik örnekleri şunlardır:

• Coğrafi konum
• Gün içi saat kısıtlamaları: (örneğin, erişim sabah 9 ile akşam 5 arasında kısıtlanabilir)
• Zamana dayalı tek kullanımlık şifreler (TOTP'ler): (örneğin, kullanıcının geçerli zamana bağlı olarak oluşturulan tek kullanımlık bir şifre girmesi gerekir)

Çok faktörlü kimlik doğrulama (MFA) kullananlar kimlerdir?

Çok faktörlü kimlik doğrulama, kullanıcıların bir hesaba erişim sağlamadan önce iki veya daha fazla doğrulama türü göndermelerini gerektiren bir siber güvenlik uygulamasıdır.

• Çoğu kişi, cihazlarının kilidini açmadan önce kimliklerini doğrulamak için parmak izlerini veya yüz tanıma özelliğini kullanır. Bazı akıllı telefon uygulamaları da, uygulama içinde çok faktörlü kimlik doğrulama (MFA) sağlamak için PIN veya parola ile birlikte biyometrik verileri kullanabilir.
  
• Özellikle hassas verileri işleyen veya geniş bir dijital altyapıya sahip olan (örneğin çevrimiçi bankalar, finansal uygulamalar ve sağlık kuruluşları ) çoğu kurumsal kuruluş, erişim izni vermeden veya yüksek riskli işlemleri yetkilendirmeden önce hesap sahiplerinin kimliklerini doğrulamak için çok faktörlü kimlik doğrulama kullanır.

SSS'ler

Daha fazla okuma

• En İyi 10 Çok Faktörlü Kimlik Doğrulama (MFA) Çözümü
• GitHub Yıldızlarına Göre En İyi 10 Açık Kaynak RBAC Aracı

Referans Linkleri

1.

https://www.silverfort.com/wp-content/uploads/2018/12/BlueSnap-Case-Study-MFA-for-Sensitive-Assets.pdf

2.

https://help.salesforce.com/s/articleView?id=000396727&type=1

3.

82% of companies unknowingly give 3rd parties access to all their cloud data | Wiz Blog

Wiz.io

4.

https://www.cisco.com/c/dam/en/us/products/collateral/security/duo/zero-trust-duo-cs.pdf

5.

https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-mfa

6.

Health Account Resources for Individual Account Holders

7.

Access Denied

8.

https://cloud.google.com/identity-platform/docs/web/mfa/

9.

About mandatory two-factor authentication - GitHub Docs

10.

https://www.oracle.com/a/ocom/docs/industries/healthcare/cerner-certified-health-it-transparency-and-disclosure.pdf

11.

Freevolt Technologies Limited

12.

https://www.yubico.com/resources/reference-customers/cryptocurrency-truecode-capital-yubikey-case-study/

13.

https://www.irs.gov/newsroom/multi-factor-authentication-key-protection-to-tax-professionals-security-arsenal-now-required

Cem Dilmegani

Baş Analist

Takip Et

Cem, 2017'den beri AIMultiple'da baş analist olarak görev yapmaktadır. AIMultiple, her ay Fortune 500 şirketlerinin %55'i de dahil olmak üzere yüz binlerce işletmeye (benzer Web'e göre) bilgi sağlamaktadır. Cem'in çalışmaları, Business Insider, Forbes, Washington Post gibi önde gelen küresel yayınlar, Deloitte, HPE gibi küresel firmalar, Dünya Ekonomik Forumu gibi STK'lar ve Avrupa Komisyonu gibi uluslararası kuruluşlar tarafından alıntılanmıştır. AIMultiple'ı referans gösteren daha fazla saygın şirket ve kaynağı görebilirsiniz. Kariyeri boyunca Cem, teknoloji danışmanı, teknoloji alıcısı ve teknoloji girişimcisi olarak görev yapmıştır. On yıldan fazla bir süre McKinsey & Company ve Altman Solon'da işletmelere teknoloji kararları konusunda danışmanlık yapmıştır. Ayrıca dijitalleşme üzerine bir McKinsey raporu yayınlamıştır. Bir telekom şirketinin CEO'suna bağlı olarak teknoloji stratejisi ve tedarikini yönetmiştir. Ayrıca, 2 yıl içinde sıfırdan 7 haneli yıllık yinelenen gelire ve 9 haneli değerlemeye ulaşan derin teknoloji şirketi Hypatos'un ticari büyümesini yönetmiştir. Cem'in Hypatos'taki çalışmaları TechCrunch ve Business Insider gibi önde gelen teknoloji yayınlarında yer aldı. Cem düzenli olarak uluslararası teknoloji konferanslarında konuşmacı olarak yer almaktadır. Boğaziçi Üniversitesi'nden bilgisayar mühendisliği diplomasına ve Columbia Business School'dan MBA derecesine sahiptir.

Tam Profili Görüntüle

Yorum yapan ilk kişi olun

E-posta adresiniz yayınlanmayacak. Tüm alanlar gereklidir.

Ad

E-posta Adresi

Yorum

0/450

Yorumu Gönder