Çok faktörlü kimlik doğrulama (MFA), hesaplara yetkisiz erişimi önlemede en etkili yöntemlerden biridir. Ancak yanlış yapılandırma veya zayıf uygulama, MFA'nın sağladığı korumayı ciddi şekilde azaltabilir. Bu yazıda, MFA kurulumunda en sık karşılaşılan hataları ve bu hatalardan kaçınmak için uygulayabileceğiniz pratik ipuçlarını kontrol listesi formatında bulacaksınız.
MFA Yapılandırmasında Sık Yapılan 6 Hata
1. SMS Tabanlı Doğrulamaya Güvenmek
SMS doğrulama kodları, SIM swapping saldırılarına karşı savunmasızdır. Saldırganlar, telefon numaranızı ele geçirerek kodları yakalayabilir. Bunun yerine authenticator uygulamaları (Google Authenticator, Microsoft Authenticator) veya donanım tokenları (YubiKey) kullanılmalıdır.
2. Kurtarma Kodlarını Güvensiz Saklamak
MFA etkinleştirirken verilen kurtarma kodlarını e-posta veya bulut notları gibi güvensiz ortamlarda saklamak, saldırganların bu kodlara erişmesine yol açabilir. Kurtarma kodları fiziksel bir kasa veya şifre yöneticisinde saklanmalıdır.
3. Tüm Kullanıcılara Aynı MFA Yöntemini Dayatmak
Her kullanıcının ihtiyacı farklıdır. Zorunlu olarak tek bir yöntem (örneğin sadece SMS) dayatmak, kullanıcıları daha güvensiz alternatiflere yöneltebilir. Bunun yerine çoklu MFA seçeneği sunun ve kullanıcıların tercihine göre yapılandırmalarına izin verin.
4. MFA'yı Sadece Giriş Sayfasına Uygulamak
MFA yalnızca oturum açma işleminde kullanılıyorsa, saldırganlar ele geçirdikleri bir oturum belirteciyle (session token) MFA engelini aşabilir. Hassas işlemler (şifre değiştirme, para transferi, yönetici paneli erişimi) için ek MFA doğrulaması istenmelidir.
5. Bildirim Tabanlı MFA'yı Yorgunluk Saldırılarına Açık Bırakmak
Push bildirimiyle çalışan MFA yöntemleri, kullanıcıyı sürekli bildirimle yorarak (MFA fatigue) istenmeyen onay alabilir. Bildirim sıklığını sınırlayın, coğrafi konum veya IP kontrolü ekleyin ve kullanıcıya bildirimin kaynağını sorgulama imkanı verin.
6. MFA Kullanımını Zorunlu Kılmamak
İsteğe bağlı MFA, kullanıcıların ihmal etmesine yol açar. Yönetici hesapları ve hassas verilere erişen tüm kullanıcılar için MFA zorunlu hale getirilmelidir.
Doğru MFA Uygulaması İçin 5 İpucu
- Donanım Tokenları Öncelikli Olsun: FIDO2/WebAuthn destekli donanım tokenları (YubiKey, Google Titan) hem phishing'e dayanıklı hem de kullanımı kolaydır. Özellikle yönetici hesapları için idealdir.
- Biometrik Faktörleri Entegre Edin: Parmak izi veya yüz tanıma gibi biometrikler, kullanıcı deneyimini artırırken güvenliği de yükseltir. Ancak biometrik verilerin şifrelenerek saklandığından emin olun.
- Risk Tabanlı Koşullar Ekleyin: Oturum açma konumu, cihaz tanıma ve IP güvenilirliğine göre MFA gereksinimini dinamik olarak ayarlayın. Örneğin, tanıdık bir cihazdan gelen talepte MFA istenmeyebilir.
- Kullanıcı Eğitimi Verin: MFA'nın ne olduğu, neden önemli olduğu ve olası saldırı vektörleri (SIM swapping, MFA fatigue) hakkında düzenli eğitimler düzenleyin. Sosyal Mühendislik Saldırılarından Korunma rehberimiz de bu konuda faydalı bilgiler sunar.
- Gerçek Zamanlı İzleme ve Loglama: MFA girişimlerini merkezi bir log sisteminde toplayın. Başarısız denemelerin sayısını ve kaynağını analiz ederek anormallikleri erken tespit edin.
MFA Uygulama Kontrol Listesi
| Adım | Açıklama | Durum |
|---|---|---|
| 1 | SMS yerine authenticator uygulaması veya donanım tokenı kullanılacak. | [ ] |
| 2 | Kurtarma kodları şifre yöneticisinde veya fiziksel kasada saklanacak. | [ ] |
| 3 | Kullanıcılara en az 2 farklı MFA yöntemi sunulacak. | [ ] |
| 4 | Hassas işlemler için ayrı MFA doğrulaması eklenecek. | [ ] |
| 5 | Push bildirimi yorgunluğuna karşı sınırlama ve bağlam kontrolü uygulanacak. | [ ] |
| 6 | Tüm yönetici ve hassas veri erişiminde MFA zorunlu kılınacak. | [ ] |
| 7 | Donanım tokenları tüm kritik hesaplarda aktif edilecek. | [ ] |
| 8 | Risk tabanlı koşullar (IP, cihaz, konum) entegre edilecek. | [ ] |
| 9 | Kullanıcılar MFA güvenliği konusunda eğitilecek. | [ ] |
| 10 | MFA logları düzenli olarak izlenecek ve alarm kurulacak. | [ ] |
Unutmayın: MFA Tek Başına Yeterli Değildir
MFA, güvenlik katmanlarından yalnızca biridir. Güncel uç nokta koruma çözümleri (EDR) ve düzenli güvenlik farkındalığı eğitimleriyle desteklenmelidir. EDR vs. XDR karşılaştırmamız, uç nokta güvenlik stratejinize rehberlik edebilir. Ayrıca, MFA yapılandırmanızı periyodik olarak gözden geçirin ve yeni tehditlere karşı güncel kalın. Doğru yapılandırılmış bir MFA, siber saldırıların büyük bir kısmını engeller ancak tüm güvenlik zincirinin yalnızca bir halkasıdır.
Sık Sorulan Sorular
MFA'da SMS yerine hangi yöntemi kullanmalıyım?
SMS, SIM swapping saldırılarına açık olduğu için önerilmez. Bunun yerine authenticator uygulamaları (Google Authenticator) veya donanım tokenları (YubiKey) kullanın.
MFA yorgunluğu (MFA fatigue) saldırısı nedir ve nasıl önlenir?
Saldırganın kullanıcıya sürekli MFA bildirimi göndererek istenmeyen onay almasıdır. Önlemek için bildirim sıklığını sınırlayın, coğrafi konum kontrolü ekleyin ve kullanıcıyı bilinçlendirin.
Kurtarma kodlarını nerede saklamalıyım?
Kurtarma kodları asla e-posta veya bulut notlarında saklanmamalıdır. Fiziksel bir kasa veya güvenli bir şifre yöneticisi kullanılmalıdır.
MFA'yı tüm kullanıcılar için zorunlu kılmak şart mı?
Özellikle yönetici hesapları ve hassas verilere erişen tüm kullanıcılar için MFA zorunlu olmalıdır. Diğer kullanıcılar için teşvik edici politikalar uygulanabilir.
MFA yapılandırmamı ne sıklıkla güncellemeliyim?
MFA yapılandırmanızı en az yılda bir kez gözden geçirin ve yeni tehdit vektörlerine karşı güncelleyin. Ayrıca, büyük güvenlik olayları sonrasında da kontrol etmeniz önerilir.






