harika bi şey amk. önce şifre yazdırdın, sonra yok bir büyük harf olsun üç rakam olsun dedin. o bitti yedek mail adresi. sonra tuttun telefon istedin. yok efendim iki adımda doğrulama beş adımda şifre sıfırlama. ammmııına kodumun çocukları yapamadınız doğru düzgün bir ayar benim ben olduğumu anlayacak. oturunca sırf bana açılacak, basıp gittiğimde otomatik kilitlenecek bi sistem. oraya şifre gir, burada doğrulan, öbürüne götünü qr koda çevirsin falan. lan gidin. sktirin geberin gidin ammına kodumu. buldunuz bi teknoloji topladınız kabzımal kafalı programcıları onu çözdüm sansın, bunu düzelttim sansın, teknolojiynen ne sik yiyeceğini bilemeden icat çıkarsın dursun. bu ne lan.

15 adımlı doğrulamadan önceki büyük bir gelişmedir.

sosyal medyadan kopup biraz işle güçle ilgilenmek için de kullanışlı. siteden çıkış yaptıktan sonra girmek amelelik olduğu için kendini engelleyebilme şansın oluyo.

iki adımlı doğrulamanın en çok etkinleştirilmesi gereken ortam: email. ana iletişim email'iniz ele geçerse neredeyse her hesabınızı ele geçirmek, hatta bazıları için iki adımlı doğrulama destekleseler bile bunu yapmak mümkün oluyor.

ancak iki adımlı doğrulamayı destekleyen her mecrada körü körüne etkinleştirmek iki sebepten sakıncalı:

1) her mecra aynı hesap kurtarma seçeneklerini ve aynı iki adımlı doğrulama imkanlarını sağlamıyor. iki adımlı doğrulama ayarladınız diye hesabınızı kaybetmeniz de mümkün. ben iki adımlı doğrulama için başka alternatif sunmadığından evernote hesabıma erişimi böyle yitirdim mesela. belki şimdi alternatif sunuyordur. iyi oldu ama zaten sevmiyordum. (yalan, bazen bunu hatırlayıp geceleri gizlice ağlıyorum). aynı şekilde steam'de de bir kere steam guard'ı etkinleştirdiğinizde cihazınızı kaybederseniz eski hale dönmek için destek ticket'ı açmanız gerekebiliyor.

bu yüzden etkinleştirmeden önce hesabınızı kurtarmak için mecranın alternatif sunduğundan emin olun (örn: cep telefonu, email, kağıda bastırılan kurtarma kodları vs).

2) cep telefonuyla doğrulama isteyen mecralara durduk yere iki adımlı doğrulama için telefon numaranızı vermiş oluyorsunuz. kıytırık bir siteyse ve veritabanı hack edilirse (mesela yahoo), telefon numaranızı da kaptırmış oluyorsunuz.

hesabınızın/bilgilerinizin çalınmasının size öyle ciddi zarar vermeyeceği sitelere sırf iki adımlı doğrulama ekleyeceksiniz diye cep telefonu gibi özel bilgilerinizi eklemek daha sakıncalı da olabilir. "bu hesap çalınsa daha iyi" diye düşündüğünüz yerlere bu bilgileri verirken iki kere düşünün.

ayrıca bir cihazdan başka cihaza geçerken google authenticator verisini taşımak mümkün değil. baştan ayarlamak gerekiyor. bu yüzden iki cihazın çalışır anda durması ve her hesap için yeni cihaza geçiş sürecini uygulamak gerekiyor.

gmail'in biz kullanıcılara sunduğu son özelliktir. tabir-i caizse güvenliğin bokunu çıkarmışlar. oturum açtığınız bir bilgisayarda önce şifrenizi, daha sonra cep telefonunuzu arayarak yada mesaj ile güvenlik kodu gönderiyor. güvenlikte sınır bitmedi. eğer telefonunuz çalınır,kaybolur diye ikinci bir numara istiyor sizden. bitti sandınız ama hala bitmedi. eğer ki tüm bu ihtimalleri gerçekleştiremiyorsanız size kayıt sırasında verdiği 7 basamaklı 10 sayıyı soruyor. tüm bunlara rağmen hala mailimi çaldılar, gmailim hacklendi tarzında bir şikayetiniz varsa ne yapmanız gerekiyor orasını bilmiyorum. zaten çaldırıyorsanız artık nette işiniz yok demektir.

özellikle email için elzem olduğunu düşünüyorum.

iyi güzel de, kullanıcı bilinçlendirmesinin yerini 2fa dahil hiç bir şey tutamaz.

mesela nevşin mengü'nün twitter hesabını hacklemeye çalışıyorlar, nevşin'de 2fa aktif olduğu için şifreyi ele geçiren hacker hesaba giremiyor.

peki iş burada bitti mi?

nevşin hanım sms'lerin screenshot'ını alıp twitter hesabından şak diye paylaşıyor:
https://hizliresim.com/rnqmqg

geçmiş olsun, 2fa'nın sağladığı güvenlik kullanıcı tarafından yok edildi.

donuma kadar her şeyimi google üzerinden hallettiğim için (mail: gmail, pc takvim: google sync ile outlook, iphone takvim: google calendar, iphone ve mail rehberi: google sync, en önemlisi paypal: gmail) resmen hayatımı kurtarmıştır. ne bilgisayarı çaldırma korkum kaldı ne telefonu. kralı gelse mail hesabımı ve onun üzerinden ona bağlı olan diğer hesaplarımın kılına dokunamaz.

aralarında güvenlik bakımından en önem verdiğim paypal hesabım olduğundan ve mail'ı kaptırdığınızda elemanın ilk baktığı şeyin paypal/ebay'e kayıtlı olup olmadığınız olduğundan, bu meret sağolsun artık içim çok rahat.

en sevdiğim özelliği, tüm uygulamalara özel şifre üreterek giriş yapıyor olmanız. bu sayede bilgisayarı / telefonu çaldırdığınızda bile kimse hesabınızın şifresini öğrenemiyor ve google hesabınıza giriş yaparak o yazılımın / telefonun yetkisini anında silebiliyorsunuz.

mesela outlook'a mail hesabımı eklemek için google hesabımdan outlook isminde bir şifre oluşturdum ve bana rastgele 16 haneden oluşan bir şifre verdi. bu sayede bilgisayar çalınsa bile çalan eleman outlook şifrem ile gmail hesabıma giriş yapamıyor olacak.

ayrıca iphone, blackberry ve android telefonlar için ürettikleri google authenticator uygulaması ile gmail girişinde telefona sms ile şifre gelmesiyle uğraşmanıza gerek kalmıyor, banka hesabınıza giriş yaparken kullandığımız banka uygulamaları gibi geçici şifre üretip beş saniye içinde işinizi hallediyor.

telefonunuz olmadan bir süreliğine bir yere gidecekseniz, "yazdırılabilir yedek kodlar" adlı bir bölümü de mevcuttur. ekranda 10 adet giriş kodu oluşturur ve bunun yazıcıdan çıktısını alıp cüzdanınıza koymanızı ister. bu kodların herhangi bir son kullanma tarihi yoktur ve her biri yalnızca bir defa giriş yapmanızı sağar.

(bkz: google authenticator)

google'ın 1.5 milyon izlenmeyi geçen tanıtım video'su: http://www.youtube.com/watch?v=zmabeyrtprg

veri güvenliği, hesabımızı çalacaklar, bilgilerim sızdı, msn'in hacklendi diye sürekli dert yanılan bir ülkede; bu kadar basit kurulup kullanılan bir olayın bu kadar az kullanıcı edinmesine anlam veremiyorum. size ekstra hiçbir dezavantaj da getirmiyor.

diyelim ki şifrenizi kabak gibi şifrelemeden saklayan bir servis, veritabanını sızdırdı. iki adımlı doğrulama aktifse, hesabınıza erişilmesinden korkmanıza gerek yok.

ayrıca telefon şifrenizin bilinmesinin bu sistemle hesaplarınızı tamamen savunmasız bıraktığından bahsedilmiş. iki adımlı doğrulama, adından da anlaşılacağı üzere hem şifrenizin, hem de içinde bulunduğunuz 30 saniyelik dilime göre üretilen bir sayının oluşturduğu iki adımdan ibarettir. yani şifrenizi bilen birisi; iki adımlı doğrulama olmadığı takdirde zaten "istediği an" hesabınıza erişir. en azından iki aşamalı doğrulama için telefonunuza "o an" sahip olması gerekir.

ayrıca telefonunuzu güvenliksiz bir şekilde kullanmadığınızı varsayarak söylüyorum, kilit deseninizi, pin kodunuzu, güvenlik şifrenizi bilmeyen bir kişinin de yine "şifrenizi bilse bile" bu sistemde hesabınıza erişmesi mümkün değildir.

ha yok, sevgilim veya eşim şifremi biliyor, telefon güvenlik şifrelerimi biliyor, ona rağmen ben bir şey saklıyordum da ona erişti diyorsanız; bence işe iki adımlı doğrulamayı değil başkasını suçlayarak başlayabilirsiniz.

(bkz: #149485335) "çok güçlü bir şifre oluşturmanız yeterli. gerisi bomboş."

yarak bomboş amk. yarın öbür gün dalgın anında eksis0zluk.com'a çok güçlü şifrenle login olunca ağlarsın sonra. zaten sözlük'ün alan adı artık mundar olmuş, zor ihtimal değil.

ha 2 adımlı ise kesin güvenli midir, tabi ki değildir ama bilmeden sallamak da ayrı mallık. sözlük'ün bu devirde bunu sunmaması da ayrı mallık.

madem bu haftalik cumartesi gecesi evde oturan ezik oldum, o halde vatana millete bir faydam olsun.

simdi efendim, olayin temeli "sizin bildiginiz bir sey" yerine "sizin bildiginiz bir sey + sizin sahip oldugunuz bir sey" olmasi.

burada, "sizin bildiginiz bir sey" kisaca parolaniz, "sizin sahip oldugunuz sey" ise kisaca cep telefonunuz.

sistem, taninmayan bir tarayici veya bilgisayar kullaniliyorsa, ip adresi oyle pek sizin kullandiginiz ip adresine benzemiyorsa, tarayici pek de sizin tercih ettiginiz tarayici degil veya cerezlere izin vermiyorsa "haydi ac telefonunu da orada olusan kodu bana soyle" diyor.

boylece, erkek/kiz arkadasiniz parolanizi bilse dahi, havalimaninda mailinizi acmak zorunda kaldiginiz bilgisayarda virus/trojan her ne olursa olsa dahi, sizden baskasi, telefonunuzu da sizden calmadigi surece, hesaplariniza giremez.

aslinda olayin bankalarin gonderdigi tek kullanimlik sifrelerden teknoloji olarak hicbir farki yok. sadece, facebook, gmail, live.com, wordpress gibi hesaplara da bu islemi yapabilmeniz saglaniyor.

telefonunuz patlarsa girebilin diye butun sistemlerin "yedek kod" dedikleri bir sistem mevcut. bu kod sayesinde, telefonunuz bozulsa da, bir yerde kalsa da, calinsa da, hesaplariniza giris yapabiliyorsunuz. bu kodlari yazicidan cikartip cuzdaninizda tasimanizi oneriyorlar.

parolalar bir kereligine calisiyor falan.

guzel bir sey.

mesela benim facebook parolam su sekilde, facebook'un parolami istemesi de su sekilde, girebilen girsin bakalim.

- ekran goruntusundeki uygulama, authy denen ucretsiz bir google authenticator alternatifi. kullanimi daha guzel gibi. kopyala yapistir da yapilabiliyor. ios ve android destekliyor olmasi gerekiyor.