DIABOLIKSS
Bloga Dön
MFASözlükGüvenlik

MFA Nedir? Çok Faktörlü Kimlik Doğrulama Neden Zorunlu Hale Geldi?

2 Temmuz 2026

MFA (Multi-Factor Authentication, çok faktörlü kimlik doğrulama), bir kullanıcının kimliğini doğrulamak için sadece parola (tek faktör) yerine, birden fazla bağımsız doğrulama yöntemi gerektiren bir güvenlik mekanizmasıdır.

Üç Faktör Kategorisi

KategoriÖrnek
Bildiğiniz bir şeyParola, PIN
Sahip olduğunuz bir şeyTelefon (SMS/OTP kodu), donanım anahtarı (YubiKey)
Olduğunuz bir şeyParmak izi, yüz tanıma (biyometrik)

Gerçek MFA, bu kategorilerden en az ikisini birden gerektirir; sadece iki farklı parola sormak MFA sayılmaz.

Neden Tek Parola Yetersiz?

Parolalar; phishing (oltalama), veri sızıntıları (bir sitede kullanılan parolanın başka sitede de kullanılması), brute-force saldırılar gibi birçok yolla ele geçirilebilir. MFA, parola ele geçirilse bile saldırganın ikinci faktöre (telefon, donanım anahtarı) de erişmesi gerektiği için ek bir savunma katmanı oluşturur.

Backup ve Yönetim Erişiminde Neden Kritik?

Ransomware saldırılarının önemli bir kısmı, ele geçirilmiş yönetici kimlik bilgileriyle backup altyapısına erişip yedekleri silmeye veya bozmaya çalışır. Backup konsollarına (Veeam gibi), BMC (iDRAC/iLO) arayüzlerine ve bulut yönetim panellerine MFA zorunlu kılmak, tek bir ele geçirilmiş parolanın tüm altyapıyı riske atmasını önler.

MFA Yöntemleri Arasındaki Güvenlik Farkı

Tüm MFA yöntemleri eşit güvenlik seviyesi sunmaz: SMS tabanlı OTP kodları, SIM takas (SIM swap) saldırılarına karşı görece zayıftır; kimlik doğrulama uygulamaları (authenticator app) daha güvenlidir; donanım güvenlik anahtarları (FIDO2/YubiKey) en yüksek koruma seviyesini sunar.

Zero Trust ile İlişkisi

MFA, Zero Trust güvenlik modelinin temel bileşenlerinden biridir: Zero Trust'ta "hiçbir isteğe varsayılan olarak güvenilmez" prensibi, her erişim talebinde güçlü kimlik doğrulamayı (MFA dahil) gerektirir.

Özet

MFA, tek bir parolanın ötesinde ek doğrulama katmanları ekleyerek, ele geçirilmiş kimlik bilgilerinin tek başına yeterli olmasını önler; özellikle backup ve yönetim erişimlerinde vazgeçilmez bir güvenlik kontrolüdür.

Mehmet Aydın

Yazar

Mehmet Aydın

IBM Champion 2026 · Teknik Direktör · Pre-Sales Mimar

20 yıllık altyapı deneyimine sahip Teknik Direktör. IBM Türkiye'de Senior Technical Storage Specialist olarak çalıştı. ESH Bilişim ve Siaflex bünyesinde pre-sales liderliği yürütüyor. VMware, Veeam, HPE ve IBM sertifikalı eğitmen.

Paylas

Danışmanlık

Bu konular hakkında konuşmak ister misiniz?

İletişime Geç