MFA (Multi-Factor Authentication, çok faktörlü kimlik doğrulama), bir kullanıcının kimliğini doğrulamak için sadece parola (tek faktör) yerine, birden fazla bağımsız doğrulama yöntemi gerektiren bir güvenlik mekanizmasıdır.
Üç Faktör Kategorisi
| Kategori | Örnek |
|---|
| Bildiğiniz bir şey | Parola, PIN |
| Sahip olduğunuz bir şey | Telefon (SMS/OTP kodu), donanım anahtarı (YubiKey) |
| Olduğunuz bir şey | Parmak izi, yüz tanıma (biyometrik) |
Gerçek MFA, bu kategorilerden en az ikisini birden gerektirir; sadece iki farklı parola sormak MFA sayılmaz.
Neden Tek Parola Yetersiz?
Parolalar; phishing (oltalama), veri sızıntıları (bir sitede kullanılan parolanın başka sitede de kullanılması), brute-force saldırılar gibi birçok yolla ele geçirilebilir. MFA, parola ele geçirilse bile saldırganın ikinci faktöre (telefon, donanım anahtarı) de erişmesi gerektiği için ek bir savunma katmanı oluşturur.
Backup ve Yönetim Erişiminde Neden Kritik?
Ransomware saldırılarının önemli bir kısmı, ele geçirilmiş yönetici kimlik bilgileriyle backup altyapısına erişip yedekleri silmeye veya bozmaya çalışır. Backup konsollarına (Veeam gibi), BMC (iDRAC/iLO) arayüzlerine ve bulut yönetim panellerine MFA zorunlu kılmak, tek bir ele geçirilmiş parolanın tüm altyapıyı riske atmasını önler.
MFA Yöntemleri Arasındaki Güvenlik Farkı
Tüm MFA yöntemleri eşit güvenlik seviyesi sunmaz: SMS tabanlı OTP kodları, SIM takas (SIM swap) saldırılarına karşı görece zayıftır; kimlik doğrulama uygulamaları (authenticator app) daha güvenlidir; donanım güvenlik anahtarları (FIDO2/YubiKey) en yüksek koruma seviyesini sunar.
Zero Trust ile İlişkisi
MFA, Zero Trust güvenlik modelinin temel bileşenlerinden biridir: Zero Trust'ta "hiçbir isteğe varsayılan olarak güvenilmez" prensibi, her erişim talebinde güçlü kimlik doğrulamayı (MFA dahil) gerektirir.
Özet
MFA, tek bir parolanın ötesinde ek doğrulama katmanları ekleyerek, ele geçirilmiş kimlik bilgilerinin tek başına yeterli olmasını önler; özellikle backup ve yönetim erişimlerinde vazgeçilmez bir güvenlik kontrolüdür.