İki faktör - ve SMS kodlarının neden zayıf halka olduğu
25 Haz 2026 · 3 dakikalık okuma · Yorumlar
Bu makale bağlı kuruluş bağlantıları içermektedir. Onlar aracılığıyla satın alırsanız, size hiçbir ekstra maliyet getirmeden bir komisyon kazanabiliriz.
İki faktörlü kimlik doğrulama, yapabileceğiniz en etkili güvenlik yükseltmelerinden biridir. Ancak iki faktörün tümü aynı değildir ve çoğu hizmetin varsayılan olarak kullandığı en yaygın sürüm, çoğu insanın bilmediği belirli, iyi belgelenmiş bir güvenlik açığına sahiptir.
İki faktörlü kimlik doğrulama, bildiğiniz bir şeyi (şifreniz) ve sahip olduğunuz bir şeyi (genellikle bir kod) zorunlu kılarak çalışır. Birisi şifrenizi çalsa bile ikinci faktör olmadan giriş yapamaz. Gerçekten iyi. Soru "sahip olduğun bir şeyin" ne anlama geldiğidir.
SMS kodlarıyla ilgili sorun
SMS kodları telefon numaranıza gönderilir. Telefon numaranız operatörünüz tarafından kontrol edilmektedir. Ve operatörler, bazen sosyal mühendislik yoluyla, bazen de çalışanlara doğrudan rüşvet vererek, numaranızı saldırganın kontrol ettiği bir SIM karta aktarmaları için manipüle edilebilir. Buna SIM takası denir.
Numaranız aktarıldıktan sonra "sizin" telefonunuza gönderilen her SMS kodu, saldırganın cihazına gider. Şifreniz artı herhangi bir SMS tabanlı iki faktörlü faktör artık onların. Yüksek değerli hedefler (önemli miktarda kripto para birimine sahip kişiler, yöneticiler, gazeteciler) bu şekilde düzenli olarak tehlikeye atılıyor.
Bunun yerine ne kullanılmalı?
Kimlik doğrulama uygulaması cihazınızda zamana dayalı kodlar oluşturur. Telefon ağı üzerinden iletilmiyorlar; hiçbir SIM takası onları engelleyemez. Google Authenticator veya Authy gibi uygulamalar bu şekilde çalışır. NordPass ayrıca yerleşik bir kimlik doğrulayıcı içerir; bu, 2FA kodlarınızın ve şifrelerinizin aynı güvenli kasada bulunduğu anlamına gelir.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
İki faktör en zayıf haliyle bile sahip olunmaya değer. SMS 2FA, 2FA olmamasından çok daha iyidir. Ancak bunu kullanacaksanız, SMS'ten kimlik doğrulama uygulamasına geçmek hesap başına yaklaşık iki dakika sürer ve korumadaki boşluk ciddidir.
Sık sorulan sorular
What is credential stuffing?+
Kimlik bilgisi doldurma, saldırganların bir ihlalde açığa çıkan e-posta ve şifre kombinasyonlarını alıp bunları otomatik olarak diğer hizmetlerde denemesidir. Parolaları yeniden kullanırsanız, bir sitedeki ihlal, saldırganların aynı kimlik bilgilerine sahip tüm hesaba erişmesine olanak tanır.
Is it safe to store all your passwords in one place?+
Evet, saygın bir şifre yöneticisi kullanıldığında. Şifrelenmiş kasa, yeniden kullanılan veya zayıf parolalardan çok daha güvenlidir. NordPass gibi şifre yöneticileri sıfır bilgi mimarisini kullanır; bu da şirketin bile saklanan şifrelerinizi göremediği anlamına gelir.
What is two-factor authentication and should I use it?+
İki faktörlü kimlik doğrulama (2FA), şifrenizin ötesinde ikinci bir doğrulama adımı gerektirir; genellikle bir uygulamadan gelen koddur. SIM değiştirme saldırılarına karşı savunmasız olan SMS kodları yerine bir kimlik doğrulama uygulaması (Google Authenticator, Authy) kullanın.
