İki Faktörlü Doğrulama (MFA) Kurumsal Kullanımı
Özet: MFA; parola + telefon kodu, push bildirimi veya FIDO2 anahtarı ekleyerek parola sızıntısının hesap ele geçirmeye dönüşmesini %99 üzerinde engeller. KOBİ'de önce admin, e-posta ve VPN hesaplarında zorunlu hale getirilmeli; Microsoft Authenticator ve FIDO2 en güvenli seçimlerdir.
Parola, ne kadar karmaşık olursa olsun, sızma ve tahmin edilme riskine açıktır. İki faktörlü doğrulama (MFA — Multi-Factor Authentication) parolaya ek olarak ikinci bir doğrulama adımı ekler: telefondaki uygulama, SMS kodu, fiziksel anahtar veya biyometrik kontrol. MFA zorunlu hale getirildiğinde hesap ele geçirme saldırılarının büyük bölümü başarısız olur. Bu rehber KOBİ'ler için MFA'nın kurumsal uygulamasını açıklar.
MFA Neden Hızlı Kazanım?
MFA, uygulama maliyeti düşük ama etki büyük olan bir güvenlik katmanıdır. Microsoft, Google ve diğer büyük sağlayıcılar MFA'nın hesap ele geçirmelerini büyük oranda azalttığını istatistiklerle doğrulamıştır. KOBİ'lerde MFA uygulanmadığında yaşanan tipik sorunlar:
- Çalınan parolayla hesaba anında erişim
- Phishing başarılı olsa bile saldırganın giriş yapamaması
- Çoklu hesaba aynı parolanın kullanılması riski
- Yönetici hesaplarının korumasız kalması
- Uzaktan erişimin tek katmanlı güvenlikle yapılması
- Bulut uygulamalarda tek şifre ile her yerden erişim
- Parola değiştirme zorunluluğuyla kullanıcı memnuniyetsizliği
MFA bu sorunların çoğunu tek seferde çözer.
MFA Türleri
1. Authenticator Uygulaması
Microsoft Authenticator, Google Authenticator, Authy gibi uygulamalar her 30 saniyede bir kod üretir veya push bildirimi gönderir. En güvenli ve en yaygın yöntemdir.
2. SMS Kodu
Telefona gönderilen tek seferlik kod. Geniş uygulanabilirliği vardır ancak SIM swap saldırılarına açıktır; mümkünse authenticator uygulaması tercih edilir.
3. Fiziksel Güvenlik Anahtarı (FIDO2)
YubiKey gibi USB/NFC anahtarlar fiziksel doğrulama sağlar. Yönetici ve yüksek riskli hesaplar için önerilir; phishing'e karşı en güvenli seçenektir.
4. Biyometrik Doğrulama
Parmak izi veya yüz tanıma ile cihaz düzeyinde doğrulama. Genellikle başka bir MFA yöntemiyle birlikte kullanılır.
5. Push Bildirim (FIDO2/WebAuthn)
Modern authenticator uygulamaları push ile onay ister. Tek dokunuşla onay verilir; kullanıcı dostu ve güvenli.
Kurumsal Kurulum Adımları
- Envanter: Hangi kritik sistemlere erişim var? Microsoft 365, VPN, muhasebe yazılımı, bulut hesapları listelenmelidir.
- Politika: Hangi hesaplar için MFA zorunlu olacak? Yönetim ve finansal hesaplar birinci öncelik.
- Yöntem seçimi: Authenticator + yedek SMS kombinasyonu yaygındır. Yüksek risk için FIDO2 anahtarı eklenir.
- Kademeli uygulama: Önce pilot bir bölüm, sonra tüm kurum. Her aşama kullanıcı eğitimi ile birlikte.
- Yedek yöntem: Telefon kaybolursa ne yapacak? Yönetici tarafından geçici erişim kodu üretimi tanımlanmalıdır.
- Koşullu erişim: Güvenilir ofis IP'sinden MFA istememe, şüpheli konumdan zorunlu isteme gibi kurallar yapılandırılır.
- İzleme: MFA bypass denemeleri, başarısız giriş paternleri düzenli incelenir.
Microsoft 365'te MFA Kurulumu
M365 Business Premium ve üstü koşullu erişim politikasıyla MFA'yı zorunlu hale getirmeyi destekler. Temel adımlar:
- Azure AD (Entra ID) güvenlik varsayılanlarını aç
- Tüm kullanıcılar için MFA zorunlu
- Authenticator uygulamasını tercih olarak belirle
- 30 gün içinde tüm kullanıcılar kayıt tamamlamalı
- Yönetici hesaplarında MFA bypass için acil durum hesabı sakla
Küçük ekipler için bu ücretsiz kurulabilir; daha gelişmiş özellikler için Azure AD Premium lisansı gereklidir.
Tipik MFA Karşılaştırması
| Yöntem | Güvenlik | Kullanım Kolaylığı | Maliyet |
|---|---|---|---|
| SMS | Orta | Yüksek | Düşük |
| Authenticator app | Yüksek | Yüksek | Ücretsiz |
| FIDO2 anahtarı | Çok Yüksek | Orta | Anahtar başı ücret |
| Biyometrik | Yüksek | Çok Yüksek | Cihaz bağımlı |
| Push bildirim | Yüksek | Çok Yüksek | Ücretsiz |
KOBİ'de Authenticator + push bildirim kombinasyonu en yaygın tercihtir.
Sık Yapılan Hatalar
- MFA'yı yalnızca bazı hesaplarda uygulamak
- Yedek erişim yöntemi tanımlamamak
- SMS'i ana yöntem olarak bırakmak
- MFA yorgunluğu (sürekli push gönderip kullanıcının kaza ile onayladığı senaryolar)
- Yönetici acil durum hesabının yeterince korunmaması
- Koşullu erişim kurallarını karmaşıklaştırmak
- Kullanıcı eğitimini atlamak
Gerçek İşletme Örnekleri
Örnek 1: Muhasebe Firmasında Phishing Durdurma
Bir muhasebe firmasında bir kullanıcı phishing e-postasına kandı, parolasını verdi. Saldırgan oturum açmaya çalıştı ancak MFA isteği ikinci aşamada kilitledi. Hesap kilitlendi, parola değiştirildi; büyük bir veri sızıntısı önlendi.
Örnek 2: Üretim Tesisinde MFA Yorgunluğu Kaza
Bir üretim tesisinde saldırgan push bildirim bombardımanıyla kullanıcıyı yıldırmaya çalıştı. Kullanıcı yanlışlıkla bir push'u onayladı. Olay sonrası "numara eşleme" (number matching) modu etkinleştirildi; kullanıcının ekranda gösterilen sayıyı girmesi zorunlu tutuldu. Aynı saldırı bir daha başarılı olmadı.
Örnek 3: Danışmanlık Firmasında FIDO2 Anahtarı
Bir danışmanlık firmasının yönetici hesapları yüksek riskli sayıldı. FIDO2 anahtarları dağıtıldı; authenticator yerine fiziksel anahtarla MFA zorunlu hale getirildi. Phishing'e karşı en güçlü koruma sağlandı.
Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?
Yamanlar Bilişim, MFA'nın kurulumunu kullanıcı deneyimini bozmadan kademeli yapar. Microsoft 365, Google Workspace, VPN ve diğer sistemler birlikte değerlendirilir. Kullanıcı eğitimi ve yedek erişim planı kurulum paketinin parçasıdır.
Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:
- Kritik hesap envanteri ve MFA politikası tasarımı
- Microsoft 365 ve Google Workspace'te MFA aktivasyonu
- VPN ve firewall için MFA entegrasyonu
- Authenticator uygulaması yayılımı
- FIDO2 anahtarı tedariği ve dağıtımı
- Koşullu erişim kuralları (güvenilir konum vb.)
- Kullanıcı eğitimi ve hızlı başlangıç dokümanı
- MFA yorgunluğuna karşı number matching yapılandırması
SSS
Sıkça Sorulan Sorular
Her uygulamada MFA zorunlu olmalı mı?
Kritik olanlarda evet: e-posta, bulut dosya, VPN, muhasebe. Düşük riskli uygulamalarda isteğe bağlı olabilir.
SMS MFA yeterli mi?
Temel koruma sağlar ancak SIM swap saldırılarına açıktır. Mümkünse authenticator uygulamasına geçilmelidir.
Kullanıcıların telefonu çalınırsa ne olur?
Yedek erişim yöntemleri (yedek kod, ikinci anahtar, yönetici sıfırlama) baştan tanımlı olmalıdır. Olay sonrası cihaz ilişiği derhal kesilir.
MFA kullanıcıları rahatsız eder mi?
İlk kurulumda küçük bir alışma süresi gerektirir. Push bildirim ile günlük kullanım neredeyse sürtünmesiz olur.
MFA atlatılabilir mi?
Teoride çok karmaşık saldırılarla mümkündür ama oldukça zordur. Pratikte saldırı maliyetini 10-100 kat artırır; saldırganlar kolay hedeflere yönelir.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.