Multi-Factor Authentication (MFA) Nedir 
Tek Parolanın Yetmediği Dünya
“Bir kilit yetmez; çünkü anahtarlar artık kolay kopyalanıyor.”
— Ersan Karavelioğlu
Multi-Factor Authentication (MFA) Nedir
MFA, bir kullanıcının kimliğini doğrulamak için
birden fazla bağımsız doğrulama faktörünün birlikte kullanılmasıdır.
Parola tek başına yeterli değildir;
Kimlik, katmanlarla korunur.
Neden Parola Artık Yetmiyor
Phishing
Credential stuffing
Otomatik brute force
Parolalar çalınabilir, tahmin edilebilir, yeniden kullanılabilir.
MFA’nın Temel Mantığı
Saldırganın
aynı anda birden fazla şeyi ele geçirmesini zorlaştırmak
Tek zayıf nokta yerine çoklu bariyer
Güvenlik, çeşitlilikle güçlenir.
Doğrulama Faktörleri Nelerdir
Bildiğin şey → Parola, PIN
Sahip olduğun şey → Telefon, token
Olduğun şey → Biyometri
MFA, bu kategorileri birleştirir.
En Yaygın MFA Türleri
SMS OTP
Authenticator app (TOTP)
Donanım anahtarı (FIDO2/U2F)
Parmak izi / yüz tanıma
Hepsi aynı güçte değildir.
SMS MFA Güvenli mi
Görece zayıftır
SIM swap saldırılarına açıktır
Ama paroladan
daha iyidir.
TOTP (Time-Based One-Time Password) Nedir
Zamana bağlı tek kullanımlık kod
Google Authenticator, Authy
Offline çalışır, daha güvenlidir.
Push-Based MFA Tehlikesi
“Onayla” bildirimi
Push bombing saldırıları
Kullanıcı alışkanlığı istismar edilir.
Donanım Anahtarları Neden En Güçlü
Fiziksel cihaz
Phishing’e dayanıklı
Kimlik doğrulamada altın standarttır.
MFA Her Şeyi Çözer mi
Hayır
Session hijacking, XSS hâlâ risk
MFA giriş kapısını güçlendirir, her kapıyı değil.
MFA ve Kullanıcı Deneyimi
Güvenlik ↔ Kullanılabilirlik dengesi
Fazla adım kullanıcıyı kaçırır
Akıllı MFA bağlama duyarlıdır.
Adaptive / Risk-Based MFA
Cihaz, konum, davranış analizi
Riskliyse MFA ister
Güvenlik dinamik olur.
MFA Ne Zaman Zorunlu Olmalı
Admin hesapları
Finansal işlemler
Cloud ve kritik sistemler
“Opsiyonel” olmamalıdır.
MFA ve OAuth / SSO İlişkisi
Merkezî kimlik doğrulama
Bir yerde MFA → her yerde güven
Zincir güçlü olmalıdır.
MFA Yanlış Nasıl Uygulanır
Sadece girişte
Cihaz değişiminde kontrol yok
Recovery süreçleri zayıf
Arka kapılar açık kalır.
MFA Bypass Nasıl Olur
Zayıf recovery linkleri
E-posta reset açıkları
MFA kadar geri dönüş süreci de önemlidir.
MFA Loglama ve İzleme
Başarısız denemeler
Anormal lokasyonlar
Erken alarm saldırıyı durdurur.
En Büyük Yanılgı
“MFA kurduk, tamam.”
Bakımı yoksa etkisi düşer
Güvenlik yaşayan bir süreçtir.
Son Söz Tek Anahtar Dönemi Bitti
Multi-Factor Authentication,
dijital kimliğin emniyet kemeridir.
Parola hâlâ var; ama artık yalnız yürümüyor.
Güvenli dünya, tek faktöre güvenmeyenlerin dünyasıdır.
“Kimlik tek adımla korunuyorsa, tek hatayla kaybedilir.”
— Ersan Karavelioğlu
