Android, iOS, Windows ve macOS için en iyi kimlik doğrulama uygulamaları

Google Authenticator uygulamasına alternatif arayanlara kimlik doğrulama uygulamaları dünyası için detaylı bir rehber

Tek seferlik kod oluşturan iki faktörlü kimlik doğrulama uygulamaları kullanıyorsanız, Google Authenticator’dan başka seçenekler de var. Google’ın esas çözümü yaklaşık 10 yıl önce geliştirildiğinden beri sahneye Authenticator’dan daha kolay ve etkili birçok alternatif çıktı.

Daha üç yıl önce, kimlik doğrulama uygulamalarının sayısı bir elin parmaklarını geçmezken, şimdi piyasada onlarcası var ve bunların arasında kaybolmak çok kolay. Bu yazımızda, en dikkate değer 10 uygulamadan bahsedeceğiz. Elinizdeki işletim sistemlerine uygun bir kimlik doğrulayıcı seçebilmenize yardımcı olmak için uygulamaları işletim sistemlerine göre sınıflandırdık.

Şimdi, her kimlik doğrulayıcı’nın artılarına, eksilerine ve özelliklerine teker teker bakalım.

1. Google Authenticator

İşletim sistemleri: Android, iOS

Bu yazıyı okuyorsanız Google Authenticator’u daha önce kullanmış ve buna bir alternatif arıyor olmalısınız. Ne yazık ki bu uygulamadan bahsetmeden kimlik doğrulama uygulamalarını anlatamayız. Ne de olsa hala çok popüler. Google’ın kimlik doğrulayıcısını, diğer programları artıları ve eksileriyle karşılaştırmak için bir referans çizgisi olarak da kullanabiliriz.

Bir bütün olarak, bulut üzerinden token senkronizasyonuyla uğraşmak istemiyorsanız Google Authenticator pratik bir çözüm. Uygulama, içinde oluşturulan tüm tokenları kolayca tek bir büyük QR koduna dışa aktarmanızı ve oradan da yeni bir cihaza içe aktarmanızı sağlıyor. İOS sürümünde artık token aranabiliyor ve uygulamaya erişim, parmak izi ve yüz tanıma ile kısıtlanabiliyor. Bunun yanında, Android versiyonunda arama ya da koruma özelliği yok. Google Authenticator yine de görünürdeki, oluşturulmuş kodları saklayamıyor. Uygulamayı kalabalık yerlerde çok rahat kullanamayabilirsiniz. Android için olan tüm kimlik doğrulayıcıları ekran görüntüsü almayı engellediğinden, bu yazıdaki ekran görüntüleri, uygulamaların iOS sürümlerinden alındı.

Artılar:

  • Hesap oluşturmanıza gerek yok
  • iOS sürümünde uygulamaya erişim parmak izi/yüz tanıma ile kısıtlanabiliyor
  • Arayüz basit ve fazla ayar yok
  • Tüm tokenlarınızı tek bir büyük QR koduyla dışa ve içe aktarabiliyorsunuz.
  • iOS sürümünde token adı ile arama yapılabiliyor

Eksiler:

  • Android sürümünde giriş koruması bulunmuyor
  • Kodlar gizli değil
  • Bulut yedeklemesi/senkronizasyonu yok
  • Tokenları dışa aktarmak kolay olduğu için, uygulama kilidi açık olarak yanlış ellere düşerse karşılaşacağınız risk daha büyük

Sonuç: Google Authenticator bariz olarak birkaç işe yarar özellikten mahrum, ama tokenlarınızı bulut üzerinde depolamakla uğraşmak istemiyorsanız yeterli bir seçenek.

2. Microsoft Authenticator

İşletim sistemleri: Android, iOS

Google Authenticator’a bir alternatif arayan çoğu kişi, sırf geliştiricisinin ismi nedeniyle Microsoft Authenticator’a yöneliyor. Çok da haksız değiller. Microsoft’un uygulaması, temel özelliklerin yanında birkaç kullanışlı özellik de barındırıyor. Örneğin ekrandaki kodları gizlenebiliyor, uygulamaya erişim hem iOS hem de Android sürümlerinde kısıtlanabiliyor ve tokenlar cloud üzerinde depolanabiliyor. Microsoft Authenticator, sıklıkla Microsoft hesaplarıyla çalışıyorsanız da oldukça kullanışlı. Öyleyse, bir kod girmenize gerek yok. Tek yapmanız gereken, girişi onaylamak için uygulamadaki bir düğmeye dokunmak.

Microsoft Authenticator: Aslında çok da kötü değil ama neden bu kadar büyük?

 

Ne yazık ki bu uygulamanın da eksiklikleri var. İlk olarak, Android ve iOS uygulamaları tamamen uyumsuz bulut yedekleme sistemleri kullanıyor. Tokenları da aktarmanın başka bir yolu yok. Yani farklı işletim sistemleri olan cihazlar kullanıyorsanız, işiniz zorlaşacak. İkincisi, Microsoft Authenticator (150-200 MB), Google Authenticator’a (15-20 MB) göre yaklaşık 10 kat daha fazla alan kaplıyor.

Artılar:

  • Uygulamaya erişim PIN kodu, parmak izi veya yüz tanıma ile kısıtlanabiliyor
  • Bulut yedeklemesi/senkronizasyonu var
  • Kodlar gizleniyor
  • Hesabınız olmasa da kullanılabiliyor (bulut yedeklemesini devre dışı bıraktığınız sürece)
  • Microsoft hesaplarına girişi fazlaca basitleştiriyor
  • iOS sürümü Apple Watch’ı destekliyor

Eksiler:

  • Android sürümünde yedekleme/senkronizasyon için Microsoft hesabınıza giriş yapmanız gerekiyor
  • iOS ve Android yedekleme/senkronizasyon sistemleri birbiriyle uyumlu değil
  • Tokenlar dışa/içe aktarılamıyor
  • Çok fazla alan kaplıyor: 150-200 MB

Sonuç: Microsoft Authenticator, Microsoft hesaplarına giriş yapmayı oldukça kolaylaştırıyor. Ancak uygulamanın devasa boyutunu, ayrıca iOS ve Android bulut yedeklemelerinin birbiriyle uyumlu olmadığını göz ardı etmek zor.

3. Twilio Authy

İşletim sistemleri: Android, iOS, Windows, macOS, Linux

Twilio Authy’nin asıl avantajı, platformlar arası tam destek sağlaması. Authy’nin hem tüm işletim sistemleri için ayrı sürümleri var hem de uygulama, bu sürümlerin birbiriyle kolayca senkronize edilmesini sağlıyor. Ancak bunun bir dezavantajı var: uygulamayı kullanmak için telefon numaranıza bağlı bir hesap oluşturmanız gerekiyor. Aksi takdirde uygulamayı kullanamıyorsunuz.

Twilio Authy’nin her işletim sistemi için bir uygulaması var

 

Uygulamanın arayüzü diğer kimlik doğrulayıcılarından farklı görünüyor. Ekranda bir liste yerine bir dizi sekme çıkıyor. Herhangi bir zamanda sadece seçili tek bir token görüntülenebiliyor. Diğerleri, ekranın altında küçük simgeler olarak görünüyor. Bu simgelerin arasında gidip gelebiliyorsunuz. Birçok tokenınız varsa işiniz biraz zorlaşıyor. Masaüstü sürümünde tokenları liste olarak görüntüleme seçeneği var, ancak bu seçenek mobil sürümlerinde bulunmuyor.

Artılar:

  • Uygulamaya erişim PIN kodu, parmak izi veya yüz tanıma ile kısıtlanabiliyor
  • Bulut yedeklemesi/senkronizasyonu var
  • Tüm popüler işletim sistemleri için uygulamaları var
  • iOS sürümü Apple Watch’ı destekliyor
  • Token ile arama yapılabiliyor

Eksiler:

  • Telefon numarasına bağlı bir hesap olmadan kullanılamıyor.
  • Aynı anda sadece tek bir token gösterebiliyor
  • Çok tokenınız varsa istediğiniz tokenı arayıp bulmak zor oluyor
  • Herhangi bir zamanda aktif olan tokenın kodu gizlenmiyor
  • Tokenlar dışa/içe aktarılamıyor

Sonuç: Hesap oluşturmadan Twilio Authy’yi kullanamıyorsunuz, akıllı telefon arayüzü de olmasını istediğimiz kadar kullanışlı değil. Ancak her işletim sistemi için uygulaması bulunuyor ve bunlar mükemmel bir şekilde senkronize edilebiliyor.

4. Cisco Duo Mobile

İşletim sistemleri: Android, iOS

En eski kimlik doğrulama uygulamalarından biri olan Duo Mobile 2018 yılında Cisco tarafından satın alındı. En büyük avantajı, basit ve kullanışlı arayüzü. Duo Mobile aynı zamanda kodları gizliyor ve kullanmak için hesap oluşturmanız da gerekmiyor. Bunun yanında, Duo Mobil bariz olarak birkaç özellikten mahrum: bunların başında erişim kısıtlaması geliyor. Ne iOS ne de Android sürümünde koruma bulunmuyor.

Cisco Duo Mobile’in Android sürümünde bir onay kutucuğu var: “Ekran görüntülerine geçici olarak izin ver.” Farklı örnekler olması açısından iki sürümden de ekran görüntüleri ekleyeceğiz.

 

Duo Mobile bulut yedeklemesi için Android’de Google Cloud ve iOS platformunda iCloud olmak üzere iki farklı sistem kullanıyor. Bunun için, akıllı telefon kullanıcısının zaten açmış olduğu Google ve Apple hesaplarından yararlanıyor. Yani uygulamayı kullanmak için yeni bir hesap oluşturmanıza gerek yok. Ancak bu çözümün bir dezavantajı var: Android ve iOS versiyonları arasında verileri senkronize edemiyorsunuz, Duo Mobile dosyaların dışa aktarımını desteklemiyor ve önceden kaydettiğiniz tokenleriniz için gizli bir kod veya QR kodu görüntüleme gibi bir seçenek yok (bu, manuel olarak senkronize etmeniz gereken durumlarda çok kullanışlı olabilirdi).

Artılar:

  • Arayüzü basit ve kullanışlı
  • Kodlar gizleniyor
  • Hesap oluşturmanıza gerek yok
  • Bulut yedeklemesi/senkronizasyonu var
  • iOS sürümü Apple Watch’ı destekliyor

Eksiler:

  • Erişim kısıtlaması ve koruma yok
  • Tokenlar dışa/içe aktarılamıyor
  • iOS ve Android yedekleme/senkronizasyon sistemleri birbiriyle uyumlu değil

Sonuç: Tek bir mobil işletim sistemi kullanıyorsanız ve verilerinizi asla aktarmayı düşünmüyorsanız Cisco Duo Mobile ihtiyacınızı karşılayabilir.

5. FreeOTP

İşletim sistemleri: Android, iOS

Bu açık kaynaklı kimlik doğrulama uygulaması, Google Authenticator’ın kaynak kodu erişime kapatıldığında piyasaya sürüldü. FreeOTP arayüzü sade ve gereksiz hiçbir şey yok. Özellikle iOS sürümü oldukça basitleştirilmiş. Gizli bir koda bağlı token oluşturma seçeneği bile kaldırılmış, geriye bir tek QR kodu tarama kalmış. Android sürümünde iki seçenek de bulunuyor. Manuel olarak token oluşturduğunuzda onu yapılandırmak için size esneklik sağlıyor. Nasıl oluşturmak istediğinizi (TOTP veya HOTP) koddaki karakter sayısını, algoritmayı ve kodların yenilenme sıklığını seçebiliyorsunuz.

Kodu açık kaynaklı olan FreeOTP en sade kimlik doğrulayıcı

 

Uygulamanın dezavantajlarından biri, hiçbir sürümünün bulut senkronizasyonunu veya tokenları dosya formunda dışa/içe aktarmayı desteklemiyor olması. Uygulamayı kullanmaya başladıktan sonra esiri oluyorsunuz. Üstelik FreeOTP uygulamasında PIN kodu belirleyemiyor veya uygulamaya erişimi hiçbir şekilde kısıtlayamıyorsunuz (iOS sürümünde tokenları tek tek, parmak izi veya yüz tanımasıyla koruma altına alabiliyorsunuz). Diğer yandan, uygulamadaki kodlar gizli ve kodları 30 saniye boyunca etkinlik olmadığı takdirde otomatik olarak da gizleyebiliyor. FreeOTP uygulamasının son avantajı ise 2-3 MB gibi küçük bir alan kaplıyor olması (buna karşılık Google Authenticator 15-20 MB ve Microsoft Authenticator 150-200 MB alan kaplıyor).

Artılar:

  • Hesap oluşturmanıza gerek yok
  • Olabilecek en basit arayüze sahip
  • Kodları her zaman gizli tutuyor
  • 30 saniye boyunca etkinlik olmadığı takdirde kodlar otomatik olarak gizleniyor
  • 2-3 MB gibi küçük bir alan kaplıyor
  • iOS sürümünde tokenlar parmak izi veya yüz tanıma ile korunuyor
  • iOS sürümünde token adı ile arama yapılabiliyor

Eksiler:

  • iOS sürümünde gizli bir kod ile token oluşturamıyorsunuz (sadece QR kod taraması yapabiliyorsunuz)
  • Tokenlar dışa/içe aktarılamıyor
  • Yedekleme/senkronizasyon yok
  • Erişim kısıtlaması ve koruma yok

Sonuç: Diğer açık kaynaklı uygulamalar gibi, FreeOTP de biraz acayip. Ama üzerine fazla gitmiyoruz, çünkü arayüzü oldukça sade ve çok az bir alan kaplıyor.

6. andOTP

İşletim sistemleri: Android

AndOTP kimlik doğrulayıcıda, rahatlıkla ve güvenle token biriktirmeniz için gereken her şey ve daha fazlası var. Örneğin, andOTP’nin etiketleme desteği ve token adına göre arama yapma özelliği bulunuyor. Bunların yanında uygulamaya bir “panik butonu” bağlama seçeneğiniz var. Bu şekilde, acil bir durumda uygulamadaki tüm tokenları silip sıfırlama yapabiliyorsunuz.

Android uyumlu tüm kimlik doğrulayıcılar gibi, andOTP ekran görüntülerini kodlarla engelliyor. Bu nedenle burada sadece ayarlar menüsünü göstereceğiz.

 

Uygulama, gizli kodunuzu veya QR kodunuzu her token için ayrı ayrı görüntülemenize izin veriyor. Aynı zamanda tüm tokenlarınızı Google Drive üzerinde şifrelenmiş tek bir dosyada depolayabiliyorsunuz. Yani hem bulut yedekleme hem de bir dosyaya dışa aktarma seçeneği parmaklarınızın ucunda. Uygulamaya erişim, Android cihazınıza giriş yapmak için kullandığınız parola, parmak izi veya yüz tanıma ile kısıtlanabiliyor. Güvenliği daha da artırmak istiyorsanız ayrı bir PIN kodu, hatta andOTP’ye özel uzun bir parola koyabiliyorsunuz. Bunun yanında, uygulamayı sizin belirleyeceğiniz bir süre etkinlik olmadığı takdirde kilitlenecek şekilde ayarlayabiliyorsunuz. Çeşitli ayarları olan üç, dört ekran daha var. Yani teknoloji delileri için tam bir rüya gibi.

Artılar:

  • Uygulamaya erişim, uygulama içinde belirlenecek bir PIN kodu veya parola, ya da işletim sistemine girmek için kullanılan PIN kodu veya parmak izi ile kısıtlanabiliyor
  • Her tokenın gizli kodunu veya QR kodunu görüntüleyebiliyorsunuz
  • Tüm tokenlarınızı Google Drive üzerinde şifrelenmiş tek bir dosyaya dışa aktarabiliyorsunuz
  • Kodlar gizleniyor
  • Kullanıcı (ayarlanabilir 5-60 saniye boyunca) etkin değilse kodlar otomatik olarak gizleniyor
  • Kullanıcı (ayarlanabilir 10-360 saniye boyunca) etkin değilse uygulama otomatik olarak kilitleniyor
  • Tokenları, adları veya belirleyeceğiniz etiketlerle aramanızı sağlayan esnek bir arama sistemi var
  • “Panik butonuna” basıp tüm tokenları silme seçeneği bulunuyor
    Son derece esnek birçok ayar seçeneği var

Eksiler:

  • Sadece Android sürümü var
  • Gizli kod almak kolay olduğu için uygulama kilidi açık olarak yanlış ellere düşerse karşılaşacağınız risk daha büyük

Sonuç: andOTP, Android uygulamalarının arasında en zengin özelliklere sahip olanı. Kimlik doğrulayıcı seven herkesi memnun edeceğinden şüphe yok. Başka bir kimlik doğrulama uygulamasının yetersiz geldiğini düşünüyorsanız, aradığınız ne varsa andOTP’de bulabilirsiniz.

7. OTP auth

İşletim sistemleri: iOS, macOS (5.99 USD)

Bir iPhone kullanıcısı olarak andOTP‘nin yukarıdaki özelliklerini okuduktan sonra Android kullanıcılarını kıskandınız mı? Size güzel bir haberimiz var. iOS için de son teknoloji bir kimlik doğrulayıcı bulunuyor. OTP auth’un yaratıcıları belli ki birçok hizmette iki faktörlü kimlik doğrulaması kullanan insanların sorunlarını anlıyor. Bu nedenle bu uygulamada, depolanan tokenları organize etmenizi sağlayan bir dosyalama sistemi var.

Üstelik OTP auth, tek seferlik kodların yazı boyutunu ayarlamanıza izin veriyor

 

Buna ek olarak OTP auth, her tokenın gizli kodunu veya QR kodunu istediğiniz zaman görüntülemenizi veya akıllı telefonunuzdaki bir dosyaya tek seferde dışa aktarmanızı sağlıyor. Uygulama aynı zamanda iCloud senkronizasyonunu destekliyor. Uygulamaya giriş parmak izi, yüz tanıma veya OTP auth için oluşturacağınız ayrı bir parolayla kısıtlanabiliyor. Bu uygulamadan tokenları dışa aktarmanın ne kadar kolay olduğunu düşünürsek, parola oluşturmanız daha mantıklı. Eksik olan tek özellik, kodları saklayamıyor olması. Bir nedenden, bu özellik OTP auth’a eklenmemiş.

Artılar:

  • Her tokenın gizli kodunu veya QR kodunu görüntüleyebiliyorsunuz
  • Tüm tokenları tek seferde bir dosyaya dışa aktarabiliyorsunuz
  • iCloud yedeklemesi/senkronizasyonu var
  • Tokenları düzenli saklayabilmek için dosyalama sistemi bulunuyor
  • Apple Watch’ı destekliyor
  • Kodun görüntü ayarları değiştirilebiliyor
  • Uygulamaya erişim parola, parmak izi veya yüz tanıma ile kısıtlanabiliyor

Eksiler:

  • Sadece iOS ve macOS sürümleri var (macOS sürümü ücretli)
  • Kodlar gizli değil
  • Simgeleri sadece ücretli sürümünde değiştirebiliyorsunuz
  • Gizli kod almak kolay olduğu için uygulama kilidi açık olarak yanlış ellere düşerse karşılaşacağınız risk daha büyük

Sonuç: OTP auth, iOS tuygulamalarının arasında en zengin özelliklere sahip olanı. Token dışa aktarımının kolay ve pratik olmasıyla övünüyor.

8. Step Two

İşletim sistemleri: iOS, macOS

andOTP size fazla geldiyse, Twilio Authy de üye olmanız gerektiği için gözünüzü korkuttuysa, ama hem iOS hem de macOS için bir kimlik doğrulayıcıya ihtiyacınız varsa, Step Two’ya göz atmanızı şiddetle öneririz. Hem iOS hem de macOS sürümlerinde arayüz oldukça sade. Apple’ın Hesap Makinesi uygulamasına benziyor. Bu da ona kendine has bir hava katıyor.

Step Two: sadelik timsali

 

Tıpkı arayüzü gibi, ayarları ve özellikleri de oldukça sade, ama iCloud senkronizasyon seçeneği de sunuyor. Ek olarak masaüstü uygulaması, QR kod taramasını destekliyor. Taramayı da, kullanıcının iznini alarak ekran kaydı yoluyla yapıyor (bu özellik biraz riskli çünkü teoride, programın kullanıcının yaptığı her şeyi takip etmesine izin veriyor).

Artılar:

  • Gereksiz özellikler ve eklentiler yok
  • Hesap oluşturmanıza gerek yok
  • iCloud yedeklemesi/senkronizasyonu var
  • MacOS sürümü QR kod taraması yapabiliyor
  • Apple Watch’ı destekliyor
  • Token adı ile arama yapılabiliyor

Eksiler:

  • Erişim kısıtlaması ve koruma yok
  • Kodlar gizli değil
  • Tokenlar dışa/içe aktarılamıyor
  • Ücretsiz sürümde sadece 10 token eklenebiliyor
  • MacOS sürümünde QR kod taraması yapmak için Step Two uygulamasına ekran kadı yapma izni vermeniz gerekiyor

Sonuç: Step Two, Mac ya da iPhone’u olup fazla özelliğe ihtiyacı olmayan kullanıcılar için sade bir uygulama.

9. WinAuth

İşletim sistemleri: Windows

WinAuth esasen oyuncular için geliştirilmiş. Uygulamanın eşsiz bir süper gücü var: Steam, Battle.net ve Trion/Gamigo oyunlarında kullanılan, standart olmayan tokenların kimlik doğrulamasını destekliyor. Steam Guard, Battle.net Authenticator veya Glyph Authenticator / RIFT Mobile Authenticator’a bir alternatif arıyorsanız, istediğiniz uygulama bu.

WinAuth, Windows sürümü olan sayılı kimlik doğrulayıcıdan biri

 

Uygulama aynı zamanda Guild Wars 2 ve diğer NCSoft tokenları (bir nedenden, WinAuth geliştiricileri bunları ayrı tutuyor) da dahil olmak üzere standart tokenları ve diğer Google, Facebook, Instagram ve Twitter tokenlarını destekliyor. WinAuth’a giriş ve her token için ayrı parola belirleniyor. Uygulama, kodları standart ve otomatik olarak gizliyor, depolanan ve dışa aktarılan verileri şifrelemenize izin veriyor.

Artılar:

  • Oyun hizmetlerinde kullanılan, standart olmayan tokenları destekliyor. Yani Steam Guard, Battle.net Authenticator, Glyph Authenticator ve RIFT Mobile Authenticator’un yerine kullanılabiliyor.
  • Tokenların, kullanıcının tercihine göre şifrelenmemiş bir metin dosyasına veya şifrelenmiş bir arşive dışa aktarımını destekliyor
  • Kodlar gizleniyor
  • 10 saniye boyunca etkinlik olmadığı takdirde kodlar otomatik olarak gizleniyor
  • Uygulamaya erişim parola, parmak izi veya yüz tanıma ile kısıtlanabiliyor
  • Her token parola ile korunabiliyor
  • Taşınabiliyor: Uygulamayı flash sürücüde veya bulutta depolayabiliyorsunuz
  • İsterseniz, saklanan veriler şifrelenebiliyor
  • Dosyadan (yerleşik veya internette depolanan) QR kod taraması yapılabiliyor

Eksiler:

  • Steam token oluşturmak için WinAuth’a Steam kullanıcı adı ve parolanızı vermeniz gerekiyor
  • Genel olarak bilgisayarda iki faktörlü kimlik doğrulama kullanmanızı önermiyoruz
  • Başka işletim sistemleri için sürümü yok
  • Gizli kod almak kolay olduğu için uygulama kilidi açık olarak yanlış ellere düşerse karşılaşacağınız risk daha büyük

Sonuç: Oyun yayıncılarının bir nedenden tercih ettiği standart olmayan tokenları oluşturmaya izin verdiği için oyuncular WinAuth’a bayılacak.

10. iOS ve macOS yerleşik kimlik doğrulayıcı

İşletim sistemleri: iOS (sisteme yerleşik), macOS (Safari tarayıcısına yerleşik)

iOS 15’ten başlayarak iPhone’un her sürümünde yerleşik iki faktörlü kimlik doğrulama için tek seferlik kod oluşturma özelliği bulunmaktadır. Bulmak için, Ayarlar→ Parolalar‘a girin. Var olan hesaplardan birini seçin (veya yenisini açın) ve Hesap Seçenekleri başlığının altında Doğrulama Kodu Belirleyin‘e dokunun. Gerisi bildiğiniz gibi… İsterseniz QR kodu tarayabilir veya manuel olarak gizli kodu girebilirsiniz. Bir seçeneğiniz daha var. Kimlik doğrulama QR kodunu kamera uygulamasıyla taradıktan sonra Parolalar‘daki var olan hesaplardan birine token ekleyebilirsiniz. Bu yöntem, zahmetli bir işlem olan yeni bir hesap oluşturma zorunluluğunu ortadan kaldırıyor.

Yerleşik kimlik doğrulayıcılar iOS ve macOS’a yakın zamanda eklendi. Ancak bu iş için geliştirilmiş uygulamaların yerini tutmuyorlar

 

Artık macOS’ta, daha doğrusu 15 ve üzeri sürümlerinde ve Safari tarayıcılarında, yerleşik kimlik doğrulayıcı bulunuyor. Bulmak için, Safari’yi açın. Ekranın en üstündeki menüden Safari → Tercihler→ Parolalar‘a gidin. Hesaplardan birini seçin (veya yenisini oluşturmak için + işaretine tıklayın). Önce Düzenle‘ye, ardından açılan pencerede Kurulum Kodunu Girin‘e tıklayın (burada QR kod seçeneği yok). Tokenlar otomatik olarak iCloud üzerinden senkronize oluyor. Bu nedenle, tokenları iPhone’da önceden oluşturduysanız tekrar Mac üzerinde aktif hale getirmenize gerek yok.

Teoride, iOS/macOS’a yerleşik kimlik doğrulayıcı, otomatik doldurmayı destekliyor, ki bu aslında işleri oldukça kolaylaştırır. Ancak pratikte, henüz çok düzgün çalışmıyor. Bir Twitter hesabı ve iki faktörlü kimlik doğrulama ile oluşturduğumuz kodla küçük bir deney yaptık. Çok net bir sonuç elde edemedik. Twitter uygulamasına giriş yaptığımızda sistem başarıyla bir kimlik doğrulama kodu girdi. Ancak Safari üzerinden Twitter internet sitesine giriş yapmaya çalıştığımızda ne iOS ne de macOS’ta kod oluşmadı.

Artılar:

  • Her iPhone (iOS 15 ve üzeri sürümlerde) ve Mac’te (İşletim sistemi ne olursa olsun Safari 15 ve üzeri sürümlerde) bulunuyor
  • Ayrı bir hesap oluşturmanıza gerek yok
  • Kamera uygulamasıyla doğrudan token ekleyebiliyorsunuz (ancak sadece var olan bir hesaba; yeni bir hesaba ekleyemezsiniz)
  • Tek seferlik kodlar otomatik dolduruluyor
  • Uygulamaya erişim parola, parmak izi veya yüz tanıma ile kısıtlanabiliyor
  • iCloud yedeklemesi/senkronizasyonu var

Eksiler:

  • Kimlik doğrulayıcısını bulmak için iOS veya Safari ayarlarının derinine inmek gerekiyor
  • Aynı anda sadece bir token görüntülenebiliyor
  • Kodlar gizli değil
  • iOS sürümünde hesabın parolası kodun yanında açık olarak gösteriliyor (parolalar ekran görüntülerinde gizli)
  • İki faktörlü kimlik doğrulama tokenlarının ve parolalarının aynı yerde toplanması, iki faktörlü kimlik doğrulamasının asıl amacına ters düşüyor
  • Tokenlar dışa/içe aktarılamıyor

Sonuç: İlk bakışta, işletim sistemine yerleşik bir kimlik doğrulayıcı iyi bir fikir gibi gözüküyor. Ancak otomatik doldurma her zaman düzgün işlemiyor. Ayrıca ayrı bir kimlik doğrulama uygulaması yerine bunu kullanmak isterseniz, bulması oldukça zor.

Yedek bir kopya oluşturmayı unutmayın

Son olarak size birkaç önerimiz var. Birincisi, sadece bir tane kimlik doğrulama uygulamasıyla sınırlı değilsiniz. Uygulamalardan biri bazı alanlarda iyiyken, diğerleri başka alanlarda daha iyi olabilir. İhtiyaçlarınıza göre birkaç uygulama kullanabilirsiniz ve kullanmalısınız.

İkincisi, güvenliğe özen göstermenizi tavsiye ediyoruz. Güvenilir bir cihaz kilidi indirin. Özellikle Google Authenticator, andOTP, OTP auth veya WinAuth gibi, tokenları kolaylıkla dışa aktarmanızı sağlayan kimlik doğrulayıcılardan birini kullanmayı planlıyorsanız uygulamaya erişimi kısıtladığınızdan emin olun. Bu uygulamaların riski çok daha yüksek. Çünkü Potansiyel bir saldırgan hem sadece 30 saniye aktif olan tek seferlik bir kodu hem de tüm tokenları hızlıca çalabilir.

Üçüncüsü, özellikle gizli kodu veya QR kodunu görüntüleyemediğiniz veya tokenları bir dosyaya dışarı aktaramadığınız uygulamalardan birini seçtiyseniz, tokenlarınızın yedek kopyalarını oluşturmayı unutmayın. Akıllı telefonunuzu kaybederseniz veya rutin bir güncellemeden sonra uygulama çalışmazsa bu yedek kopyalar çok işinize yarayacaktır. Çoğu durumda yedek kopya olmadan bir kimlik doğrulayıcıyı kurtarmak çok daha zordur.

İpuçları