Guide 24 Mar 2026 8 dk okuma

İki Faktörlü Kimlik Doğrulama (2FA) Rehberi - TOTP Tam Kılavuz

İki faktörlü kimlik doğrulama hakkında her şeyi öğrenin: 2FA nedir, TOTP nasıl çalışır, doğrulayıcı uygulama kurulumu ve hesaplarınızı koruma yöntemleri.

Two-Factor Authentication TOTP Guide

İki Faktörlü Kimlik Doğrulama (2FA) Nedir?

İki faktörlü kimlik doğrulama (2FA), bir hesaba veya sisteme erişim vermeden önce iki farklı kimlik tanımlama biçimi gerektiren bir güvenlik yöntemidir. Yalnızca bir şifreye (bildiğiniz bir şey) güvenmek yerine, 2FA sahip olduğunuz bir şeyi (telefon gibi) veya olduğunuz bir şeyi (parmak izi gibi) gerektirerek ikinci bir katman ekler.

Günümüzün dijital dünyasında veri ihlalleri her yıl milyarlarca kimlik bilgisini açığa çıkarmaktadır. Araştırmalar, bilgisayar korsanlığıyla ilgili ihlallerin %80'inden fazlasının çalınmış veya zayıf şifrelerle ilgili olduğunu göstermektedir. İki faktörlü kimlik doğrulama, bu tehditlere karşı en etkili savunma yöntemlerinden biridir.

2FA Neden Önemlidir?

  • Kimlik avına karşı koruma: Bir saldırgan şifrenizi ele geçirse bile, ikinci faktör olmadan hesabınıza erişemez.
  • Kimlik bilgisi doldurma saldırılarına karşı savunma: Bir hizmetten sızan şifreler başka hizmetlere saldırmak için kullanıldığında, 2FA bu otomatik saldırıları engeller.
  • Uyumluluk gereksinimleri: Sağlık, finans ve kamu gibi birçok sektör, düzenlemeler gereği çok faktörlü kimlik doğrulama zorunlu kılar.
  • Gönül rahatlığı: E-posta, bankacılık ve sosyal medya hesaplarınızın ekstra bir güvenlik katmanına sahip olduğunu bilmek büyük bir huzur sağlar.

İki Faktörlü Kimlik Doğrulama Türleri

1. SMS Tabanlı 2FA

Telefonunuza kısa mesaj yoluyla tek kullanımlık bir kod gönderilir. Hiç 2FA olmamasından daha iyi olsa da, SMS tabanlı kimlik doğrulamanın bilinen güvenlik açıkları vardır: SIM değiştirme saldırıları, SS7 protokol açıkları ve şifreleme eksikliği.

2. E-posta Tabanlı 2FA

E-posta adresinize bir doğrulama kodu veya bağlantı gönderilir. E-posta hesabınız ele geçirilirse, saldırgan 2FA kodlarına da erişim kazanır. Genellikle en zayıf 2FA biçimi olarak kabul edilir.

3. TOTP (Zamana Dayalı Tek Kullanımlık Şifre)

TOTP, yazılım tabanlı 2FA için altın standarttır. Paylaşılan gizli bir anahtar ve mevcut zamanı kullanarak her 30 saniyede benzersiz altı haneli bir kod üretir. Google Authenticator, Authy ve Microsoft Authenticator gibi uygulamalar bu yöntemi kullanır. TOTP tamamen çevrimdışı çalışır.

Önerilen: TOTP, çoğu kullanıcı için güvenlik ve kolaylık arasındaki en iyi dengedir. Hücresel ağlara veya e-posta erişimine bağlı değildir ve çevrimdışı çalışır.

4. Donanım Güvenlik Anahtarları (FIDO2/WebAuthn)

YubiKey veya Google Titan Key gibi fiziksel cihazlar en yüksek güvenlik seviyesini sağlar. Açık anahtar kriptografisi kullanırlar ve kimlik avı saldırılarına karşı neredeyse bağışıktırlar.

TOTP Nasıl Çalışır: Teknik Detaylar

TOTP, RFC 6238 standardında tanımlanmıştır ve RFC 4226'daki HOTP algoritması üzerine inşa edilmiştir:

  1. Paylaşılan gizli anahtar oluşturma: Bir hizmette 2FA'yı etkinleştirdiğinizde, sunucu rastgele bir gizli anahtar üretir. Bu gizli anahtar, genellikle QR kodu aracılığıyla doğrulayıcı uygulamanızla paylaşılır.
  2. Zaman sayacı hesaplama: Mevcut Unix zaman damgası, zaman adımına (varsayılan: 30 saniye) bölünür: T = floor(Unix_time / 30).
  3. HMAC hesaplama: Algoritma HMAC-SHA1(gizli_anahtar, T) hesaplayarak 20 baytlık bir özet üretir.
  4. Dinamik kesme: Özetten dinamik ofset kesme kullanılarak 4 baytlık bir bölüm çıkarılır.
  5. Kod oluşturma: Sonuç, modulo 10^6 işlemiyle 6 haneli bir koda dönüştürülür.

Aracımızı Nasıl Kullanırsınız?

  1. Gizli anahtarınızı girin: Kimlik doğrulamak istediğiniz hizmet tarafından sağlanan Base32 kodlu gizli anahtarı yapıştırın.
  2. Ayarları yapılandırın: Özet algoritmasını (SHA-1, SHA-256 veya SHA-512), zaman adımını ve kod uzunluğunu seçin.
  3. Kodunuzu oluşturun: Araç anında mevcut TOTP kodunu ve bir sonraki kodun ne zaman oluşturulacağını gösteren geri sayım zamanlayıcısını gösterir.
  4. Kopyalayın ve kullanın: Oluşturulan kodu kopyalayıp giriş yaptığınız hizmetin kimlik doğrulama istemcisine yapıştırın.

Araç tamamen tarayıcınızda çalışır — gizli anahtarınız cihazınızdan asla ayrılmaz. %100 gizli ve güvenlidir.

Kaçınılması Gereken Yaygın 2FA Hataları

  • Tek 2FA yöntemi olarak SMS kullanmak: Mümkün olduğunca TOTP veya donanım anahtarlarına yükseltin.
  • Kurtarma kodlarını kaydetmemek: Kurtarma kodları olmadan telefonunuzu kaybetmek, hesaplarınıza erişimi kaybetmek demektir.
  • QR kodlarının ekran görüntülerini paylaşmak: QR kodu gizli anahtarınızı içerir. Buna sahip olan herkes hesabınız için geçerli kodlar üretebilir.
  • E-posta hesaplarında 2FA'yı göz ardı etmek: E-postanız diğer tüm hesapların ana anahtarıdır. 2FA ile korumanız gereken ilk hesap olmalıdır.
  • Kolaylık için 2FA'yı devre dışı bırakmak: Bir kod girmenin küçük rahatsızlığı, ele geçirilmiş bir hesabın yıkıcı etkisiyle karşılaştırılamaz.
İpucu: TOTP Oluşturucu aracımız SHA-1, SHA-256 ve SHA-512 algoritmalarını, yapılandırılabilir zaman adımlarını ve kod uzunluklarını destekler.
TOTP Oluşturucu Aracını Deneyin

Ücretsiz çevrimiçi TOTP aracımızla zamana dayalı tek kullanımlık şifreler oluşturun. Kayıt gerekmez.

TOTP Oluşturucuyu Aç