Bu tek adımlı doğrulama sisteminde şifre her ne kadar tahmin edilemez olursa olsun, hackerlar tarafından geliştirilen virüs, worm, keylogger, spyware, trojan gibi yazılımlarla kolaylıkla elde edilebiliyorlar. İki adımlı kimlik doğrulama da ise bu kötü niyetli yazılımlar yetersiz durumda kalıyorlar. Her ne kadar günümüzde yaygınlaşmaya başlayan bu güvenlik sistemi yeni gibi görünse de tarihi oldukça eski. İlk olarak şu anda US Robotics şirketinin CEO’su olarak görev yapan Kenneth P. Weiss tarafından 30 Kasım 1984 tarihinde patenti alınıyor.

Patent, o zaman için tahmin edilemeyen kodlar üretecek bir cihazın üretilmesi amacıyla alınıyor ve öngörülebilir olmayan birinci kod ile tahmin edilemeyen ikinci bir kodun karşılaştırılması için bir hesaplama mekanizması içeriyor. Günümüzde ise hala “token” adı verilen bu cihazların yanı sıra artık akıllı telefonlarda bu kapsamda değerlendirilebiliyor.

İki adımlı kimlik doğrulama ilk olarak ülkemizde “BDDK” ‘nın 2007 yılında yayınladığı ve 2010 tarihi itibariyle zorunlu tuttuğu tebliğ ile gündeme girmiş oldu. Hatırlanacağı üzere ülkede o tarihe kadar hackerlar tarafından sürekli banka hesapları çalınıyor ve banka müşterileri finansal zarara uğrayıp mağdur duruma düşüyorlardı. Yayınlanan tebliğ kapsamında internet bankacılığına girişlerde “ Tek Kullanımlık Şifre” zorunluluğu ile iki adımlı kimlik doğrulama sistemi de hayata geçmiş oldu. Artık kullanıcılar internet bankacılığına girişlerde tahmin edilemeyen ve sadece belirli süre ile geçerli olan ikinci adım şifresi ile daha güvenli işlem gerçekleştirebiliyorlar.

Bu güvenlik sistemi “bilinen + sahip olunan” ilkesine dayanıyor. Burada “bilinen” sizin şifreniz ve “sahip olunan” da telefonunuz ya da fiziksel kimlik doğrulama cihazınız.

Sistem doğrulanmamış bir cihaz tarafından giriş yapıldığını algıladığında, bildiğiniz şifrenizi girmenizi istiyor ve ardından sahip olduğunuz varlığın ürettiği şifre ile eşleştirip sizin doğru kişi olduğunuzu anlayıp giriş izni veriyor. İki adımlı kimlik doğrulama sistemini fiziksel ve mobil olarak iki kategoride inceleyebiliriz. Fiziksel iki adımlı kimlik doğrulama sisteminde bir anahtar ya da smartcard veya kod üretici bir token şeklinde ürünler görebiliyoruz.

Türkiye’de bazı bankalar da kullanıcılarına parola üretici bu cihazlardan temin edebiliyor. İnternet bankacılığında kullanıcı adı ve parola girdikten sonra bu cihaz üzerine pin kodu girerek belirli süreliğine geçerli olan ve ekranda görünen parolayı sisteme girmeniz bekleniyor. Mobil tarafta ise iki adımlı kimlik doğrulama görevini akıllı telefonlarımız yerine getiriyorlar. Bazı cihazların parmak izi tanıma, yüz tanıma, iris taraması gibi ek donanımları mevcut ve bu donanımlarda ikinci faktör olarak kimlik doğrulamasında kullanılabiliyor.

En sık kullandığımız ise SMS yöntemiyle belirli süreliğine geçerli olan bir parola gönderimi şeklinde. Mail ya da sosyal medya servislerinde artık yeni bir hesap açarken cep telefonu numarasının girilmesi zorunlu tutuluyor. İki adımlı kimlik doğrulamasını ilgili serviste aktif ettiğimizde önce kullanıcı adı ve şifre giriliyor akabinde cep telefonuna gönderilen 30 saniyeliğine geçerli olan kodu ekrandaki alana girmeden de oturum açma işlemi gerçekleşemiyor. Bu sayede telefon çaldırılmadığı müddetçe giriş sadece hesap sahibi tarafından gerçekleştirilecektir.