Popüler iki faktörlü kimlik doğrulama (2FA) uygulaması Authy, masaüstü uygulama hizmetlerini sonlandırdı ve artık yalnızca mobil cihazlarda kullanılabilir olacak. Ocak 2024’te Authy’nin ana şirketi Twilio, Windows, macOS ve Linux için Authy masaüstü uygulamalarının 19 Mart 2024’te kapatılacağını ve nihayetinde Ağustos ayında sonlandırılacağını duyurmuştu.
İki faktörlü kimlik doğrulama (2FA), yetkisiz erişime karşı ekstra bir koruma katmanı ekleyerek çevrimiçi hesaplar için olmazsa olmaz bir güvenlik önlemi haline geldi. Twilio, Authy masaüstü uygulamasını kapatma kararının arkasındaki belirli nedenleri kamuoyuna açıklamasa da, güncellemesi mobil uygulamasının “kimlik doğrulama hesap belirteçlerinizi güvenli bir şekilde saklamak için benzer veya daha iyi özellikler sunduğunu ve tam olarak desteklendiğini ve düzenli olarak güncellendiğini” öne sürdü.
Authy Masaüstü Uygulama Hizmetinin Sonlandırılmasının Arkasında Siber Saldırılar mı Var?
Twilio’nun Authy masaüstü uygulamasını kapatma kararı, Authy’ye yönelik bir dizi siber saldırının ardından ortaya çıkmış olabilir. Geçtiğimiz ay, bir tehdit aktörü Authy’nin masaüstü uygulamasına kayıtlı 33 milyon telefon numarasının hassas bilgilerini sızdırdı. Twilio daha sonra siber suçluların çalınan telefon numaralarını kimlik avı saldırıları ve diğer dolandırıcılıklar gerçekleştirmek için kötüye kullanabileceği konusunda uyardı.
2022 yılında da Twilio, Authy kullanıcılarının birçoğunun hesaplarını tehlikeye atan karmaşık bir sosyal mühendislik kimlik avı saldırısının hedefi oldu.
Authy Masaüstü Uygulamasının Kullanıcıları Üzerindeki Etkisi
Mart ayındaki uyarıya rağmen Authy’yi masaüstü için kullanmaya devam eden kullanıcılar, daha önce mobil cihazlarıyla senkronize etmedikleri takdirde 2FA hesaplarının gereksiz hale geldiğini fark ettiler.
Son iki haftada birkaç kullanıcı, token’larının düzgün bir şekilde senkronize edilmediğinden ve ortak hesaplarına erişilemediğinden şikayet etti. Twilio da kullanıcıları Authy masaüstü hesaplarından zorla çıkardı ve telefon numaralarıyla tekrar oturum açmalarına izin vermedi.
Kullanıcılar senkronizasyon sorunlarıyla karşı karşıya olduğundan, bir kullanıcının token’larının cihazlar arasında otomatik olarak senkronize edilmesini sağlayan yedekleme özelliğini etkinleştirmemiş olma olasılığı vardır. Twilio ayrıca Android, iOS ve Windows kullanıcıları için özellikle “2FA hesap devralma işlemini şifresini çözme” konusunda bir dizi talimat yayınladı.
“2FA ile güvence altına alınan hesap tokenlarınız Authy’den istediğiniz zaman silinebilir. Silinmek üzere işaretlendikten sonra, bir token 48 saat içinde Authy’den tamamen kaldırılır. Kullanıcılar 48 saat geçmeden bu tokenı geri alabilir veya kurtarabilir, ancak sonrasında tamamen kaybolacaktır,” diye uyardı Twilio kullanıcılarını.
Authy Masaüstü Uygulamasına Alternatifler
Kullanıcılar Authy masaüstü uygulamasını değiştirme konusunda birkaç seçeneğe bakabilirler:
- Mobil uygulama: En belirgin alternatif, iOS ve Android’de bulunan Twilio’nun kendi Authy mobil uygulamasıdır. Bu seçenek taşınabilirlik ve rahatlık sunarak kullanıcıların telefonlarının olduğu her yerden 2FA kodlarına erişmelerine olanak tanır.
- Kimlik Doğrulayıcı Uygulamalar: Diğer birkaç popüler kimlik doğrulama uygulaması Authy’ye benzer işlevsellik sunar. Bazı iyi kabul görmüş seçenekler arasında Google Authenticator, Microsoft Authenticator ve LastPass Authenticator bulunur.
- Güvenlik Anahtarları: En yüksek düzeyde güvenlik arayan kullanıcılar için donanım güvenlik anahtarları telefon tabanlı olmayan bir seçenek sunar. Bu fiziksel cihazlar, 2FA kodları üretmek için fiziksel olarak bulundurulmayı gerektirir ve bir telefon tehlikeye girse bile yetkisiz erişime karşı ekstra bir koruma katmanı ekler.
2FA Güvenlik Önlemleri İçin İleriye Dönük Yol
Güvenlik manzarası sürekli olarak gelişmektedir ve geliştiricilerin güncelliğini yitirmiş veya savunmasız uygulamaları sonlandırması gerekebilir. Güncellemeler hakkında bilgi sahibi olmak ve uyum sağlamaya hazır olmak önemlidir. Authy mobil uygulaması kullanışlı bir alternatif sunarken, kullanıcılar siber saldırıları önlemek için istenen koruma düzeyine ulaşmak amacıyla diğer seçenekleri keşfedebilir veya birden fazla yöntemi bir arada kullanmayı düşünebilir.