İki Faktörlü Kimlik Doğrulama ve Üniversiteler

Daha önceki yazılarımızda iki faktörlü kimlik doğrulamanın (2fkd) öneminden ve gereğinden bahsetmiştik. Öte yandan, bu yöntemin kullanılabilirliği konusunda çekincelerin de olduğu açık.

Biraz düşününce, üniversiteler ve diğer yüksek eğitim kurumlarının 2fkd’nin uygulanması ve yaygınlaştırılması için çok uygun ortamlar olduğunu düşünmeye başladım:

 1. Teknolojiyi en yoğun kullanan kişiler üniversite öğrencileri ve çalışanları. Bu sebeple örneğin genel nüfus içinde hala akıllı telefonu olmayan hatırı sayılır bir kitle var iken üniversite bünyesinde böyle bir problem olacağını öngörmüyorum.
 2. Üniversitelerde bilhassa teknik bölümlerde okuyan öğrencilerin bazen zararlı merakları olabiliyor. O yüzden üniversiteler güvenlik riski göreceli olarak daha büyük olan kurumlar.
 3. Bankacılık sektörü kadar olmasa da (bu sektörde zaten 2fkd zorunlu) üniversitenin bilgi sistemlerinde de hatırı sayılır hassas veri ve uygulamalar var. Öğrencilerin transkriptleri gibi.

Biraz araştırınca bu düşüncemde yalnız olmadığımı anladım. Bilakis örneğin ABD’de pek çok üniversitede bu tür projelerin başlatılmış ve halen yürütülmekte olduğunu gördüm. Bu projeleri biraz daha merak edince karşıma ilk olarak ABD’deki saygın üniversitelerden biri olan Carnegie Mellon Üniversitesindeki 2fkd sistemine geçiş ile ilgili tecrübelerin aktarıldığı ve ACM CHI (Computer and Human Interaction) konferansı gibi alanında oldukça prestijli bir mecrada yayınlanma şansı bulmuş olan bir bildiri çıktı. Aşağıda bu bildiride dikkatimi çeken bazı alıntıları paylaşıyorum:

 • 2fkd projesinin, üniversite çapında ilk bilgilendirmesi bilgi işlem biriminin bir e-postasıyla 2016 sonunda gerçekleşmiş. Bu yeni yönteme geçişte bu e-postanın çok az etkisi olmuş. Yaklaşık üç ay sonra dekan’ın gönderdiği bir e-posta idari ve akademik personelin bu yöntemi kullanmaya başlamalarında büyük bir etki yapmış. Öğrencilerdeki etki ise nispeten daha mütevazi imiş. Nisan 2017’de zorunluluk haline gelmesi sonrası ise akademik ve idari personel ve okuldan para alan öğrencilerde (asistan, vb.) oran hızla %90’lara çıkmış. Geçişin zorunlu tutulmadığı diğer öğrenciler de ise bu oran %50’ye yakın seviyelerde.
 • Başka yöntemler mevcut olsa da büyük çoğunluk (%98) akıllı telefonları ile 2fkd’yı kullanıyorlar. Akıllı telefon üzerinde en yaygın kullanılan yöntem ise bildirim gönderme (push notification) yöntemi.
 • Kullanıcılar sistemi ortalama günde 2.29 defa kullanıyorlar. (Üniversite bünyesinde her girişte kullanım gerektiren hassas uygulamalar olduğu gibi, 8 saat otomatik hatırlama özelliği olan, isteğe bağlı 30 güne kadar “beni hatırla” özelliği barındıran uygulamalar da mevcut.)
 • Kullanıcılardan %40’ı daha evvel 2fkd kullanmış.
 • İki faktörü aktive eden kullanıcılar aktive etmeyenlere göre önemli oranda yeni sistemi daha kolay ve eğlenceli buluyorlar.
 • Öğrenciler, sistemi akademik ve idari personele göre biraz daha zor ve kullanışsız buluyorlar. Bu durum, öğrencilerin kampüste yer alan umumi bilgisayarları daha fazla kullanmalarına ve “hatırla beni” özelliğini bu sebeple kullanamamaları sebebiyle daha fazla vakit kaybı yaşamalarına bağlanıyor.
 • Sistemin kullanımına zorunluluk getirmek, zor ve kullanışsız algısını artıran diğer bir faktör.
 • Sistemi kullanışlı ve kolay bulanlar üniversite dışı başka uygulamalarda da 2fkd’yi aktive ediyorlar. Bilakis sistem  ile ilgili kötü bir tecrübe yaşayanlar da (giriş yapamama, vs.) tam tersi bir durum gözleniyor.
 • Herkese Tek Beden Elbise Yaklaşımı (One Size Does not Fit All): Bildiride, sistemdeki tüm uygulamaların aynı güvenlik seviyesine ihtiyaç duymaması ama hepsinde de 2fkd’nin aynı şekilde uygulanması problemi üzerinde duruluyor. 2fkd’nın çok önemli olduğunu belirtenlerin oranı İnsan Kaynakları yazılımı için %73, not sistemi için %69, sanal özel ağ (VPN) için %67, dosya paylaşım sistemi için %57, Google Suite için %55, video konferans sistemi için %22 olmuş. (Sanırım Zoom ile ilgili yaşanan güvenlik problemleri sonrası bu son oran bir hayli yükselmiştir.)
 • Kullanıcıların %95’i “Beni hatırla” özelliğinden memnunlar. Az sayıda öğrenci bu özelliği aktive ederken bazı teknik sıkıntılar yaşamışlar. Öte yandan, kullanıcıların %47’si bu özelliğin güvenliği azalttığını düşünüyor.
 • Öğrenciler parolalarını başkalarıyla paylaşabiliyorlar. Sistemde problem yaşadığını belirten öğrencilerden %26’si bu tür öğrenciler.

Genel itibariyle, bildirinin yazarları beklentilerinden daha büyük oranda 2fkd sisteminin üniversite bünyesinde kullanılabilir bulunduğunun gözlemlendiğini belirtiyorlar. Implementasyon teknik başarısının, mümkünse zorla değil de ikna edici mesajlar ile bu sisteme geçmeyi teşvik etmenin, ve sistemi kullanmaya başlamanın kullanılabilirlik algısına olumlu etki ettiğini ekliyorlar.

Ne diyelim, darısı bizim üniversitelerimizin başına!