• kodları yeni cihaza aktarmak aşırı kolaylaşmış. dev bir qr code'la birden fazla hesabı tek seferde ekleyebiliyorsunuz. böylece onar onar hesap aktarabiliyorsunuz. #böyleolmalı.
  • google authenticator (veya benzerleri) çalışma biçimleri gereği yedekleri alınamayacak mekanizmalardır. yani aslında teorik olarak yedeği alınabilir ama bu mekanizma sağlanmaz.

    google auth yamulmuyorsam birkaç tip yöntem destekliyor ama bu ve türevlerinde en sık kullanılanı time-based oluyor. mevzu şöyle.

    1) siz servise "ben 2fa* istiyom kardeş" diyorsunuz. o da sizin username'inizle ilişkilendirdiği bir secret key oluşturuyor. bu secret key'i sizinle paylaşıyor.
    2) siz bu secret key'i telefonunuza bir şekilde aktarıyorsunuz (ister qr code olarak, ister elle yazarak)
    3) telefonunuz bu key'i şifreleyip saklıyor (ki telefonunuzu çalan birisi açamasın)
    4) sonra siz kullanıcı adınızla giriş yapmak istediğinizde giriş yapmak istediğiniz web servis sizin kullanıcı adınıza bakıyor, sonra diyor ki "bana telefonunda generate edilen şifreyi yaz"
    5) telefonunuz elinizdeki secret key ile mevcut zamanı (bildiğiniz saat/tarih) kullanarak matematiksel bir hesap yapıp birkaç haneli bir şey üretiyor
    6) aynısını web servis de üretiyor. sizin girdiğiniz değerle aynı olup olmadığını kontrol ediyor.

    burada önemli olan şu: hem sunucuda (login olmak istediğiniz servis) hem de client'ta (sizin telefon) aynı secret key olmalı. ikisinin de saat/tarih'i eşlenik olmalı. ve bi zahmet ikisi de aynı cryptographic algoritmayı kullanmalı.

    farkındaysanız net bağlantısı gerekmiyor. bu yüzden offline bile kullanılabiliyor bu yöntem. ve farkındaysanız time based. bu yüzden birkaç saniyede bir şifreniz değişiyor.
    zaten timebased olduğu için de bu algoritmayı hataya uygun halde tutuyorlar. yani siz ekrandaki şifreniz tam değiştiği anda bile şifreyi girip post etseniz, yaklaşık 1 dakika önceki ve sonraki değerleri de hesapladığı için servis, sizin girişinizi sağlıyor. kısacası zaman çözünürlüğünü hassas tutmuyorlar ki 6 haneli şifreyi yazıp submit'e basacam diye kalpten gitmeyelim.

    bu durumda, elinde username, güncel saat ve secret key olan herkes 2fa'yı aşabilir. bu yüzden de bu verilerin backupı alınamayacak şekilde tutulur telefonlarda. bu yüzden yapabileceğiniz iki şey vardır.

    birincisi, yukarıdaki 2. adımda sizinle paylaşılan secret key'i (qr code fotoğrafı olur, bitwise yazarak olur size kalmış) başka bir ortamda tutmak. ne kadar güvenilir olduğu takdirinize kalmış.
    ikincisi, 2fa kullandığınız servislerde 2fa'nın erişilememesi durumunda yapılacakları önceden çalışmak, alternatif giriş mekanizmaları, "şifremi unuttum" ya da "telefonumu köpeğim yedi" gibi hizmetleri var mı eşelemek.

    google bunu sağlayabilir mi? evet. özellikle sağlamıyor çünkü 2fa'ya tamamen ters bir olay. (komplo teorisyenlerince sizin secret keyinizi yürütüyordur tabii). mesela authy diye bir app var. bu adamlar da şunu sağlıyor. "google auth'un kullandığı algoritma belli. siz secret keylerinizi google auth'a değil, bizim app'e yazın, biz secret keyleri cloud'da backup olarak tutalım". ancak bu adamlar da mevcut google auth keylerinizi okuyamıyor, yeni key yükleyerek ancak migrate edebiliyorsunuz.

    isterseniz deneyebilirsiniz adamların cloud'unda tutmayı. sonra icloud'daki çıplak resimlerim deşifre oldu diye gezinmeyin ama.
  • uzun zamandır çoğu sitede kullanıyorum. önce kullandığım servisleri yazayım:

    lastpass
    google
    microsoft
    facebook
    github
    dropbox
    mailchimp
    digitalocean

    ilk kurduğum zamanlarda sadece telefona kurmuştum, yedekleme açısından sıkıntı olmuştu. öncelikle android telefonunuz rootlu ise, herhangi bir sqlite veritabanı düzenleyici ile şu veritabanını açarak 2fa kodlarınızı görüntülebilir veya yedekleyebilirsiniz.

    /data/data/com.google.android.apps.authenticator2/databases/databases

    şahsen tavsiye ettiğim şey, sürekli yanınızda bulundurduğunuz başka bir aygıta daha google authenticator kurup, iki cihazda kullanmak. mesela sürekli kullandığım pebble akıllı saatim var. en son tekrar kurulum yaparken kodları hem telefona, hem saate girdim. telefonumu evde unuttuğum/şarjının bittiği durumlarda da saatten uygulamayı açıp hemen erişebiliyorum. tablet, bilgisayar, akıllı saat vs. güvenli bir ikinci aygıta da kurulum yapıp 2 cihazda bulundurmanız, cihazlardan birinin başına bir iş geldiğinde hesabınıza girip yeni bir kod üretmenizi / iki aşamalı doğrulamayı kaldırmanızı kolaylaştırıyor.

    cihazı yine rootlu ise titanium backup gibi bir uygulamayla toptan yedeğini alabilir, daha sonra istediğiniz başka bir cihaza oradan kurulum da yapabilirsiniz. ancak her şekilde bu dosyaları veya cihazları iyi korumak lazım.
  • bir gece iphone’umun aniden çökmesi ve fabrika ayarlarına dönmesi suretiyle bu allahın belası google authenticatordaki hiç bir şifrelemeye erilemeyeceğini öğrendim şu an tek tek online cüzdan ve borsalara hesaplarımı kurtarmaları için mail atıyorum o ilk karekodları ve kurtarma kodlarını gerekirse götünüze sokun ama kaybetmeyin üzülürsünüz
  • sizde benim gibi üye olduğunuz borsa sitesinde 2fa doğrulamasını aktif ederken, ekran görüntüsünü çekip bir yere kaydetmediyseniz borsa hesabınızdaki 2fa'yı önce deaktif edip, sonra tekrardan 2fa'yı aktif ederseniz bu dertden kurtuluyorsunuz. 2fa ekranında karşınıza 16 haneli bir kod verecek onu kaydedin bi yerlere, telefona bişey olursa o kodla başka telefondan hesabınıza giriş yapabilirsiniz.

    edit : bugün başıma gelen bir olay. ilk giriş ekranını geçtikten sonra google authenticator istenilen yere telefondaki google authenticator'un verdiği şifreyi yazıyorum '' google authentication failed '' hatası aldım bunun çözümüde telefonunuza kurmuş olduğunuz google authenticator'un sağ üst kısmından üç noktaya tıklayın ayarlara girip "kodlar için zaman düzeltme" bölümüne tıklayıp güncelleme yapın. ufak çaplı kalp krizi sonrası bu şekilde giriş yapabildim.
  • telefonun çalınması, bozulması, formatlanması, çökmesi durumunda halihazırdaki 2fa kodlarıma yeniden nasıl ulaşırım merak ettiğim hededir. epey bi yerde kullanıyorum. telefonun başına bir şey gelse bu sitelerin hiç birine giremeyeceğim mazallah.
    bilen yeşillendirsin litfen.

    edit: sadece google uygulamalarında değil google ile alakası olmayan bir çok sitede kullanıyorum bu olayı. parasal şeyler içeren borsa siteleri mesela. google auth destekliyor site ve o kodla giriş yapıyorum. cihaz gidince nasıl gireceğim?

    edit2:
    çözümü yok. tek çözüm 2fa kullandığınız sitelerde 2fa'yı kapatıp yeniden açmak, açarken verdiği kodu ve karekodu yedeklemek. tek çözüm bu şimdilik.

    edit3:
    yedekleme özelliği geldi. sonunda lan google!!!
  • ya mk biri de demiyor ki yedek alın bir şey yapın. bir sürü sitenin kodları mevcuttu bende, telefona format atmak zorunda kaldım ve bu programı kurunca şaşa kaldım, yedeklenmemiş hiç bir kod yok. seni yapanında yazanında ta anasını sikeyim. arkadaş her türlü şifre bilmem ne sürekli bulutta tutuluyor da senin neden bulutun yok. yedekle işte mk avel programı. seni kullananı siksinler bir daha.
  • yeni telefon aldığınızda, eski cihazınızı sıfırlamadan önce mutlaka aklınıza gelmesi gereken uygulama. ben bu aptallığı yaptım ve yeni cihaza geçerken qr kodu almadım. şimdi şapa oturmuş durumdayım. eski cihaz sıfırlandı, elimde yeni bir cihaz ve sıfırdan kurulmuş bir authenticator uygulaması ile birbirimize bakıyoruz. ne halt edeceğimi bilemiyorum. siz eski cihazınızı sakın bunun yedeğini almadan sıfırlamayın!
  • eger ki uyarilari dikkate almazsaniz hayatinizi zindana cevirabilen bir uygulama.
    ios kullanicsiniz yeni bir cihaz aldiniz ve eski bilgilerinizi yedeklediginizden eminsiniz
    eski telefonunuda sildiniz. yeni telefonunuza yedekten bile olsa google auth kurdugunuzda icinin bos oldugunu gorup hayata kusebilirsiniz. aman diyim cok dikkat.
  • lastpass için de kullanılabiliyormuş. "tüm hesaplar orada ama onun şifresini çaldırırsak ne olacak" diyenler için güzel bir çözüm. denemek lazım.
hesabın var mı? giriş yap