Son yıllarda “ikinci faktör” kavramı bir pazarlama terimine dönüştü. Resmî olarak vardır, ancak pratikte çoğu zaman gerçek bir koruma sağlamaz.
Eğer hesabınız hâlâ Kısa Mesaj Servisi yoluyla gönderilen kodlar veya mesajlaşma uygulamalarından gelen kodlar ile korunuyorsa, gerçekte ikinci bir faktöre sahip olmadığınızı varsaymak gerekir.
Bunun nedenlerini ele alalım.
Kısa Mesaj Servisi neden artık bir koruma olarak kabul edilmiyor
Kısa Mesaj Servisi bir güvenlik mekanizması değildir. Telekomünikasyon çağından kalma bir mirastır. Hiçbir zaman güvenli bir kanal olarak tasarlanmamıştır.
Temel sorunlar:
1. Sim kart ele geçirme nadir bir durum değildir
Sosyal mühendislik yoluyla sim kartın yeniden çıkarılması rutin bir işlemdir. Bir kimlik belgesi, “operatör hatası” veya içerden erişim çoğu zaman yeterlidir.
Sonuç: telefon numarası saldırganın eline geçer ve kodlar da onunla birlikte gider.
2. Yedi Numaralı Sinyal Sistemi ve telekomünikasyon altyapısı
Sinyalleşme ağları onlarca yıl önce tasarlanmıştır. Telefona fiziksel erişim olmadan Kısa Mesaj Servisi iletilerinin ele geçirilmesi mümkündür.
3. Operatör tek bir hata noktasıdır
Dolaşım sorunları, engellemeler veya teknik arızalar nedeniyle hesaplarınıza giriş yapamayabilirsiniz.
4. Şifreleme yoktur
Kısa Mesaj Servisi iletileri açık metin olarak saklanır ve iletilir. Nerede, ne kadar süreyle ve kim tarafından işlendiği sizin kontrolünüzde değildir.
Sonuç: Kısa Mesaj Servisi bir kullanım kolaylığı faktörüdür, bir güvenlik faktörü değildir.
Kısa Mesaj Servisi yerine mesajlaşma uygulamaları — daha da kötü
Kısa Mesaj Servisini mesajlaşma uygulamalarıyla “iyileştirme” girişimi, sahte bir yükseltmenin klasik bir örneğidir.
Altı haneli bir kod almak için sizden şunlar istenir:
- ağır bir uygulama yüklemek,
- bir telefon numarası bağlamak,
- meta verileri paylaşmak,
- internet bağlantısına bağımlı olmak,
- kapalı kaynak koda güvenmek.
Bu durum saldırı yüzeyini artırır, azaltmaz.
Güvenlik açısından bakıldığında anlamsızdır.
Gizlilik açısından ise açıkça zararlıdır.
Zamana Dayalı Tek Kullanımlık Parola neyi temelden değiştirir
Zamana Dayalı Tek Kullanımlık Parola bir ürün ya da marka değildir. Açık bir standarttır.
Temel fikir:
👉 kod dışarıdan gelmez — yerel olarak hesaplanır.
Bunun pratikte sağladıkları:
- İletim kanalı yoktur → ele geçirilecek bir şey yoktur
- Çevrimdışı çalışabilir → operatörlere ve hizmetlere bağımlılık yoktur
- Telefon numarası yoktur → kimlikle daha az ilişkilendirme
- Öngörülebilir tehdit modeli → “bulut” değil, kriptografi
Sunucu ve cihazınız yalnızca aynı hesaplamaları yapar ve şunları bilir:
- paylaşılan bir gizli anahtar;
- mevcut zaman.
Birbirleriyle iletişim kurmazlar. Gücü buradan gelir.
Neredeyse hiç konuşulmayan önemli noktalar
1. Korumayı sağlayan kod değil, gizli anahtardır
Altı haneli sayı yalnızca bir gösterimdir.
Eğer gizli anahtar sızarsa, Zamana Dayalı Tek Kullanımlık Parola fiilen ortadan kalkar.
Bu nedenle:
- hızlı yanıt kodu anahtar anlamına gelir,
- ekran görüntüsü potansiyel bir ihlal anlamına gelir,
- bulut ortamında saklama risk anlamına gelir.
Gizli anahtar sızarsa, iki faktörlü kimlik doğrulamayı derhal sıfırlayın.
2. Zamana Dayalı Tek Kullanımlık Parola aracı sunucu temelli kimlik avına karşı koruma sağlamaz
Bu, bu mekanizma sınıfının temel bir sınırlamasıdır.
Eğer:
- kodu sahte bir internet sitesine girerseniz,
- saldırgan bu kodu hemen gerçek sitede kullanırsa,
Zamana Dayalı Tek Kullanımlık Parola hiçbir şey yapamaz.
Bu yüzden:
- yalnızca yer imleri veya parola yöneticisi üzerinden giriş yapın;
- alan adını sıkı biçimde doğrulayın;
- hiçbir “acil mesaj” kod girmeniz için bir gerekçe değildir.
3. Yedekler bir seçenek değil, bir zorunluluktur
Yedek kodlar olmadan telefonun kaybolması, hesabın kaybedilmesi anlamına gelir.
Kural basittir:
- yedek kodları yazın;
- çevrimdışı veya bir parola yöneticisinde saklayın;
- “sonra yaparım” düşüncesine güvenmeyin.
İki bin yirmi beş yılında ne kullanılmalı
Asgari düzeyde mantıklı seçim
- Android için Aegis: açık kaynaklı yazılım, yerel olarak şifrelenmiş yedekler
- iOS sisteminde veya parola yöneticilerinde yerleşik Zamana Dayalı Tek Kullanımlık Parola — kabul edilebilir bir çözüm
Dikkatle kullanılmalı
- Bulut senkronizasyonu olan Google Kimlik Doğrulayıcı
(hesabın ele geçirilmesi tüm faktörlerin kaybı anlamına gelir)
Zamana Dayalı Tek Kullanımlık Paroladan daha iyi
- İnternet Kimlik Doğrulama standardı, geçiş anahtarları ve Hızlı Kimlik Doğrulama İkinci Sürüm
Kimlik avına karşı dayanıklılık tasarıma doğrudan entegre edilmiştir.
Zamana Dayalı Tek Kullanımlık Parola temel seviyedir. Geçiş anahtarları bir sonraki adımdır.
Özet
- Kısa Mesaj Servisi güvenlik faktörü olarak ölmüştür
- Mesajlaşma uygulamaları, koruma kılığında pazarlamadır
- Zamana Dayalı Tek Kullanımlık Parola asgari kabul edilebilir düzeydir, “ileri seviye bir seçenek” değildir
- Asıl riskler algoritmada değil, kullanıcı disiplinindedir
- Gelecek, kimlik avına dayanıklı kimlik doğrulamanındır
Eğer iki bin yirmi beş yılında bir hizmet Zamana Dayalı Tek Kullanımlık Parola veya İnternet Kimlik Doğrulama standardı sunmuyorsa, bu bir ürün özelliği değil, bir uyarı işaretidir.
Not.
Bunu aile üyelerine veya teknik olmayan kullanıcılara anlatıyorsanız, şunları yaptıklarından emin olun:
- gizli anahtarı veya yedek kodları yazmaları,
- telefonu tek hata noktası olmaktan çıkarmaları.
Aksi takdirde süreç destek birimleri, resmî işlemler ve erişim kaybı ile sonuçlanır.
