Advertisement

SMS ile doğrulama çok güvensiz, işte nedeni

Zeynel -
6 yıl önce

4 yıl önce güncellendi.

İki adımlı doğrulama, çevrimiçi hesaplarınızı kontrole almanın en iyi yollarından bir tanesi. Ancak özellikle ülkemizde birçok banka ve hizmet, güvenlik açıkları kanıtlanmış ve birçok kez hack'lenmiş olan SMS ile doğrulamayı kullanmaya devam ediyor.

SMS'e alternatif olarak mobil uygulamalar yoluyla kod üretip, ürettiğiniz bu kodu oturum açarken kullanabiliyorsunuz. Bu yöntem de kusursuz değil, ancak SMS'e kıyasla çok daha iyi. En güvenlisi ise donanımsal çözümlerden faydalanmak.

Peki, SMS neden güvenli değil? Bu soruyu cevaplamadan önce iki adımlı doğrulamanın ne olduğuna bir bakalım.

İki adımlı doğrulama nasıl çalışıyor?

İki adımlı doğrulama, herhangi bir hizmete giriş yaparken parolaya ek olarak ikinci bir güvenlik katmanı kullandığınız anlamına geliyor. Bu ikinci katman, genellikle telefonunuza gelen veya bu işe özel bir uygulamadan aldığınız kodu oturum açtığınız hizmete yazmakla geçiliyor.

İkinci adım, elbette bir kod olmak zorunda değil. Gözleriniz, parmak iziniz veya annenizin kızlık adı, ikinci adım yerine geçebilecek şeylerden sadece bazıları.

Doğrulama SMS'lerinin gözetlenmesi zor değilDoğrulama SMS'lerinin gözetlenmesi zor değil

 


SMS ile doğrulamanın neresi tehlikeli?

Öncelikle şunu söyleyelim: İkinci adım olarak güvensiz olan SMS'i kullansanız bile, bu tek adımdan iyidir. Elbette parolanızın basit olmadığını varsayıyoruz, aksi halde kendinizi hiç güvende saymayın.

SMS'i güvensiz yapan iki kilit açık var. İlk olarak SMS'ler, "SIM takası" olarak bilinen saldırılara açıklar. Bunun için kötü niyetli birinin mobil sağlayıcınızı kandırıp, adınıza yeni bir SIM kartı alması yeterli.

Not: Bankalar SIM kartınızı değiştirdiğinizde, telefon numaranız aynı olsa bile bunu anlayabiliyor ve numaranızı tekrar doğrulamanızı isteyebiliyorlar. Ancak bu noktada tüm hizmetlerden aynı güvenliği beklemek doğru olmayacaktır.

İkinci olarak hacker'lar, SMS'leri yakalayıp içeriklerini görebiliyorlar. SMS'ler artık eski kabul edilen Signaling System No. 7 (SS7) iletim sistemini kullanıyor. 1975'te tasarlanan bu yöntem, çağrıları kabul ederken veya reddederken hala kullanılıyor. Aynı yöntem, rakam çevirileri, ön ödemeli çağrılar ve SMS'lerde de kullanılıyor. 1975'ten kalan bu teknolojinin güvenlik açıklarıyla geldiğini söylediğimizde herhalde şaşırmayacaksınız. Birçok güvenlik sorununa sahip olan SS7, ekipmanı olan bir hacker'ın SMS'lerinizi size ulaşmadan almasına izin verebiliyor.

SS7 ekipmanının yaklaşık 1.000 dolara elde edilebildiğini söyleyelim. Hacker'lar bu cihazı satın aldıktan sonra bir yönlendirme isteği gönderebiliyorlar.

İki adımlı doğrulamada tek seçeneğiniz SMS ise, onu açık tutmak daha iyi olacaktır. Ancak kullandığınız hizmete ulaşıp, güvenlik açıkları uzun süredir bilinen bu seçeneği tekrar değerlendirmelerini isteyebilirsiniz. Modern hizmetlerin çoğu "Authenticatior" uygulamaları üzerinden kod doğrulama seçeneği sunuyor.

2FA yani "authenticator" uygulamaları daha şık bir çözüm sunuyor

 


İki adımlı doğrulama, yani "Authenticator" uygulamalarında da risk var

Bu uygulamalar SMS'ten daha güvenli olsalar da, bir özel anahtara dayanıyorlar. Bu özel anahtar, hizmete ilk kaydolurken girdiğiniz anahtar. Eğer hacker'lar, özel anahtarın depolandığı sunucuya ulaşabilirse, tüm iki adımlı doğrulama anahtarlarınızı ele geçirebilir.

LastPass'ın Authenticator uygulaması geçmişte benzer bir sorun yaşamıştı, ancak sorun şu an onarılmış durumda. Bununla birlikte LastPass'ın açığı kapatmakta çok yavaş kalmış olması ve uyarılardan aylar sonra harekete geçmesi, tartışmalara yol açmıştı. 

Hacker'ların, bu tür üçüncü parti uygulamaların sunucusuna ulaşması ve verileri şifrelenmemiş olarak bulması, elbette çok düşük bir olasılık. Ancak kullandığınız Authenticator uygulamasının hangisi olduğu burada önem taşıyor.

Donanımsal çözümler daha güvenli ancak onların da eksileri var

 


Donanımsal anahtarlar ve bizim tavsiyemiz

NFC veya USB bağlantısı kullanan U2F anahtarları, cihazınıza ilk kez bağlandığında rastgele bir sayı oluşturuyor. "Nonce" olarak adlandırılan bu anahtar, sitenin alan adı ile hash'leniyor ve eşsiz bir kod oluşturuluyor. Hizmetlere oturum açarken U2F anahtarını bağlamanız yeterli oluyor. U2F anahtarlarının dezavantajı ise fiyatlarının 15-50 dolar arasında değişmesi ve çalınabilmeleri. Anahtarınızın çalınması hesaplarınızı açığa çıkarmıyor, çünkü hacker'ın parolanızı da bilmesi gerekiyor. Ancak anahtarınız herkese açık bir yerde çalınırsa, hacker parolanızı da siz yazarken arkanızdan görmüş olabilir.

Bizim tavsiyemiz, eğer çok ciddi bir güvenlik çözümüne ihtiyacınız yoksa, U2F yerine authenticator uygulamalarını kullanmanız ve mümkün olduğunca SMS'i tercih etmemeniz. Ancak SMS dışında hiçbir seçeneğiniz yoksa, daha önce de söylediğimiz gibi, SMS'i kullanmaya devam edin - bu hiç yoktan iyi olacaktır.

Bu yazıyı faydalı buldunuz mu?
0 0
Bu sayfayı paylaşın:

En son yazılar

Adında boşluk olan klasörü silme

Adında boşluk olan klasörü silme
Windows kapanırken pagefile.sys dosyasını temizleme

Windows kapanırken pagefile.sys dosyasını temizleme
Avif nedir, WebP ve JPEG'den ne kadar farklı?

Avif nedir, WebP ve JPEG'den ne kadar farklı?
Windows'un 5GHz Wi-Fi'yi tercih etmesi nasıl sağlanır

Windows'un 5GHz Wi-Fi'yi tercih etmesi nasıl sağlanır
Windows'un kapanmama sorununu nasıl çözdüm

Windows'un kapanmama sorununu nasıl çözdüm

Klavye kısayolları

  1. Ducky One 2 MiniDucky One 2 Mini
    1042413    2
  2. Grand Theft Auto VGrand Theft Auto V
    471517    61
  3. RK61RK61
    391458    1
  4. Euro Truck Simulator 2Euro Truck Simulator 2
    318509    51
  5. Assetto CorsaAssetto Corsa
    269911    4
  6. Genshin Impact (PC)Genshin Impact (PC)
    256922    4
Daha fazla klavye kısayolu...
Advertisement



 
Hiç yorum yok. İlk yorumu yapan siz olun!