Niye Kısa Mesaj (SMS) tabanlı iki faktörlü doğrulamayı tercih etmemelisiniz?

ABD’de bulunan Ulusal Standart ve Teknoloji Enstitüsünün (NIST) iki faktörlü doğrulama yöntemi olarak kısa mesaj tabanlı tek kullanımlık parolaları tavsiye etmeme kararı üzerinden 3.5 yıl gibi uzun bir zaman geçmesine rağmen hala bu yöntemin kullanılabildiğini gözlemliyoruz. Acaba bu tercihteki risk nedir ve ne tür saldırılara maruz kalınabilir? Bu blog yazısında kısaca bu sorulara cevap arayacağız. Önce NIST dokümanından bir alıntı yapalım:

“Şu anda, telefon ve Kısa Mesaj Servisi (SMS) tabanlı tek kullanımlık şifreler (OTP’ler) dahil olmak üzere, telefon şebekesinden yararlanan kimlik doğrulayıcılar kısıtlanmıştır.”

Bu kısıtın sebebi incelendiğinde üç farklı tür risk olduğu anlaşılıyor:

  1. SIM Değişim Saldırısı: En temel seviyede, SIM değişimi, bir saldırganın sahip olduğu bir SIM karta telefon numaranızı geçirmesi için operatörünüzü ikna etmesi yolu ile gerçekleşir. Bu durumda artık sizin telefon numaranıza gönderilen OTP’ler saldırgana gitmiş olur. Bu saldırı ile ilgili en kötü şey kullanıcı olarak bu saldırıya karşın hiçbir şey yapamamanızdır.
  2. Zararlı Uygulamalar: SMS OTP telefonunuza kadar güvenli olarak geldi diyelim. Peki SMS’i size gösteren mobil telefonunuz ne kadar masum? Acaba zararlı bir uygulama gelen OTP’yi sessizce başka bir yere gönderip sizin haberiniz olmadan silebilir mi? Çok tabii ki de mümkün.
  3. SS7 Zafiyetleri: Riskler bunlarla da sınırlı değil. Güvenlik araştırmacıları, cep telefonu ağları tarafından kullanılan en gelişmiş şifrelemeye rağmen, Sinyalizasyon Sisteminde (SS7) bulunan SMS OTP’lerin okunmasına izin verebilecek kritik güvenlik açıkları hakkında yıllardır uyarı yapıyorlar.

Peki tüm bu risklere karşın ne yapılması lazım. Elbette ikinci faktör kimlik doğrulama’dan vazgeçmek mümkün değil. Ücretsiz olarak SecurifyID mobil uygulamasını telefonunuza indirip kullanmanızı öneriyoruz.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*