İmparatorun yeni güvenlik göstergeleri

Arkadaşlarla bir süredir resim-şifreler konusunda bir TÜBİTAK projesi yürütüyoruz. Projede hedef insanların resim hafızasının daha iyi olduğundan hareketle bildiğimiz şifrelere (parolalara) daha iyi alternatifler üretmek. Sonraki haftalarda projeden daha ayrıntılı bahsetmeyi düşünüyorum ama bugünkü yazının konusu daha farklı.
Arkadaşlarla konuşurken ne zamanki bizim projeden laf açılsa, “xxx bankasında da benzer bir şey var. Biliyor musun?” sorularıyla muhatap oluyorum. Öğrendiğim kadarıyla sözkonusu olan kullanıcıların sisteme ilk girişte kendine özgü bir resim seçmeleri ve daha sonraki girişlerde bu resmin doğru resim olup olmadığını kontrol etmeleri. Bu mekanizmanın amacı kimlik avı (phishing) saldırılarına karşı önlem almak. Yani kullanıcı yanlışlıkla xxx bankası yerine başka bir sahte URL’e bağlanırsa bu URL’de kullanıcının seçtiği resim gösterilemeyeceği için kullanıcı bir yanlışlık olduğunu anlayacak ve böylece dolandırılmaktan korunmuş olacak.
“So far so good” değil mi? Lakin daha sonrasında okuduğum bir makalenin çarpıcı sonuçları insanı tekrar düşündürüyor.  MIT ve Harvard üniversitesi çalışanları yapmış oldukları kullanışlılık deneylerinde site-tanıma resimleri (STR)’nin % 92 oranında başarısız olduğunu tespit etmişler. Yani 25 kullanıcıdan 23’ü kendilerine ait gerçek bir e-bankacılık işleminde seçtikleri resim yerine “xxx bankası ödüllü STR teknolojisini şu anda iyileştiriyor. Eğer seçtiğiniz resim 24 saat içerisinde gözükmezse müşteri servisi ile bağlantıya geçiniz.” şeklinde  bir uyarı mesajı çıkmasına rağmen bankacılık işlemlerine devam ediyorlar. İlginç ve çarpıcı değil mi? Bu işler demek ki o kadar kolay olamıyor.
Ayrıca, İnternet bankacılığı güvenliği konusunda Türkiyede eksikler olduğunu düşünüyorum. Çünkü öncelikle tek-kullanımlı şifre üreten donanımlar halen yaygın değil. Her ne kadar Schneier sadece bu donanımları kullanmanın yetersiz olduğunu söylüyorsa da bence bu donanımlar sadece güvenlik için değil kullanışlılık için de etkin. Yabancı bir ülkede kullandığım sistemde verilen küçük hesap makinesi büyüklüğünde bir cihaza banka kartınızı sokuyorsunuz ve ATM şifrenizi girerek tek kullanımlık şifre üretiyorsunuz. Yani ekstradan bir şifre ezberlemenize gerek yok. Aksi halde şifrenizi unutursanız Allah yardımcınız olsun! Türkiyede böyle bir durum yaşadım. Unuttuğum internet bankacılığı şifresi için aramam gerektiği söylenilen müşteri servisi numarasında uzun bir süre telesekreterle muhatap olduktan sonra İnternet şifremi değiştirmem için İnternet şifresini bilmem gerektiğini 🙁 öğrenerek telefonu kapatmak zorunda kaldım. Halen o bankanın internet bankacılığından yararlanamıyorum. Sonuç olarak: Şifre konusu öyle basite indirgenebilecek bir konu değil ama çözeceğiz inşallah. Çalışıyoruz netekim.
İnternet bankacılığı güvenliği konusunda çok güzel bir makaleyi tavsiye ederek sözlerimi bugünlük noktalıyorum.