Anasayfa » nasıl » İki Faktörlü Kimlik Doğrulama İçin Neden SMS Kullanmamalısınız (ve Bunun yerine Ne Kullanmalı)

    İki Faktörlü Kimlik Doğrulama İçin Neden SMS Kullanmamalısınız (ve Bunun yerine Ne Kullanmalı)

    Güvenlik uzmanları, çevrimiçi hesaplarınızı mümkün olan her yerde güvenceye almak için iki faktörlü kimlik doğrulamasını kullanmanızı önerir. Birçok hizmet varsayılan olarak SMS doğrulaması yapar, oturum açmayı denediğinizde telefonunuza kısa mesaj yoluyla kod gönderir. Ancak SMS mesajları çok fazla güvenlik sorununa sahiptir ve iki faktörlü kimlik doğrulaması için en düşük seçenek.

    İlk önce ilk şeyler: SMS hala iki faktörlü kimlik doğrulamasından daha iyi!

    Burada SMS aleyhindeki durumu ortaya koyarken, ilk önce bir şeyi açıklığa kavuşturmamız önemlidir: SMS kullanmak iki faktörlü kimlik doğrulamayı kullanmaktan daha iyidir.

    İki faktörlü kimlik doğrulaması kullanmadığınızda, birisi hesabınıza giriş yapmak için yalnızca şifrenize ihtiyaç duyar. SMS ile iki faktörlü kimlik doğrulaması kullandığınızda, birinin hesabınıza erişebilmesi için hem şifrenizi alması hem de kısa mesajlarınıza erişmesi gerekir. SMS hiç olmamasından çok daha güvenli.

    Tek seçeneğiniz SMS ise, lütfen SMS kullanın. Bununla birlikte, güvenlik uzmanlarının neden SMS’den kaçınmayı önerdiklerini ve bunun yerine ne önerdiğimizi öğrenmek istiyorsanız, okumaya devam edin..

    SIM Takas, Saldırganların Telefon Numaranızı Çalmalarına İzin Verir

    SMS doğrulama nasıl çalışır: Giriş yapmaya çalıştığınızda, servis daha önce verdiğiniz cep telefonu numarasına bir kısa mesaj gönderir. Bu kodu telefonunuza alıp oturum açmak için girin. Bu kod yalnızca bir kullanım için iyidir.

    Oldukça güvenli geliyor. Ne de olsa, kod numaranızı görebilmeniz için yalnızca telefon numaranız var ve birinin telefonunuzu da alması gerekiyor mu? Ne yazık ki hayır.

    Birisi telefon numaranızı biliyorsa ve sosyal güvenlik numaranızın son dört basamağı gibi kişisel bilgilere erişebiliyorsa, ne yazık ki, müşteri verilerini sızdıran birçok şirket ve devlet kurumu sayesinde bu bilgileri bulmak kolaydır; telefon numaranızı değiştirip yeni bir telefona taşıyın. Bu, “SIM takası” olarak bilinir ve yeni bir cihaz satın aldığınızda ve telefon numaranızı aktarırken yaptığınız işlemle aynı işlemdir. Kişi siz olduğunu söylüyor, kişisel verileri sağlıyor ve cep telefonu şirketiniz telefonunuzu telefon numaranızla ayarlıyor. Telefon numaranıza gönderilen SMS mesaj kodlarını kendi telefonlarından alırlar.

    Saldırganların mağdurun telefon numarasını çaldığı ve kurbanın banka hesabına erişmek için kullandığı İngiltere'de bunun olduğunu gördük. New York State de bu aldatmaca hakkında uyardı.

    Özünde, bu cep telefonu şirketinizi kandırmaya dayanan bir sosyal mühendislik saldırısı. Ancak cep telefonu şirketiniz, ilk başta güvenlik kodlarınıza erişebilecek birisini sağlayamamalı!

    SMS Mesajları Pek Çok Yönden Yakalanabilir

    SMS mesajlarına göz atmak da mümkündür. Politik muhalifler ve baskıcı ülkelerdeki gazeteciler, hükümetin telefon şebekesi üzerinden gönderilen SMS mesajlarını kaçırması nedeniyle dikkatli olmak isteyecekler. Bu, İranlı bilgisayar korsanlarının bu hesaplara erişim sağlayan SMS mesajlarını arayarak bir dizi Telegram haberci hesabını riske attığı bildirildi..

    Saldırganlar ayrıca, dolaşım için kullanılan, ağdaki SMS mesajlarını engellemek ve başka bir yere yönlendirmek için kullanılan bağlantı sistemi olan SS7'deki sorunları da kötüye kullandılar. Sahte cep telefonu kulelerinin kullanımı da dahil olmak üzere mesajların ele geçirilebilmesi için başka birçok yol vardır. SMS mesajları güvenlik için tasarlanmamıştır ve bu mesaj için kullanılmamalıdır..

    Başka bir deyişle, biraz kişisel bilgi içeren karmaşık bir saldırgan, çevrimiçi hesaplarınıza erişmek için telefon numaranızı ele geçirebilir ve daha sonra bu hesapları, örneğin banka hesaplarınızı boşaltmaya çalışmak için kullanabilir. Bu yüzden Ulusal Standartlar ve Teknoloji Enstitüsü, artık iki faktörlü kimlik doğrulaması için SMS mesajlarının kullanılmasını önermemektedir..

    Alternatif: Cihazınızda Kod Oluşturma

    SMS'e dayanmayan iki faktörlü bir kimlik doğrulama şeması üstündür, çünkü cep telefonu şirketi bir başkasının kodlarınıza erişmesine izin veremez. Bunun için en popüler seçenek Google Authenticator gibi bir uygulama. Ancak, Google Authenticator’ın yaptığı her şeyi yaptığı için Authy’yi öneriyoruz.

    Bunun gibi uygulamalar cihazınızda kodlar oluşturur. Bir saldırgan cep telefonu şirketinizi telefon numaranızı telefonlarına taşımak için kandırsa bile, güvenlik kodlarınızı alamazlar. Bu kodları oluşturmak için gereken veriler telefonunuzda güvenle kalır.

     

    Sen de kod kullanmak zorunda değilsin. Twitter, Google ve Microsoft gibi hizmetler, uygulamalarında oturum açmayı telefonunuzda yetkilendirerek başka bir cihazda oturum açmanıza izin veren uygulama tabanlı iki faktörlü kimlik doğrulamasını test ediyor.

    Kullanabileceğiniz fiziksel donanım belirteçleri de var. Google ve Dropbox gibi büyük şirketler U2F adlı donanım tabanlı iki faktörlü kimlik doğrulama belirteçleri için zaten yeni bir standart uyguladılar. Bunların hepsi cep telefonu şirketinize ve eski telefon şebekesine güvenmekten daha güvenli.

    Mümkünse, iki faktörlü kimlik doğrulaması için SMS'den kaçının. Hiç yoktan iyidir ve uygun görünür, ancak genellikle seçebileceğiniz en az güvenli iki faktörlü kimlik doğrulama şemasıdır..

    Ne yazık ki, bazı servisler sizi SMS kullanmaya zorlar. Bunun için endişeleniyorsanız, bir Google Voice telefon numarası oluşturabilir ve SMS kimlik doğrulaması gerektiren servislere verebilirsiniz. Daha güvenli, iki faktörlü bir kimlik doğrulama yöntemiyle koruyabileceğiniz Google hesabınıza giriş yapabilir ve güvenli mesajları Google Voice web sitesinde veya uygulamasında görebilirsiniz. Google Voice’tan gelen mesajları gerçek cep telefonu numaranıza iletmeyin.