Microsoft tek kullanımlık SMS kodları güvenli değil diyerek uyardı: Kullanmayın
Siber saldırıların sürekli artış yaşadığı ve veri güvenliğinin git gide önem kazandığı bu dönemde, siber saldırılara karşı korunmak, oltalama mesajlarıyla yapılan kimlik avı saldırılarına oldukça dikkat etmek gerekiyor. Bunun için birçok güvenlik şirketi, iki faktörlü kimlik doğrulamaya geçilmesini, bir kez kullanılabilen SMS kodlarının tercih edilmesini öneriyor.
İki faktörlü kimlik doğrulaması (2FA) nedir?
İki faktörlü kimlik doğrulaması: genelde kullanıcıların cep telefonu numaralarına SMS ile veya e-posta adreslerine ikinci bir giriş kodu gönderilerek online hesapların güvence altına alındığı bir güvenlik önlemi sistemidir. Kullanıcıların tek kişisel platformla değil en az iki farklı kişisel aracıyla bilgi doğrulaması mantığıyla çalışır. Kişisel hesapların güvenliği konusunda birçok zaafiyetin önüne geçen bir sistemdir.
Örneğin popüler bir uygulama olan Instagram, cep telefonunuza gelen kısa mesaj (SMS) kodları ya da üçüncü taraf bir kimlik doğrulama uygulamasından gelen giriş kodları (Duo Mobile veya Google Authenticator gibi) sistemlerini kullanır.
Ancak Microsoft tarafından yayınlanan bir blog yazısında, bu hususla ilgili kullanıcılar uyarıldı. Microsoft’ta bilgi güvenliği departmanında başkan olarak görev yapan Alex Weinert, konuyla ilgili detaylı bir açıklama yaptı. Weinert’ın yaptığı açıklamaya göre kullanıcılar, birkaç MFA (çok faktörlü kimlik doğrulama) çözümü arasında seçim yapmalı ve telefon üzerinden gerçekleştirilen diğer kimlik doğrulama yöntemlerini elemeli. Weinert’e göre SMS ve sesli aramalarda herhangi bir şifreleme olmaması nedeniyle, bu seçeneği elemek yerinde bir hareket olacak.
Bu şifrelemenin olmaması nedeniyle tek kullanımlık kodlar, kimlik avı yapan hackerlar tarafından hacklenebiliyor. Ayrıca acil durumlarda, şebeke çekmemesi gibi teknik aksaklıklar da kimlik doğrulamayı devre dışı bırakabiliyor. Blog yazısında kimlik doğrulama için Microsoft Authenticator uygulamasının kullanılması tavsiye ediliyor.
Çift faktörlü kimlik doğrulamanın hesabınıza yeni bir güvenlik katmanı eklediğini hatırlatalım. Böylece hesaba sizden başka kimsenin erişmediğinden de emin olabiliyorsunuz. Instagram’ın daha önce sunduğu çift faktörlü doğrulama seçeneği sadece SMS ile sınırlıydı. Bu nedenle sistem SIM hacklerine karşı savunmasız kalıyordu.
Artık İnstagram da bu anlamda, kullanıcının giriş yaparken kimlik doğrulaması yapması için bir kod üreten ya da kullanıcıya komut gönderen 3. parti uygulamalar ile çalışıyor.
Geçtiğimiz aylarda bir araştırma merkezi tarafından yapılan Amerikan vatandaşlarının kullanımlarına odaklı bir kullanıcı araştırmasında, Amerika’daki internet araçlarını kullanan kişilerin %72’sinin iki faktörlü kimlik doğrulama tanımlaması yapmayı bilmediğini ya da bu kavramı dahi bilmediğini ortaya çıkarmıştı.
Siber güvenlik bilinci ve çalışmalarındaki yetersizlikler dünyanın bir çok ülkesinde olduğu gibi ülkemizde de mevcut. Hal böyleyken, Türkiye’nin de devlet ve özel girişimler ile siber güvenlik konusunda alt yapı ve teknoloji çalışmalarına daha çok odaklanması gerekiyor.
Hacklenmeye karşı İki faktörlü kimlik doğrulaması
Özellikle birçok marka ve sosyal medya hesapları, bankalar, dijital ödeme sistemleri sunan şirketler ve uygulamalar, kullanıcı güvenliği konusunda altyapılarını iki faktörlü kimlik doğrulaması üzerinden şekillendiriyorlar. Özellikle İnternet bankacılığı, sosyal medya hesapları, Google, iCloud gibi platform sunucuları, saldırıları bu yöntemle alt edebiliyor.
Böylece iki faktörlü kimlik doğrulaması ile korsanların ya da hırsızların kullanıcı adı ve şifreleri çalsalar dahi, kullanıcının telefonuna gelen mesaja ya da e-postalarına erişemediği için hesabı korumak kolaylaşır. Özel bilgileriniz yalnızca size kalır.
Mobil Uygulamalarda Google Authenticator
Google Authenticator mobil uygulamalar kullanan kullanıcılarının Google tarafından kimliğini doğrulamak için Zamana Dayalı Bir Zamanlı Şifre Algoritması ve HMAC tabanlı Bir Zamanlı Şifre algoritması kullanarak yine iki aşamalı doğrulama hizmeti uygulayan yazılım tabanlı bir kimlik doğrulayıcıdır. Kurumlar bu ve buna benzer diğer yöntemleri de tercih etmektedir. Genellikle uygulama içinde geri sayım sayaçları ile kullanıcının uygulama içinde çabuk aksiyon alması üzerine kuruludur.
Yukarıda bahsettiğimiz kullanıcı araştırmasında Amerika’daki internet kullanıcılarının, (ki buna yetişkinlerin büyük bir bölümü de dahil) siber güvenlik, mahremiyet, dijital ortamdaki hareket ve bıraktığımız izler ile ilgili bir takım temel konularda bile yeteri kadar bilinçli olmadıklarını raporluyor. Çözüm dünyada ve ülkemizde de özellikle siber saldırılar ve güvenli internet kullanımı konularında toplumun sık sık bilinçlendirilmesi, bu konuya daha fazla dikkat çekilmesi ve toplumu bilgilendirme kampanyaları yapılması gerekiyor.
İlk yorum yapan olun