İki faktörlü kimlik doğrulamada neden SMS kullanılmamalı ve alternatifler nelerdir?

İki faktörlü kimlik doğrulama (2FA), çevrimiçi hesaplarınıza önemli bir güvenlik katmanı ekler; ancak ne yazık ki tüm yöntemler eşit yaratılmamıştır. Birçok kişi güvenli bir seçenek olduğuna inanarak SMS tabanlı 2FA'ya güveniyor. Maalesef SMS kusursuz bir yöntem değil. İşte 2FA için SMS kullanmayı neden bırakmanız gerektiği ve bunun yerine ne kullanabileceğiniz hakkında bilgiler...

SIM Değişimi, Bilgisayar Korsanlarının Telefon Numaranızı Çalmasına İzin Veriyor

2FA için SMS kullanırken karşılaşılan en endişe verici risklerden biri, bir saldırganın mobil sağlayıcınızı kandırarak telefon numaranızı yeni bir SIM karta taşıması tekniği olan SIM kart değişikliğidir. Numaranızın kontrolünü ele geçirdiklerinde, o numaraya gönderilen tüm SMS mesajlarını engelleyebilirler.

İşleyişi şöyle: Saldırgan, sizin adınıza mobil operatörünüzle iletişime geçiyor. Adresiniz veya Sosyal Güvenlik numaranızın son dört hanesi gibi çalınan kişisel bilgileri kullanarak operatörleri telefon numaranızı SIM kartlarına taşımaya ikna ediyorlar. Bu geçiş tamamlandıktan sonra saldırgan, hesabınızı korumayı amaçlayan 2FA kodları da dahil olmak üzere numaranıza gönderilen kısa mesajları ele geçirecektir.

Zarar bununla da sınırlı değil. Çoğumuz telefon numaramızı e-postadan sosyal medyaya, bankacılık uygulamalarına kadar birçok hesaba bağlıyoruz. Başarılı bir SIM kart değişikliği, saldırganların e-postadan bankacılık uygulamalarına kadar telefon numaranızla ilişkili birçok hesaba erişmesini sağlayabilir. Quantrimang.com'un SIM kart değişiminin ne olduğu ve kendinizi nasıl koruyacağınıza ilişkin önceki rehberi , giderek yaygınlaşan bu dolandırıcılıktan kaçınmanıza yardımcı olabilir.

SMS mesajları engellenebilir

SIM kartınızı değiştirmeseniz bile, SMS mesajlarının kendisi hala güvenli değildir. Kolayca ele geçirilebilen ağlar üzerinden seyahat ederler. Bilgisayar korsanları, operatörlerin çağrı ve mesajları yönlendirmesine olanak tanıyan küresel bir telekomünikasyon protokolü olan Sinyalizasyon Sistemi No. 7'deki (SS7) zayıflıkları istismar edebilir. SS7'yi istismar ederek saldırganlar gerçek telefonunuza erişmeden SMS mesajlarınızı ele geçirebilirler.

Bu sadece bir teori değil; SIM kart hack'leme uzun zamandır var olan bir sorundur. Siber suçlular ve hatta bazı devlet destekli gruplar, iletişimleri gözetlemek ve hassas bilgileri çalmak için SS7 açığını kullandılar. SMS şifrelenmediği için, tek kullanımlık şifre de dahil olmak üzere mesaj içeriği iletim sırasında açığa çıkacaktır.

Mesajlarınızın tehlikeye girmesinin bir diğer yolu da cihazınıza yüklenen kötü amaçlı uygulamalar veya casus yazılımlardır. Bu programlar gelen SMS mesajlarınızı izleyebilir ve 2FA kodlarını sizin bilginiz olmadan saldırgana iletebilir.

SMS telefon numaranıza bağlıdır

SMS tabanlı 2FA'nın bir diğer önemli dezavantajı ise telefon numaranıza dayanmasıdır. Kod alma yeteneği doğrudan mobil servisinize bağlıdır. Eğer sinyalin zayıf olduğu bir bölgedeyseniz, SMS tabanlı 2FA, Wi-Fi olsa bile tamamen işe yaramayacaktır . İnternet bağlantısı üzerinden çalışabilen diğer kimlik doğrulama yöntemlerinden farklı olarak SMS, sabit bir hücresel sinyal gerektirir.

Bu bağımlılık, hesabınıza erişmeniz gerektiği ancak koda ulaşamadığınız durumlarda sizi sıkışmış halde bırakabilir. Uzak bir yere seyahat ediyorsanız veya zayıf sinyal gücüne sahip bir binada bulunuyorsanız, bu sınırlama SMS'i alternatif yöntemlere göre daha az güvenilir hale getirir.

Alternatif: Kimlik Doğrulayıcı Uygulama

2FA kimlik doğrulaması için SMS'e güvenmek yerine 2FA kimlik doğrulayıcı uygulamalarına geçin. Google Authenticator, Microsoft Authenticator ve Authy gibi uygulamalar, doğrudan cihazınızda zamanlı tek seferlik parolalar (TOTP) oluşturarak SMS'e göre çok daha güvenli ve güvenilir bir alternatif sunar.

Kimlik doğrulama uygulamalarının ilk büyük avantajı güvenliktir. Bu uygulamalar, SMS'in aksine, telefonunuzda yerel olarak kodlar üretir; bu da bunların ele geçirilebilecek veya istismar edilebilecek bir ağ üzerinden iletilmediği anlamına gelir. Ayrıca, ekstra güvenlik katmanlarıyla korunuyorlar; birçok uygulama, koda erişmek için parola, parmak izi veya yüz taraması gerektiriyor.

İnsanların kimlik doğrulama uygulamalarını sevmesinin bir diğer nedeni de çevrimdışı işlevsellikleridir. Kodlar doğrudan cihazınızda üretildiği için bunları kullanmak için mobil bağlantıya ihtiyacınız yok. İster hizmetin olmadığı uzak bir bölgede olun, ister zayıf sinyal gücüne sahip bir iç mekanda olun, bir cihazınız olduğu sürece kodlarınıza erişebilirsiniz.

İnsanlar Authy'yi diğer kimlik doğrulama uygulamalarına tercih ediyor çünkü bulut yedekleme özelliği sunuyor ve telefonunuzu kaybetmeniz durumunda hesabınızı kurtarmanızı kolaylaştırıyor. Aynı zamanda bu yedekleri şifreleme yoluyla güvence altına alarak, bunlara yalnızca sizin erişebilmenizi sağlar. Google Authenticator da popüler bir seçenektir. Her iki seçenek de ücretsizdir, yaygın olarak desteklenir ve kurulumu kolaydır.

Kimlik doğrulama uygulamasını kullanmak çok basit. Genellikle 2FA kurulum süreci sırasında web sitesi tarafından sağlanan bir QR kodunu tarayarak kurulduktan sonra, oturum açtığınızda koda erişmek için uygulamayı açmanız yeterlidir. Kod her 30 saniyede bir yenilenir, bu nedenle birisi bir kodu çalsa bile, hemen işe yaramaz hale gelir.

Hesabınızın güvenliğini sağlamak için iki faktörlü kimlik doğrulaması şarttır, ancak kullandığınız yöntem önemlidir. SMS tabanlı 2FA kullanışlı gibi görünse de SIM kart değiştirmeden, müdahale yöntemlerine ve hatta zayıf hücresel kapsama alanı gibi pratik sorunlara kadar birçok güvenlik açığı içeriyor. Bu riskler SMS'i çevrimiçi güvenliğiniz için güvenilir olmayan bir koruma aracı haline getirir.