Kısa mesaj yoluyla gönderilen tek kullanımlık şifreleri neden kullanmaktan kaçınmalısınız?

Mobil kullanıcıların uygulamalara giriş yapmasının en uygun yollarından biri ve birçok şirketin erişim izni vermek için kullandığı yöntem, genellikle kısa mesaj yoluyla paylaşılan tek kullanımlık şifre veya OTP’dir. Ancak siber güvenlik uzmanları arasında, geleneksel şifreler gibi tek kullanımlık şifrelerin de aşamalı olarak kaldırılması gerektiği konusunda giderek artan bir fikir birliği var; ancak uzmanlar bunun yakın zamanda gerçekleşmesinin şüpheli olduğunu söylüyor.

Tüketicilerin, tek kullanımlık şifrelerin farklı türlerine ve her birinin sağladığı faydalarla karşılaştırıldığında göreceli güvenlik risklerine dikkat etmeleri isteniyor. Gartner Research’ün başkan yardımcısı analisti Ant Allan’a göre deneyimler, kimlik doğrulamayı aşmanın her zaman bazı yollarının olduğunu gösteriyor ancak bazı yöntemler diğerlerinden daha güçlü. Alan, “Kimlik doğrulamanın kusursuz yöntemleri yoktur” dedi.

Tüketicilerin tek kullanımlık şifreler (OTP) ve çevrimiçi güvenlik hakkında bilmesi gerekenler:

OTP kartları çevrimiçi dolandırıcılığa karşı savunmasızdır

Javelin Strateji ve Araştırma’da dolandırıcılık ve dolandırıcılık direktörü Tracy C. Kitten, kısa mesaj veya SMS yoluyla gönderilen tek kullanımlık şifrelerin (OTP), dolandırıcıların kimlik avı saldırıları, kimlik sahtekarlığı ve hileli güvenlik gibi çeşitli araçlarla gerçekleştirdiği saldırılara karşı daha savunmasız olduğunu söyledi. Javelin Strateji ve Araştırma’da SIM kartınızın güvenliğini sağlayın ve telefonunuz elinizde olsa bile mesajları engelleyin.

Sorun, bir mobil hesap veya web sitesi ele geçirildiğinde bunu hemen fark edemeyebileceğiniz gerçeğiyle daha da artmaktadır. Keaten, “Örneğin, bir bankadan kısa mesaj göndermesini ve ardından mesajı başkasının aldığını fark etmeden geri göndermesini isteyebilirsiniz,” diyor ve ekliyor: “Bir şeylerin ters gittiğini fark etmeniz 45 dakika sürebilir. “Şişman.”

Google ve Microsoft’un kimlik doğrulama uygulamasını kullanın

Güvenlik uzmanları, sihirli bir çözüm olmasa da en iyi seçeneğin, Google Authenticator veya Microsoft Authenticator gibi bir kimlik doğrulama uygulamasını mobil cihaza indirmek olduğunu söylüyor. Allan, kimlik doğrulama uygulamalarının bazı “ortadaki düşman” saldırılarına karşı hâlâ savunmasız olduğunu ancak yine de SMS’den daha güvenli olduğunu söyledi.

Bir kimlik doğrulama uygulamasıyla, kullanıcılar her oturum açtıklarında benzersiz bir kod alır ve kodun süresi genellikle 30 ila 60 saniye sonra dolar. Telefon numarasına hiçbir şey gönderilmiyor. Kitten, kimlik doğrulama uygulamasının mobil cihazınızda bulunduğunu, dolayısıyla telefonunuz şifre korumalıysa ve yüz tanımayı etkinleştirirseniz, bunun birisinin bu kodlara erişme riskini büyük ölçüde azalttığını söyledi.

Capgemini Americas’ın başkan yardımcısı ve satış ve siber çözümler başkanı Cédric Thevenet, hâlâ kod girme ihtiyacına dayanan potansiyel güvenlik açıklarının bulunduğunu söylüyor. Örneğin, birinin düzenli olarak çalıştığı bir şirketten veya sağlayıcıdan geliyormuş gibi görünen ancak aslında iyi gizlenmiş bir kimlik avı girişimi olan bir e-posta aldığını varsayalım. Thevenet, yapay zeka sayesinde bu tür kimlik avı e-postalarının tespit edilmesinin daha zor hale geldiğini söyledi.

Dikkatsiz bir kullanıcı bağlantıya tıklarsa, bu onları yasal görünen ancak meşru olmayan bir web sitesine yönlendirebilir. Kişi, servis sağlayıcının web sitesi olduğunu düşünerek bilgisayar korsanının web sitesine kullanıcı adını ve şifresini giriyor ve ardından kimlik doğrulama kodu istendiğinde onu da yazıyor. Thevenet’in açıkladığı gibi artık hacker, kişinin hesabına erişebiliyor.

Daha iyi koruma için mobil uygulamalara ödeme yapmayı düşünün

Kullanıcının telefonundaki mobil uygulamalarla birlikte çalışan daha güvenli bir kimlik doğrulama seçeneği mevcuttur. Kullanıcılar, bankalarının veya başka tür bir hizmet sağlayıcının web sitesine giriş yaptıklarında, telefonlarındaki ilgili uygulamada, bu bildirimle kimliklerini doğrulamalarını isteyen bir bildirim alıyorlar.

Alan, bu doğrulama yönteminin oturum açtığınız cihazdan bağımsız olduğunu ve kimlik doğrulama için SMS veya tek kullanımlık şifrelerden daha iyi olduğunu ancak bu yönteme karşı da işe yarayabilecek saldırıların bulunduğunu söyledi. Bir bilgisayar korsanı, çalınan bir şifreyi kullanarak sürekli olarak birinin hesabına giriş yapmayı deneyebilir ve kullanıcı, doğrulama için telefonuna birden fazla mesaj alır. Eğer kişi yeterince dikkat etmiyorsa ya da sadece sinir bozucu olmayı bırakmak istiyorsa, doğrulamak için tıklayabilir ve böylece bilgisayar korsanının hesaba erişmesine izin verebilir.

Mümkün olduğunda bir donanım güvenlik anahtarı seçin

Daha iyi bir seçenek Yubico gibi fiziksel bir güvenlik anahtarı kullanmaktır. Bir anahtar birden fazla uygulama ve hizmetle kullanılabilir. Alan, güvenlik açısından SMS veya kimlik doğrulama uygulamasından daha iyi olduğunu söyledi. Ama bir yatırım var. Bir anahtarın maliyeti 20 ila 60 ABD Doları veya daha fazla olabilir ve insanların onu kaybetmemeye dikkat etmesi gerekir.

Bu aynı zamanda her durumda pratik değildir. Thevenet, çevrimiçi perakendecinin maliyet ve pratiklik nedeniyle müşterilerinin her birine anahtar vermeyeceğini söyledi.

Çoklu cihaz geçiş anahtarlarıyla şifreleri denklemden kaldırın

Parola ihtiyacını ortadan kaldıran çoklu cihaz geçiş anahtarlarının kullanılması, mutlaka tek kullanımlık parolanın yerine geçmese de, bir saldırganın hesaplarınıza sızmasını daha da zorlaştırır. Dünyanın parolalara olan bağımlılığını azaltmaya odaklanan açık bir konsorsiyum olan FIDO Alliance’a göre, geçiş anahtarları kullanıcının bilgisayarında veya telefonunda saklanan bir “özel anahtar” ve genel anahtar şifrelemesinden oluşuyor.

Parolalarla ilgili bazı rahatsızlıkları ortadan kaldırmanın yanı sıra, parolalar kullanıcıları kimlik avı saldırılarına karşı korur çünkü yalnızca kayıtlı oldukları web siteleri ve uygulamalarda çalışırlar. Allan, bazı güvenlik endişeleri bulunduğunu ancak en azından “şifreleri denklemden çıkardığını, böylece bir saldırganın ilk etapta başlamasını zorlaştırdığını” söyledi.

Allan, düzenleyici açıdan bakıldığında geçiş anahtarlarının çok faktörlü kimlik doğrulama olarak nitelendirilmeyebileceğini ancak parola ve SMS kullanmaktan daha güvenli olabileceğini söyledi.

SMS tek kullanımlık şifrelerin (OTP) kullanımda kalması bekleniyor ve bu risk var

Kullanıcıların çevrimiçi oturum açma işlemlerini güvenliğe daha fazla odaklanarak yönetmeleri için parola yöneticileri de dahil olmak üzere çok çeşitli seçenekler mevcuttur, ancak bunların tümü risk içerir ve bir dereceye kadar tüketiciler farklı sağlayıcılar tarafından sunulan kimlik doğrulama yöntemleriyle sınırlıdır.

Şirketin dijital kimlik uygulamasını yöneten Protiviti genel müdürü Dusty Anderson, müşterilerinden birinin SMS yoluyla tek kullanımlık şifreler göndererek ayda on binlerce dolar harcadığını söylüyor. Güvenlik endişelerine rağmen müşteri, özellikle teknolojiye aşina olmayan ve başka türde bir kimlik doğrulama aracı kullanmak istemeyen müşterilerle sorun çıkarmaktan korktuğu için geri adım atmıyor.

Thevenet, başka nedenlerden dolayı geçici şifrelerin yakın gelecekte bir şekilde mevcut kalacağını söyledi. Thevenet, en popüler seçeneklerin düşük maliyetli ve kullanımı kolay olduğunu, bazı risklere rağmen bu yöntemlerin yine de tek başına şifre kullanmaktan daha iyi olduğunu ekledi. “SMS yoluyla geçici bir şifre göndermek şimdiye kadarki en iyi çözüm mü? Hayır. Sadece bir şifreden daha mı iyi?”