İçeriğe atla
View in the app

A better way to browse. Learn more.
Tartışma ve Paylaşımların Merkezi - Türkçe Forum - Turkish Forum / Board / Blog

Ana ekranınızda anlık bildirimler, rozetler ve daha fazlasıyla tam ekran uygulama.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Lütfen İki Faktörlü Kimlik Doğrulama İçin SMS Kullanmayı Bırakın

Gönderen: Admin
- Cep Telefonu, Akıllı Telefonlar, Dijital Saatler, Gözlükler ve Tabletler

Featured Replies

Gönderi tarihi:
  • Admin

Lütfen İki Faktörlü Kimlik Doğrulama İçin SMS Kullanmayı Bırakın

SMS-for-two-factor-authentication.jpg

İki faktörlü kimlik doğrulama (2FA), çevrimiçi hesaplarınıza ekstra bir güvenlik katmanı eklemenin en iyi yollarından biridir. Bu gizli kod, birçok siber saldırı girişimini önler ve günümüzde birçok insanın bunu kullanması harika. Ancak, bu kodu nasıl aldığınız son derece önemlidir. Eğer benim gibi uzun zamandır SMS kullanıyorsanız, sizden büyük bir ricam var - lütfen bırakın.

İster Facebook, ister Amazon, ister PayPal olsun, çoğumuz iki faktörlü kimlik doğrulama için SMS kullanmayı tercih ediyoruz. Ancak SMS, sıfır güvenlik düşünülerek tasarlandı ve bu nedenle bu önemli kodu almanın en zayıf yöntemidir. SMS kodlarından farklı bir kimlik doğrulama faktörü bile seçebilirsiniz. Bunu konuşalım.

SMS, iki faktörlü kimlik doğrulama kodunuzu almanın en basit yoludur

Ancak basitlik, bir şeylerin eksik olduğu anlamına gelebilir

SMS'i tercih ettiğiniz 2FA yöntemi olarak kullanmanın cazibesini anlıyorum - eşsiz bir kolaylık. İndirilecek bir uygulama yok, yönetilecek ayar yok ve teknik bilgi gerekmiyor. Sadece telefon numaranızı veriyorsunuz ve kod her zaman yanınızda olan bir cihaza geliyor. İnternet bağlantısı gerektirmiyor ve eski, akıllı olmayan bir telefon bile SMS alabiliyor.

Rahatlığına, kullanışlılığına ve evrenselliğine rağmen, SMS'in bazı güvenlik açıkları var. Sizi gece uyutmayacak en büyük iki tanesini ele alalım.

SMS, eski bir iletim protokolü kullanıyor

SMS kullanmanın en büyük sorunu, altta yatan teknolojinin eski olmasıdır. 1970'lerin sonlarında ve 1980'lerde geliştirilen Sinyal Sistemi No. 7 (SS7) adlı eski bir iletim protokolü kullandığı için modern güvenlik ihtiyaçlarını karşılayamıyor. Erişimin sınırlı olduğu ve kullanan herkesin güvenilir olduğu bir dönemde geliştirildiği için istismar edilmesi daha kolay.

SS7'nin ana sorunu, kriptografik kimlik doğrulamasının olmamasıdır. Basitçe söylemek gerekirse, protokol, sinyal ağındaki herhangi bir mesajın meşru bir kaynaktan geldiğini varsayar; bu da, genellikle yetersiz güvenlikli bir operatör aracılığıyla erişim sağlayan bir bilgisayar korsanının, mesajları izleyen, taklit eden ve ele geçiren kötü amaçlı komutlar iletebileceği anlamına gelir.

Daha da kötüsü, SS7 protokolü, WhatsApp ve iMessage gibi uygulamalarda alışık olduğumuz uçtan uca şifrelemeden yoksundur. SMS mesajları düz metin olarak iletilir; bu da bilgisayar korsanlarının 2FA koduyla mesajları ele geçirebileceği ve şifrelenmedikleri için kolayca okuyabileceği anlamına gelir.

Mesajın içeriğini görmenin yanı sıra, bilgisayar korsanları meta verilere de erişebilir. Bu, mesajlara eklenmiş telefon numaraları, konum ve cihaz bilgileri gibi diğer bilgileri de görebilecekleri anlamına gelir.

SIM değiştirme giderek artan bir tehdittir.

Günümüzde, bilgisayar korsanlarının hesabınızı ele geçirmek için sinyal ağına erişim sağlamalarına bile gerek yok. Herhangi bir güvenlik zincirindeki en zayıf halkalardan birini -insanları- istismar edebilirler. Bilgisayar korsanları, operatörünüzü kandırarak telefon numaranızı kendi sahip oldukları bir SIM karta aktarmaları için kimlik avı yöntemini kullanabilirler. Sonrasında, size yönelik iki faktörlü kimlik doğrulama kodlarını alabilirler ve bu sayede hesaplarınıza erişebilirler.

SIM değiştirme ne kadar büyük bir tehdit? TransUnion raporuna göre, ABD'deki telekomünikasyon yöneticilerinin yaklaşık %27'si SIM değiştirmeyi telekomünikasyon dolandırıcılığında ortaya çıkan en büyük tehdit olarak görüyor. Ancak, SIM değiştirme aslında ikinci sırada yer alırken, sentetik kimlik dolandırıcılığı (%30) birinci, cihaz hırsızlığı (%20) ise üçüncü sırada yer alıyor.

SMS yerine iki faktörlü kimlik doğrulama için kullanabileceğiniz yöntemler

SMS dışında diğer kimlik doğrulama faktörleri

SMS ile ilgili, güvenlik açığından ziyade can sıkıcı bulduğum bir diğer sorun da, en çok ihtiyaç duyduğunuz anda sizi yarı yolda bırakabilmesidir. Farklı bir cihazdan Amazon hesabıma giriş yapmaya çalışırken, kodu SMS yoluyla göndermeye çalıştığımda hiç gelmediğini hatırlıyorum. Bazen kod yeniden gönderdikten sonra geliyor, ancak tekrarlanan başarısızlıkların ardından, SMS'in 2FA kodlarını almak için güvenilir olmadığına karar verdim. PayPal ve Payoneer ile de benzer sorunlar yaşadım.

İşte iki faktörlü kimlik doğrulama için SMS'e göre daha güvenli ve güvenilir alternatifler:

  • Kimlik doğrulama uygulamaları: Google Authenticator, Microsoft Authenticator, Authy veya TOTP (zamana dayalı tek kullanımlık şifre) üreten diğer kimlik doğrulama uygulamalarını kullanabilirsiniz. Bu, geçici, tek kullanımlık bir koddur; birçok popüler hesap, kimlik doğrulama uygulamalarını bunlara bağlamanıza izin verir. Bu uygulamalar kodu her 30 saniyede bir sıfırlar ve internet erişimi olmadan bile çalışır. Kodlar, ağ üzerinden gönderilmek yerine yerel olarak oluşturulduğu için güvenlidir.

  • Parola anahtarları: Ayrıca, cihazınızda (örneğin, telefon veya bilgisayar) saklanan dijital bir kimlik bilgisi gibi bir parola anahtarı da kullanabilirsiniz. Bir hesaba giriş yaparken, sunucu cihazınıza yerel olarak saklanan özel bir anahtar kullanarak imzalamanız için bir meydan okuma gönderir. İmzalandıktan sonra, sunucu imzayı genel bir anahtar kullanarak doğrular ve her şey yolunda gittiğinde size erişim sağlar. Bu nedenle, bilgisayar korsanı telefonunuzu fiziksel olarak çalmadığı ve güvenliği (örneğin, parola, parmak izi veya yüz tanıma) atlamadığı sürece, o hesaba giremez.

  • Güvenlik anahtarları: Bir USB belleği de güvenlik anahtarına dönüştürebilirsiniz (örneğin, YubiKey). Bu, parola anahtarıyla aynı şekilde çalışır, ancak doğrulama güvenlik anahtarıyla imzalanır. Yine, birinin hesaplarınızı hackleyebilmesi için güvenlik anahtarını fiziksel olarak ele geçirmesi gerekir. Anahtarı fiziksel olarak elde etmek çok risklidir, bu nedenle hackerlar büyük ölçüde uzaktan saldırılara güvenirler.

Elbette, bundan daha fazla yöntem var. Bunlar sadece kurulumu nispeten daha kolay olan ve SMS'ten çok daha fazla güvenlik sağlayan yöntemlerdir.

SMS yanlış bir güvenlik hissi verir

2FA için SMS kullanmak, insanların gerçekten korunduklarını düşünmelerine neden olarak onları rahatlatır. Çalışıyor ve bilmeleri gereken tek şey bu. Ancak, 1970'lerden beri gelişmemiş bir teknolojiye güvenmek büyük bir güvenlik riskidir. Tehditlerin hızla geliştiği dijital çağdayız ve bu eski teknolojinin güvenlik açıklarını daha da genişletiyoruz. Daha iyi bir şeye geçme zamanı geldi.

Kaynak: MUO

  • Alıntı

    • Katılın Görüşlerinizi Paylaşın

    Şu anda misafir olarak gönderiyorsunuz. Hesabınız varsa, hesabınızla gönderi paylaşmak için ŞİMDİ OTURUM AÇIN.
    Eğer üye değilseniz hemen KAYIT OLUN.
    Not: İletiniz gönderilmeden önce bir Moderatör kontrolünden geçirilecektir.

    Misafir
    Maalesef göndermek istediğiniz içerik izin vermediğimiz terimler içeriyor. Aşağıda belirginleştirdiğimiz terimleri lütfen tekrar düzenleyerek gönderiniz.
    Bu başlığa cevap yaz
    Başlık Listesine Dön

    Önemli Bilgiler

    Bu siteyi kullanmaya başladığınız anda kuralları kabul ediyorsunuz Kullanım Koşulu.

    Kabul Ediyorum

    Account

    Navigation

    Tarayıcı push bildirimlerini yapılandırın
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.