16Jul
Güvenlik uzmanları mümkün olan yerlerde çevrimiçi hesaplarınızı güvence altına almak için iki faktörlü kimlik doğrulamayı kullanmanızı önerir. Pek çok hizmet, SMS doğrulamasını varsayılan olarak kullanır; oturum açmaya çalıştığınızda kısa mesajla kodları telefonunuza gönderirsiniz. Fakat SMS mesajları bir çok güvenlik sorunu yaşar ve iki faktörlü kimlik doğrulama için en düşük güvenlikli seçenektir.
İlk İlk Şeyler: SMS, Hâlâ İki Faktör Kimlik Doğrulamadan Daha İyi!
Burada SMS ile ilgili davayı hazırlarken bir şeylerin netleşmesi önemlidir: SMS'i kullanmak iki faktörlü kimlik doğrulamayı kullanmaktan daha iyidir.
İki faktörlü kimlik doğrulamayı kullanmadığınızda, birisi hesabınıza girmek için yalnızca şifrenizin olması gerekir. SMS ile iki faktörlü kimlik doğrulamasını kullanırken, birisinin hesabınıza erişebilmesi için şifrenizi hem de metin mesajlarınıza erişmesi gerekir. SMS hiçbir şeyden çok daha güvenlidir.
SMS tek seçeneğiniz ise lütfen SMS kullanın. Bununla birlikte, güvenlik uzmanlarının neden SMS'den kaçınmalarını ve bunun yerine önerdiğimiz şeyleri öğrenmek isterseniz okuyun.
SIM Takasçıları Saldırganların Telefon Numaranıza Mektup Vermesine İzin Ver
İşte SMS doğrulamanın nasıl çalıştığı: Hizmetiniz oturum açmayı denediğinizde, daha önce verdikleri cep telefonu numarasına bir kısa mesaj gönderiyor. Telefonunuzda bu kodu edinin ve oturum açmak için girin. Bu kod yalnızca tek bir kullanım için iyidir.
Oldukça güvenli görünüyor. Sonuçta, yalnızca telefon numaranız var ve birinin kodu görmek için telefonunuz olması gerekir - doğru mu? Ne yazık ki hayır.
Birisi telefon numaranızı biliyor ve maalesef sosyal güvenlik numaranızın son dört basamağında olduğu gibi kişisel bilgilere erişebiliyor ise, bu, müşteri verilerinden sızan birçok kurum ve devlet kurumunun sayesinde kolay bulunabilir; sizinle iletişime geçebilirler.telefon şirketini seçin ve telefon numaranızı yeni bir telefona taşıyın. Bu bir "SIM takas" olarak bilinir ve yeni bir cihaz satın aldığınızda telefon numaranızı buraya taşıdığınızda gerçekleştirdiğiniz işlemdir. Kişi, sizin kişi olduğunuzu söyler, kişisel verileri sağlar ve cep telefonu şirketiniz telefon numaranızı telefonuyla kurar. Telefonlarında telefon numaranıza gönderilen SMS mesaj kodlarını alacaklar.
Bu olayı İngiltere'de, saldırganların bir mağdurun telefon numarasını çaldığı ve mağdurun banka hesabına erişmek için kullandığı raporlarını gördük. New York Eyaleti bu aldatmaca hakkında da uyarıda bulundu.
Özünde, bu, cep telefonu şirketinizi kandırmaya dayanan bir sosyal mühendislik saldırısı.Fakat cep telefonu şirketiniz öncelikle güvenlik kodlarına erişebilecek birini sunamamalıdır!
SMS Mesajları Birçok Yoldan Engellenebilir
SMS mesajlarında snoop yapmak da mümkündür. Baskıcı ülkelerdeki siyasi muhalifler ve gazeteciler, dikkatli olmayı isteyecekler, çünkü hükümet SMS mesajlarını telefon şebekesinden gönderdikleri için çalabilecek.İran korsanlarının, bu hesaplara erişimi sağlayan SMS mesajlarını engelleyerek birtakım Telgraf haberci hesaplarından ödül aldığı bildirilen İran'da durum böyle oldu.
Saldırganlar, dolaşımda kullanılan bağlantı sisteminde olan SS7'deki sorunları kötüye kullandılar ve SMS mesajlarını ağda kesip başka yere yönlendireceklerdi. Sahte cep telefonu kulelerinin kullanımı da dahil olmak üzere mesajların engellenebileceği diğer birçok yol vardır. SMS mesajları güvenlik için tasarlanmamıştı ve bunun için kullanılmamalıdır.
Diğer bir deyişle, kişisel bilgilerinizle sofistike bir saldırgan, çevrimiçi hesaplarınıza erişmek için telefon numaranızı çaldırabilir ve daha sonra bu hesapları kullanarak banka hesaplarınızı boşaltmaya çalışabilir. Bu nedenle Ulusal Standartlar ve Teknoloji Enstitüsü artık iki faktörlü kimlik doğrulama için SMS mesajlarının kullanılmasını önermemektedir.
Alternatif: Cihazınızda Kod Üretme
SMS'e güvenmeyen iki faktörlü bir kimlik doğrulama şeması üstün, çünkü cep telefonu şirketi kodunuza bir başkasına erişim hakkı veremez. Bunun için en popüler seçenek Google Şifrematik gibi bir uygulamadır. Bununla birlikte, Google Authenticator'ın yaptığı her şeyi yaptığından ve daha fazlası için Authy'yi öneririz.
Bunun gibi uygulamalar cihazınızda kod üretir. Bir saldırgan, cep telefonu şirketinizi telefon numaranıza taşımak için kandırmış olsa bile, güvenlik kodlarınızı alamazlar. Bu kodları üretmek için gereken veriler güvenli bir şekilde telefonunuzda kalır.
Kodları da kullanmak zorunda değilsiniz. Twitter, Google ve Microsoft gibi hizmetler, telefonunuzdaki uygulamalarında oturum açma yetkisi vererek başka bir cihazda oturum açmanıza izin veren uygulama tabanlı iki faktörlü kimlik doğrulamasını test ediyor.
Kullanabileceğiniz fiziksel donanım belirteçleri de vardır. Google ve Dropbox gibi büyük şirketler, U2F adlı donanım tabanlı iki faktörlü kimlik doğrulama belirteçleri için yeni bir standart oluşturmuşlardır. Bunların hepsi cep telefonu şirketinize ve eski telefon şebekesine dayanmaktan daha güvenlidir.
Mümkünse iki faktörlü kimlik doğrulaması için SMS'den kaçının. Hiçbir şeyden daha iyidir ve uygun görünüyor, ancak genellikle seçebileceğiniz en az güvenli iki faktörlü kimlik doğrulama şeması.
Ne yazık ki, bazı hizmetler sizi SMS kullanmaya zorlamaktadır. Bu konuda endişeleniyorsanız, Google Voice telefon numarası oluşturup SMS kimlik doğrulaması gerektiren hizmetlere verebilirsiniz. Ardından, daha güvenli bir iki faktörlü kimlik doğrulama yöntemi ile koruyabileceğiniz Google hesabınızda oturum açabilir ve Google Voice web sitesinde veya uygulamada güvenli mesajları görebilirsiniz. Google Voice'taki mesajları gerçek cep telefonu numaranıza iletmeyin.