İki faktörlü kimlik doğrulama için SMS kullanmak neden risklidir? SS7 açıkları ve SIM takas saldırıları hakkında bilmeniz gerekenler burada.
Hesabınız çalındığında genellikle ilk soru şu oluyor: “Ama ben doğrulama kodunu da açmıştım, nasıl oldu?“
Cevap çoğu zaman aynı yerde saklı. O kodu nasıl aldığınızda. SMS ile gelen bir doğrulama kodu, sizi koruyor gibi hissettiriyor. Ama arka planda dönen teknik gerçek çok daha az güven verici. İki faktörlü kimlik doğrulama için SMS kullanma alışkanlığı, milyonlarca insanı sahte bir güvenlik duygusunun içinde bırakıyor.
Bunu söylerken SMS’i tamamen işe yaramaz ilan etmiyorum. Hiç koruması olmayan bir hesaptan kesinlikle iyidir. Ama teknoloji dünyası artık çok farklı bir yerde ve SMS bu yarışta geride kalmaya devam ediyor. Sebebini anlamak için biraz daha içeri girmeniz gerekiyor.
İki faktörlü kimlik doğrulama nasıl açılır ve hangi yöntemleri kapsıyor. Bu soruyu soran kullanıcılar için e-Devlet üzerindeki kimlik doğrulama süreci ayrıca ele alınıyor. e-Devlet iki faktörlü kimlik doğrulama konusundaki rehbere göz atarak devlet platformlarında güvenli giriş ayarlarınızı nasıl yapılandıracağınızı adım adım görebilirsiniz.
İki Faktörlü Kimlik Doğrulama için SMS Kullanma Neden Bırakılmalı
İki faktörlü kimlik doğrulama (kısaca 2FA), bir hesaba giriş yaparken şifrenizin yanı sıra ikinci bir doğrulama adımı daha istenmesidir. Bu ikinci adım genellikle bir kod şeklinde gelir. Fikir sağlamdır. Şifreniz ele geçirilse bile, kodunuz olmadan hesabınıza girilemez.
Ancak o kodun nasıl iletildiği her şeyi değiştiriyor.
SS7: 1970’lerden Kalma Bir Altyapı
SMS mesajları, SS7 adıyla bilinen ve 1970’lerin sonunda geliştirilen bir iletim protokolü üzerinden çalışır. Bu protokol o dönemin koşullarına göre tasarlandı. Yani ağa erişimi olan herkesin güvenilir olduğu varsayımıyla. Kriptografik doğrulama yok uçtan uca şifreleme yok. Mesajlar düz metin olarak iletiliyor.
Bunu şöyle düşünün WhatsApp üzerinden gönderdiğiniz mesaj şifreli bir tünelden geçiyor. SMS ise açık bir koridordan yürüyor, üstünde ne yazdığı görünüyor.
SS7 altyapısına erişim sağlayan bir saldırgan ve bu kötü korunan bir operatör üzerinden mümkün. SMS içeriklerini okuyabilir, konum bilgisi elde edebilir ve mesajları yönlendirebilir. Buraya kadar teknik. Ama asıl tehdit çok daha sıradan bir yerden geliyor.
SIM Swapping: Sistemin Değil İnsanın Hacklenmesi
SIM takas saldırısı (SIM swapping) şu şekilde çalışıyor. Saldırgan, operatörünüzü arayarak sizi taklit ediyor. Doğru soruları yanıtlıyor, ikna edici bilgiler sunuyor ve telefon numaranızın kendi SIM kartına taşınmasını sağlıyor. Bundan sonra size gelen tüm SMS kodları artık onun telefonuna düşüyor.
Bu saldırı türünün artması tesadüf değil. Çünkü teknik bir açık değil, insanı hedef alıyor. Operatör çalışanını kandırmak, bazen birkaç doğru bilgi ve biraz sosyal mühendislik gerektiriyor. Sosyal medyada paylaştığınız bilgiler, veri ihlallerinden sızan kişisel veriler. Bunların hepsi bu saldırıyı besliyor.
Peki Ne Kullanmalısınız?
SMS’e gerçek bir alternatif arıyorsanız.
| Yöntem | Nasıl Çalışır | Güvenlik Seviyesi |
|---|---|---|
| Authenticator uygulaması | Google Authenticator, Authy gibi uygulamalar 30 saniyede bir kod üretir | Yüksek |
| Donanım anahtarı | YubiKey gibi fiziksel cihazlar | Çok yüksek |
| E-posta doğrulama | Güvenli e-posta hesabı üzerinden kod | Orta |
| SMS | Operatör altyapısına bağlı | Düşük |
Authenticator uygulamaları en erişilebilir başlangıç noktası. Kurulumu birkaç dakika alıyor, internet bağlantısı gerektirmiyor ve üretilen kodlar yalnızca o anki oturuma özgü. SS7 protokolünün açıklarından, SIM takas saldırısından etkilenmiyorlar.
İki Faktörlü Kimlik Doğrulama Kapatmak Çözüm mü?
Hayır. Bu soruyu çok sık görüyorum. İki faktörlü kimlik doğrulama kapatmak, sorunu çözmek değil, tek kalan kapıyı da açık bırakmaktır. Zayıf bir yöntemden daha iyi bir yönteme geçiş yapılması gerekiyor, doğrulamayı tamamen devre dışı bırakmak değil.
Ayarları değiştirirken teknik bir sorunla karşılaşmak nadir değil. Özellikle bazı platformlarda kod kabul etmiyor gibi görünen durumlar kullanıcıları kilitleme noktasına getirebiliyor. Bu tür sorunlar 11858 Teknoloji Destek Hattı’nın sıkça ilgilendiği konular arasında. 2011’den bu yana 500.000’i aşkın teknik soruna çözüm üreten bu destek hattı, 7/24 uzman kadrosuyla çalışıyor. Telefon, bilgisayar veya sosyal medya hesabı fark etmeksizin, uzaktan bağlantı gerektiren durumlarda TeamViewer ve AnyDesk gibi güvenilir yazılımlar kullanılıyor. Dakika bazlı ücretlendirme sistemi şeffaf biçimde işliyor ve görüşme başlamadan önce bilgilendirme yapılıyor.
Hesap doğrulama ayarlarınızı değiştirirken uygulama bazlı kod sorunlarıyla karşılaşanlar için Instagram iki faktörlü kimlik doğrulama kodu kabul etmiyor başlıklı içerik, platform özelinde yaşanan bu sorunları ve çözüm adımlarını ayrıntılı ele alıyor.
SMS’e olan bağlılık büyük ölçüde alışkanlıktan geliyor. Ama alışkanlık, güvenlik söz konusu olduğunda geçerli bir gerekçe değil. Telefon numaranız bir operatörün veri tabanında duruyor, SS7 altyapısı onlarca yıl önce tasarlandı ve sizi taklit etmek için bazen yalnızca birkaç kişisel bilgi yeterli. Bu koşullar altında SMS kodunu bir güvenlik katmanı saymak, kilitsiz bir kasaya para koymaya benziyor. Sizi korumaya almıyor, sadece güvende olduğunuzu hissettiriyor.
