Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), SMS tabanlı tek kullanımlık parolaların (OTP) iki faktörlü kimlik doğrulama yöntemi olarak kullanılmaması gerektiğini 3.5 yıl önce tavsiye etmişti. Ancak, bu yöntem hâlâ kullanılmaya devam ediyor. SMS tabanlı OTP'lerin kullanımı, çeşitli türdeki saldırılara karşı kullanıcıları savunmasız bırakabilir.
NIST'e göre, "şu anda, telekomünikasyon ve Kısa Mesaj Servisi (SMS) tabanlı tek kullanımlık şifreler (OTP) kullanan kimlik doğrulayıcılar sınırlıdır."
Bu sınırlamanın nedeni, bu kimlik doğrulama yönteminin üç ana riskle ilişkili olmasıdır:
SIM Swap Saldırıları: Bu tür saldırılar, bir saldırganın kullanıcının telefon numarasını, saldırganın sahip olduğu bir SIM karta taşıması için telefon operatörünü kandırmasıyla gerçekleşir. Bu durumda, kullanıcının telefon numarasına gönderilen OTP'ler doğrudan saldırgana gider. Kullanıcı olarak, SIM Swap saldırılarına karşı korunmak oldukça zordur.
Kötü Amaçlı Uygulamalar: SMS OTP'ler, kullanıcının telefonuna güvenli bir şekilde ulaşsa bile, kötü amaçlı bir uygulama bu OTP'yi sessizce başka bir yere gönderebilir veya silebilir. Kullanıcı, bu tür uygulamaların varlığından habersiz olabilir.
SS7 Güvenlik Açıkları: Mobil telefon ağlarında kullanılan en gelişmiş şifreleme yöntemlerine rağmen, Signaling System (SS7) üzerindeki güvenlik açıkları, SMS OTP'lerin okunmasına olanak tanıyabilir.
Bu risklere rağmen, iki faktörlü kimlik doğrulamanın kullanımı hala önemlidir. SMS tabanlı OTP'lere güvenmeden güvenli bir kimlik doğrulama sağlamak için, Securify Identity mobil uygulamasını telefonunuza ücretsiz olarak indirmenizi öneriyoruz.
Comments