İki faktörlü kimlik doğrulama için SMS kullanmayı bırakmalısınız

Son güncelleme tarihi: 28 Ocak 2019

İki faktörlü kimlik doğrulama için SMS kullanmayı bırakmalısınız

İki faktörlü kimlik doğrulama hesapların güvenliğiyle ilgilenen internet hizmetleri için norm haline geldiğinden beri şifreniz 8$&]$@I)9[P&4^s gibi güçlü ya da dadada kadar saçma olsa bile ekstra güvenlik katmanı olmaya başladı. Birçok kullanıcının üretilen veya telefona şifre dışında gönderilen kod kullandığı iki faktörlü kurulum yenilemez bir büyü değil. Özellikle de eğer ikinci faktör kısa mesajla gönderiliyorsa.

Son birkaç ay, SMS kısa mesajların genellikle iki aşamalı girişin en zayıf halkası olduğunu gösterdi: İran, Rusya ve hatta ABD’deki saldırılar, saldırganların bazen sizi güvende tutulması gereken SMS mesajlarını ele geçirdiğini gösterdi. Mümkün olan tüm durumlarda, akıllı telefon uygulamasıyla kimlik doğrulama ya da tek kullanımlık kodların oluşturduğu fiziksel tokenler gibi daha iyi bir sisteme geçmek gerekebilir. Sadece SMS üzerinden ikinci faktör koruması sağlayan Twitter gibi hizmetler için uyanma, hedefli saldırıları fark etme ve daha iyi seçeneklere geçme vakti geldi.1

Güvenlik araştırmacısı ve adil tıp uzmanı Jonathan Zdziarski, “SMS bunu yapmanın en iyi değil,” diyor. “Kimlik doğrulama için mobil cihazınıza bağlı kalmak, sosyal olarak tasarlanan kontrolsüzlük olabilir.”

Bu tür tasarım, iki yüzlülükten daha fazlası. Bu ayın başında Black Lives Matter aktivisti DeRay McKesson, iki faktörlü kimlik doğrulama kullanmasına rağmen Twitter hesabının saldırıya uğrayarak Donald Trump’ı destekleyen mesajlar atıldığını fark etti. Saldırganlar Verizon’u arayıp, onun yerine geçerek şirketin kısa mesajları farklı bir SIM karta yönlendirmesini sağlamış. Böylece tek kullanımlık giriş kodlarını ele geçirmişler. İran ve Rusya’daki aktivistler ise Telegram hesaplarının, büyük ihtimalle hükümetlere yardım eden devlete ait telekom şirketleri tarafından ele geçirildiğini fark etti.

Aslında hedef olmak için ünlü biri olmaya gerek yok. Şifre güvenli uzmanı Lorrie Cranor da benzer bir saldırı yaşadı. Bu “SIM değiştirme” saldırılarının New York Eyaletinin resmi uyarı yayınlamasına yol açacak kadar yaygınlaştığını söyledi.

Giriş sürecine ek SMS doğrulaması katmanı eklemek sadece şifreyle giriş yapmaktan daha iyi. Ancak Zdziarski, SMS kısa mesajlarıyla yapılan iki faktörlü kimlik doğrulamanın aslında iki faktörlü olmadığını öne sürüyor. İfadesine göre iki faktörlü kimlik doğrulama kişinin kimliğini bildiği bir şeye (şifre) ve sahip olduğu bir şeye (telefon veya başka bir cihaz) fikrine dayanıyor. Google Kimlik Doğrulama veya RSA tokeni gibi araçlar, web hizmeti sunucularında üretilen kodla cihazdaki benzersiz kodu eşleştirerek bunu sağlıyor. Kripto işlemleri sayesinde iki bilgisayar arasında iletişimi içermeyen bir test. Bu işlem, kişinin telefonuna tek kullanımlık kod içeren kısa mesaj göndermekten daha etkili. Ancak daha zor olduğu için çok yaygın değil.

Zdiziarski’ye göre, “SMS sahip olduğunuz bir şeyden size gönderilen bir şeye dönüştü”. “Eğer işlem oluyorsa, araya girilebilir. Be bu da risk altında olduğunuz anlamına gelir.”

Sosyal mühendislik veya güçlü telefon şirketleri gibi taktikler, iki faktörlü kimlik doğrulamanın SMS savunmasızlığının bir parçası. IMSI yakalayıcı veya “vatoz” olarak bilinen sahne baz istasyonları da kısa mesajlara müdahale edebilir. Güvenlik toplulukları da telekom ağlarının birbiriyle haberleşmesine izin veren SS7 protokolünün zayıflıklarına dikkat çekti. Saldırganlar kullanıcının telefon numarasını değiştirmek, aramalara veya kısa mesajlara müdahale etmek için SS7’den faydalanabilir. Saldırıyı 60 Dakika için gösteren Güvenlik Araştırmaları Laboratuvarı baş bilim insanı Karsten Nohl’a göre, “herhangi bir ağ diğer ağa “sizin üyeniz burada” diyebilir ve telefon aksini söyleyen kadar tüm aramalar ve kısa mesajlar diğer ağa yönlendirilir”. “Eğer saldırgan varsa tüm kısa mesajlarınızı alabilir. Tamamen güvene dayanıyor…O kadar basit ki buna saldırı demek utanç verici.”

Aslında bu saldırıları yapmak çok da kolay değil ve saldırganların çaldıkları şifreye ek olarak saldırılan başka bir hizmetten elde edilen verileri veya kullanıcının telefon numarasını tahmin etmesi gerekiyor. Detaycı saldırganların hedefinde olan kişiler için tüm bu yöntemler, SMS’in giriş süreçlerinde kullanılmaması anlamına geliyor.

Şanslıyız ki daha iyi birçok seçenek var. Google geçen hafta, Android telefonlara veya iOS için Google Search uygulamasına doğrudan sunuculardan iki faktörlü giriş gönderdiği Google Prompt hizmetini sundu. Ancak daha da güvenli olan sistemler, mesaja ihtiyaç duymayanlar. Google Kimlik Doğrulama ve RSA tarafından satılan tokenler gibi uygulamalar, her birkaç saniyede bir değişen tek kullanımlık şifre üretiyor. Aynı kodlar Slack, WordPress veya Gmail sunucularında oluşturuluyor. Böylece kullanıcılar, internet üzerinden göndermeden kodlarını doğrulayabiliyor. (Sistemin matematiği oldukça zekice: Kullanıcı hizmete giriş yaptığında Google Kimlik Doğrulama uygulaması ve sunucu, “hash” (karıştırma – geri alınamayan matematik fonksiyonu) içeren uzun ve benzersiz karakter dizilerine dönüşen tohum değerleriyle başlıyor. Daha sonra karakter dizileri tekrar karıştırılıyor ve sonuçlar her birkaç saniyede bir yeniden karıştırılıyor. Giriş kodu olarak bu karakterlerin sadece birkaç basamağı gösteriliyor. Böylece kullanıcının telefonuna bakanlar kendi hash zincirini başlatamıyor.)

Maalesef Twitter gibi bazı hizmetler hala SMS temelli iki faktörlü kimlik doğrulama kullanıyor. (Aslında Twitter, Twitter akıllı telefon uygulamasında bildirimleri açma seçeneği sundu. Bu seçenek, kullanıcıların – ya da saldırganların – her girişte SMS kodu almayı seçmesini içeriyor.) DeRay McKesson’ın hesabının saldırıya uğraması gibi utançların etkileri oldu. Twitter WIRED’a yaptığı açıklamada, “hesapların daha güvenli olmasını sağlamak için ek yöntemler araştırıyoruz,” dedi. Diğer bir deyişle hassas bilgilerini saklayan diğer hizmetler gibi Twitter da yakın zamanda SMS yerine başka iki-faktör seçeneği sunacak. Güvenliğe önem veren kullanıcıların bunu kullanması gerekiyor.


Bu içerik, Wired web sitesinde yayınlanan “So Hey, You Should Stop Using Texts for Two-Factor Authentication” içeriğinin Türkçe çevirisidir. Orijinal içerikteki bazı bölümler, yerelleştirme amacıyla dışarıda bırakılmış olabilir.