SMS Doğrulaması Güvenli Değil

Sms tabanlı iki faktörlü doğrulamanın (2FA) güvenli olmadığı ilan edildi. Yerine başka bir şey bulunur bulunmaz geçmişte kalacak!

2FA sistemi güvenlik için ayrı bir katman olarak kullanılıyor. Kullanıcı hesabına girebilmek için şifresini girdikten sonra telefonuna SMS veya arama yoluyla gelen kodu girmesi gerekiyor. Mesela eğer Google hesabınızda 2FA sistemini aktif ederseniz, hesabınıza giriş yaparken şifrenizden sonra, telefonunuza gönderilen 6 haneli kodu girmeniz istenecektir.

Fakat ABD Teknoloji Standartları Enstitüsü (NIST) yeni bir taslağını yayımladığı Dijital Doğrulama Rehberinde 2FA sisteminin güvenli olmadığını ve gelecekte yasaklanması gerektiğini belirtti. İlgili paragraf şöyle;

“Eğer ikinci katman güvenlik önlemi olarak SMS kullanılacaksa, doğrulamayı yapan yer önceden girilmiş telefon numarasının bir mobil ağı üzerinde olduğunu, yani herhangi bir VoIP veya yazılım bazlı servis üzerinden çalışmadığını da doğrulaması gerek. Bu doğrulamadan sonra doğrulama kodu SMS olarak yollanabilir. Var olan kayıtlı telefon numarasının değişmesi de iki katmanlı güvenlik önlemi olmadan gerçekleşememeli. SMS doğrulamalı güvenlik katmanı bu rehberin daha sonra çıkacak versiyonlarında yasaklanmış olacaktır.”

Veri ihlallerindeki artış dolayısıyla, iki katmanlı güvenlik günümüzde bir standart haline geldi. İnternet üzerindeki çoğu servis, kullanıcılarına SMS tabanlı 2FA sunuyor. Onların düşüncelerine göre, 2FA sayesinde saldırganların önünü kısmen kesmiş oluyorlar. Saldırgan hesabı ele geçirmek istediğinde hem hesabın şifresini, hem SMS ile gelen kodu bilmeli, dolayısıyla kullanıcının cep telefonuna ulaşmalı.

NIST’e göre, SMS tabanlı doğrulama güvenli değil, çünkü herhangi birinin bir telefonu ele geçirmesi çok zor değil. Telefonu kimin kullandığı ise doğrulanamaz, dolayısıyla kod içeren SMS’i kimin okuduğu bilinemez. Ayrıca 2FA, eğer VoIP servisi üzerinden kullanılıyorsa hijacking açığı da içeriyor.

Ayrıca bazı cihazlar gelen 2FA kod SMS’lerini kilit ekranında da görüntülüyor. Yani telefonu ele geçiren kişi telefonun ekran kilidini açamasa bile gelen kodu görüntüleyebiliyor.

Biyometrik Doğrulama Öneriliyor!

Yayımlanan Dijital Doğrulama Rehberi, 2 katmanlı doğrulamanın güvenli bir uygulama ile veya biyometrik olarak yapılmasını öneriyor.

“Biyometrik doğrulama başka doğrulama yöntemleriyle de desteklenmelidir.”

Bunlara ek olarak, Facebook veya Google gibi firmalar uygulama içi kod üreten sistemler kullanıyor. Bu uygulama herhangi bir SMS veya ağ taşıyıcısı ile bağlantılı değil.

Google’ın geçen ay çıkardığı Google Prompt metodu kullanıcının telefonuna dokunması ile doğrulama sağlıyor. Buda herhangi bir SMS veya kod gerektirmeden kolay ve hızlı bir şekilde doğrulama yaptırıyor.

Kaynak: thehackernews.com