2FA: SMS neden iyilerin en kötüsü?

Yayınlanma yazan David Carrero

SMS ile ikinci faktörü açmak bugün alabileceğiniz en iyi kararlardan biri. Aynı zamanda ilk gözden geçirmeniz gereken karar.

İkisi de aynı anda doğru ve işin bütün zorluğu tam olarak burada. Tartışma genelde birbirinden farksız iki hatalı kampa savruluyor: SMS’i gerçek güvenlik sanan da var, tiyatro sayan da. SMS hiçbir şeyden çok çok daha iyidir ve aynı anda yaygın kullanılan ikinci faktörlerin en zayıfıdır. Ortada çelişki yok. Bir merdiven var ve SMS onun ilk basamağı; yerden epeyce yukarıda.

SMS’in iyi yaptığı şey

İkinci faktör yoksa hesabınız, siz farkında bile olmadan yıllardır bir sızıntı dökümünde dolaşıyor olabilecek tek bir sırra bağlıdır. Biri o listeyi alır, servis servis dener ve şifreyi tekrar kullandıysanız içeri girer. Sizi seçmiş değildir: bir tabloda sizin satırınız denk gelmiştir.

SMS bunu kökünden koparır. Ortada bir ikinci faktör olduğu anda size saldırmak otomatik bir işlem olmaktan çıkar, size yönelik bir mesai hâline gelir. Kim olduğunuzu, hangi numarayı kullandığınızı ve o numarayı kimden aldığınızı bilmek gerekir. Çoğu için bu zahmete değmez: daha kolay hesaplar var. Bu yüzden bir servis yalnızca SMS sunuyorsa cevap evettir, kayıtsız şartsız. Kayıtlar şartlar sonra gelir.

Arıza telefonunuzda değil

İnsan SMS’i kırmayı dalga dinlemek, çip klonlamak ya da telefona bulaşmak sanır. Hiçbirine gerek yok. Hesapları gerçekten götüren ve kamuya yansıyan olaylarda tekrar tekrar karşımıza çıkan saldırı SIM swapping’dir ve çok daha sıkıcı bir şeyden ibarettir: biri operatörünüzü arar, SIM’ini kaybettiğini söyler, birkaç doğrulama sorusunu yanıtlar ve yeni bir kart ister. O andan itibaren SMS’leriniz ona gider.

Burada olmayan şeye dikkat edin. Hiçbir şifreleme kırılmadı. Telefonunuza dokunulmadı. Siz de yanlış bir şey yapmadınız; hatta haberiniz bile olmadı, tabii hattınızın bir anda susmasını saymazsak. O da uyuyorsanız dikkatinizi çekmesi biraz zaman alabilir. SIM swapping size karşı teknik bir saldırı değil: operatörünüze karşı sosyal mühendisliktir. Kopan halka, arızayı hızlı kapatmak için maaş alan ve az önce kendisine son derece inandırıcı bir hikâye anlatılmış bir müşteri hizmetleri çalışanıdır; çünkü SIM kaybetmek insanların her gün başına gelen bir şeydir. Vakalar geniş biçimde belgelenmiştir ve örüntü artık kimseyi şaşırtmayacak bir tekdüzelikle tekrar eder.

Rahatsız edici olan şu: orada sizin hiçbir dahliniz yok. Güvenliğiniz, bu iş için seçmediğiniz bir şirketin doğrulama sürecine bağlı. Ve daha sessiz bir kusur daha var: telefon numaranız bir sır değil. Onu dişçiye de verdiniz, elektrik şirketine de, kargo kuryesine de, rehberin yarısına da. Gönül rahatlığıyla dağıttığınız bir kimlik, burada kimlik bilgisi rolü oynuyor.

İkinci basamak: bir uygulama

Bir sonraki basamak TOTP: Google’ınki, Aegis, 1Password ya da Bitwarden gibi uygulamalarda otuz saniyede bir dönen altı haneli kodlar.

Mekanizma zarif: servis ile uygulamanız kurulum sırasında bir kez bir sır paylaşır, o andan itibaren ikisi de aynı kodu o sır ile saatten hesaplar. Hiçbir şey gönderilmez. Bütün fark da orada: hiçbir şey yola çıkmıyorsa, yolundan çevrilecek bir şey de yoktur. Operatör yok, numara yok, arayıp yeni kart isteyeceğiniz kimse yok. SIM swapping’in gireceği bir kapı kalmıyor.

Büyük bir sıçrama ve beş dakika sürüyor. Ama son durak da değil, çünkü TOTP çok insani bir kör noktayı koruyor: kodu isteyene bizzat siz yazıyorsunuz. Bankanıza benzeyen ama o olmayan bir sayfaya kod giriyorsanız, saldırgan kodu alır ve ömründen kalan saniyeler içinde gerçek siteye iletir. Uygulamanız bir sayı üretir; onu nereye yapıştırdığınızı bilmez.

Kandırılmayan basamak

Fiziksel anahtar — FIDO/U2F standardı, bir USB ya da NFC anahtarı, hatta kimlik doğrulayıcı olarak telefonunuzun kendisi — tam olarak bunu çözer. Kayıt sırasında origin’e, yani o servisin somut alan adına bağlı bir anahtar çifti üretir. Girişte tarayıcı imzanın hangi alan adı için istendiğini söyler, anahtar da içinde o alan adını taşıyan bir meydan okumayı imzalar. Sayfa başka bir yerde barındırılan bir kopyaysa alan adı tutmaz ve gerçek servisin kabul edeceği bir imza çıkmaz.

Başka bir deyişle: anahtar sizden akıllı değil; sadece sizin muhakemenize güvenmiyor. Kilit simgesine bakmaz, adres çubuğunu okumaz, e-postanın meşru görünüp görünmediğini tartmaz. Bir metin dizisini bir başkasıyla karşılaştırır. Güzel bir hikâyeyle ikna edilemeyen tek halka odur — ve bu noktada güzel hikâyelerin sorunun ta kendisi olduğunu çoktan fark etmişsinizdir.

“Kısıtlı”, “yasak” demek değildir

NIST, SP 800-63B belgesinde telefon şebekesi üzerinden bant dışı doğrulamayı — yani SMS’i — kısıtlı olarak sınıflandırır. Kelimenin üzerinde durmaya değer, çünkü bütün yazı o nüansta. Kısıtlı, yasak değildir: kasıtlı olarak seçilmiş bir ara kategoridir. Kullanmaya devam edilebilir, ama kullanan yükümlülük altına girer: riski değerlendirmek, kullanıcılara bu kanalın bilinen bir zayıflığı olduğunu bildirmek ve daha iyisine geçiş için bir plan tutmak.

Bu, düz bir vetodan daha akıllıca bir duruş ve SMS’in neden hâlâ ayakta olduğunu açıklıyor. İnsanların kullandığı vasat bir mekanizma, kimsenin açmadığı mükemmel bir mekanizmadan daha çok korur. Yarın her yerde yasaklansa o hesapların büyük bölümü bir basamak yukarı çıkmaz: yalnızca şifreyle kalır, yani yerde.

Sırasıyla ne yapmalı

  • Bir servis yalnızca SMS sunuyorsa açın. Bugün. En çok yükseklik kazandıran basamak ilk basamaktır.
  • TOTP sunuyorsa TOTP’ye geçin ve izin veriyorsa SMS’i yedek olarak kaldırın. Güvenliğiniz, kabul ettiğiniz en zayıf yöntem kadardır; çünkü nereden gireceğini saldırgan seçer.
  • Gerçekten önemli olanlarda — e-posta, banka, şifre yöneticisi — fiziksel anahtar kullanın. Hayatınızdaki bütün “şifremi unuttum” bağlantıları e-postanızdan sarkar.
  • Operatörünüz PIN ya da numara taşıma kilidi sunuyorsa koyun. Meselenin özünü çözmez, ama arayanın işini zorlaştırır.
  • Ve birinci faktörü unutmayın. 2FA ikinci bir kilittir, birincisi için af değil: uzun, benzersiz ve üreticiden çıkmış bir şifre kullanın; hâlihazırda kullandıklarınızdan şüpheniz varsa kontrol aracından geçirin.

Sonuç sıkıcı ve zaten bu yüzden neredeyse kimse söylemiyor: SMS kötüdür ve başka bir şeyiniz yoksa onu kullanmalısınız. Gerçek güvenlik hemen hiçbir zaman kusursuz seçeneği seçmek değildir; iyilerin en kötüsünün hangisi olduğunu bilmek, gerektiği sürece onu kullanmak ve onu asla iş bitti sanmakla karıştırmamaktır.


Kaynaklar: NIST SP 800-63B — kamusal telefon şebekesi üzerinden bant dışı doğrulamayı (SMS veya sesli arama) kısıtlı yöntem olarak sınıflandırır; bu kategorinin getirdiği risk değerlendirmesi, kullanıcıları bilgilendirme ve geçiş planı yükümlülükleriyle birlikte · FIDO/U2F ve WebAuthn spesifikasyonları ve imza anında origin (alan adı) doğrulaması · RFC 6238 (TOTP) · basında ve yargı süreçlerinde geniş biçimde belgelenmiş kamuya açık SIM swapping vakaları.

← Bloga dön