İki aşamalı güvenlik sistemleri arasında yaygın olarak kullanılan SMS şifresi ile kimlik doğrulama, bir çok kullanıcının hesaplarını güvence altına almasını sağlıyor. Örneğin; “Giriş doğrulaması” seçeneği aktif olan bir Twitter hesabına giriş yapmak için önce mevcut şifreyi girmek daha sonra da cep telefonuna SMS ile gelen ve her seferinde değişen şifreyi girmek gerekiyor. 

Ünlüleri Hackleyen Adam Hüküm Giydi!

Başta bankalar olmak üzere; Twitter, Facebook, Apple, Sony ve Google gibi firmalar çift aşamalı güvenlik için anlık olarak değişen SMS şifresini tercih ediyor. Ancak bu yöntemden yakın zamanda vazgeçilebilir. ABD Ulusal Teknoloji ve Standartlar Enstitüsü‘nün (NIST) yayınladığı “Dijital Kimlik Doğrulama Kılavuzu” belgesinde; firmalara SMS şifresinden vazgeçmeleri öneriliyor. Peki, neden?

NIST, çift aşamalı kimlik doğrulamada SMS şifresini güvenli görmüyor. Güvenli görünmediği gibi bu sistemde bazı açıkların da olduğu dile getiriliyor. NIST‘e göre kullanıcıların SMS mesajları farklı numaralara yönlendirilip anlık şifreler ele geçirilebiliyor. Kurumun önerisi ise çift aşamalı doğrulama için SMS servisi kullanacak olanların; bulut tabanlı bir telefon numarası kullanması yönünde.

Bu açıklamalardan sonra NIST‘in SMS şifresi olayına biraz paranoyak yaklaştığını düşünebiliriz. Ancak NIST’in bu önerilerini dikkate alan kullanıcılarımız için bazı firmaların farklı çift aşamalı doğrulama yöntemleri sunduğunu hatırlatalım.

Örneğin; Facebook çift aşamalı doğrulama için kodmatik kullanıyor. Bir PC’den Facebook’a gireceğiniz zaman, mobil cihazınızda açık olan Facebook hesabınıza anlık bir kod gönderiliyor. FB uygulamasındaki bu kodu PC’ye girerek hesaba giriş yapabiliyorsunuz. 

Bir başka yöntem ise Apple tarafında. Apple ID‘nize farklı bir cihazdan giriş yapmak istediğiniz zaman hesaba kayıtlı olan iPhone ve iPad cihazınıza anlık bir kod gönderiliyor. Yine bu kodu girerek farklı cihazlardan Apple ID’nize ulaşabiliyorsunuz.

Aynı durum Google için de geçerli. Google Authenticator uygulaması ile mobil cihazlarınızdan anlık kod oluşturup Google hesabınıza giriş yapabilirsiniz.

:: SMS şifresi sizce güvenlik için yeterli bir çözüm mü?