Hiç banka hesabınıza veya e-postanıza giriş yaparken bir kod içeren bir kısa mesaj aldınız mı? Bu, SMS kimlik doğrulamasının iş başındaki bir örneğidir. Kimliğinizi doğrulamak için telefonunuza kısa mesaj yoluyla tek seferlik bir şifre (OTP) gönderen basit bir güvenlik önlemidir.
Siber topluma ve güvenliğe yönelik tehditlerin artmasıyla birlikte, işletmeler ve bireyler ekstra bir güvenlik katmanı sağlamak için uzun süredir SMS kimlik doğrulamasına güveniyor. Ancak bu gerçekten en iyi seçenek mi? Bu blogda, SMS kimlik doğrulamasının nasıl çalıştığını, artılarını ve eksilerini ve var olan güvenlik geçirmez alternatifleri tartışacağız.
SMS Kimlik Doğrulama Nedir?
SMS kimlik doğrulaması, kayıtlı telefon numarasına kısa mesaj yoluyla tek seferlik bir şifre göndererek kullanıcının kimliğini doğrulayan bir güvenlik sürecidir. SMS kimlik doğrulama numarası olarak bilinen bu kod, hesaba erişmeye çalışan kişinin kayıtlı telefon numarasına sahip olduğunu kanıtlamak için bir oturum açma formuna girilir.
Bu işlem genellikle çeşitli çevrimiçi hizmetlerde kullanılır, örneğin:
- Bankacılık uygulamaları (işlemleri veya girişleri onaylamak için)
- E-posta hizmetleri (Gmail ve Outlook gibi)
- E-ticaret platformları (müşteri hesaplarını korumak için)
- Sosyal medya hesapları (Facebook, Instagram, Twitter, vb.)
SMS kimlik doğrulaması, iki faktörlü kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulamada (MFA) önemli bir rol oynar.
- İki Faktörlü Kimlik Doğrulama (2FA): İki faktörlü kimlik doğrulama SMS, oturum açmanıza izin vermek için parolanın yanı sıra kimlik doğrulaması için SMS kodunun kullanılmasını zorunlu kılar. Bir bilgisayar korsanı birinin şifresini çalmış olsa bile, SMS kodu olmadan hesaba giriş yapmak imkansız hale gelir.
- Çok faktörlü kimlik doğrulama (MFA) parmak izi, yüz taraması veya güvenlik anahtarı gibi birden fazla doğrulama faktörü ekleyerek 2FA kavramını genişletir. Bu, yasa dışı erişimin gerçekleşmesini daha da zorlaştırır.
Kısa mesajla kimlik doğrulama süreci sayesinde kuruluşlar şifre kırma ya da zayıf şifrelerin güvenlik ihlallerine yol açma olasılığını önemli ölçüde azaltabilmişlerdir. Bununla birlikte, ilerleyen bölümlerde tartışılacağı üzere, metodolojinin eksiklikleri de yok değildir.
SMS Kimlik Doğrulama Nasıl Çalışır?
SMS kimlik doğrulama süreci basit ama etkili bir yapı izler:
Adım 1: Kullanıcı giriş denemesi: Bir kullanıcı oturum açmaya çalıştığında, sistem hesabının SMS kimlik doğrulaması gerektirip gerektirmediğini kontrol eder.
Adım 2: SMS Kodunun Gönderilmesi: Bir OTP oluşturulur ve oturum açma veya işlemler için telefonunuza metin yoluyla gönderilir. Bu kod benzersizdir ve yalnızca kısa bir süre için geçerlidir.
Adım 3: Kullanıcı Kodu Girer: Kodu telefonunuza aldıktan sonra, web sitesinde veya uygulamada gerekli alana girersiniz.
Adım 4: Doğrulama Süreci: Doğru kodu girerseniz erişim izni verilir. Değilse, yeni bir kod talep etmeniz gerekir.
Bu yöntem, yalnızca kayıtlı telefon numarasına erişimi olan kişilerin oturum açabilmesini sağlar, ancak bazı bilgisayar korsanları bu güvenlik önlemini atlamanın yollarını geliştirmiştir.
Ayrıca Okuyun: Metin Mesajlarınızın Gönderilmemesinin Nedenleri (ve Nasıl Düzeltilir)SMS Kimlik Doğrulama Kodları - Tek Kullanımlık Şifre Türleri (OTP'ler)
Tek seferlik parolalar metin kimlik doğrulamasının merkezinde yer alır. Bu parolalar, oturum açma veya işlemler sırasında bir kullanıcının kimliğini doğrulamak için kullanılan geçici kodlardır. OTP'ler, tekrar kullanılabilen statik bir parolaya güvenmek yerine, her oturum açma denemesinin yeni bir kod gerektirmesini sağlar.
Kimlik doğrulama SMS'lerinde kullanılan iki temel OTP türü vardır:
1. Zaman Tabanlı Tek Kullanımlık Şifre (TOTP)
Zaman Tabanlı Tek Kullanımlık Şifre (TOTP), genellikle 30 ila 60 saniye gibi kısa bir süre sonra sona eren bir OTP'dir. Kullanıcı bu süre içinde kodu girmezse, kod geçersiz hale gelir ve yeni bir kod talep etmesi gerekir.
TOTP Nasıl Çalışır?
Adım 1: Kullanıcı bir hesapta oturum açmaya çalışır.
Adım 2: Sistem rastgele 6 veya 8 basamaklı bir kod üretir.
3. Adım Kod, SMS kimlik doğrulama numarası aracılığıyla kullanıcının telefonuna gönderilir.
Adım 4: Kullanıcı kodu geçerli zaman dilimi içinde (30-60 saniye) girer.
5. Adım: Doğru girilirse, sistem erişim izni verir.
TOTP Neden Kullanılıyor?
- Saldırganların çalınan veya ele geçirilen OTP'leri yeniden kullanmasını önler.
- Kodların süresi çabuk dolduğu için kaba kuvvet saldırıları riskini azaltır.
- Her OTP'nin kısa ömürlü olmasını sağlayarak güvenliği artırır.
İş Başında TOTP Örneği:
Online bankacılık hesabınıza giriş yaptığınızı düşünün. Şifrenizi giriyorsunuz ve banka 30 saniye içinde sona erecek bir kısa mesaj kimlik doğrulama kodu gönderiyor. Hızlıca telefonunuzu kontrol ediyor, kodu giriyor ve hesabınıza erişiyorsunuz. Çok uzun süre beklerseniz kod çalışmaz ve yeni bir kod almanız gerekir.
2. Hash Tabanlı Tek Kullanımlık Şifre (HOTP)
Karma Tabanlı Tek Kullanımlık Parola (HOTP) başka bir OTP türüdür, ancak TOTP'den farklı olarak sabit bir sona erme süresi yoktur. Bunun yerine, kullanılana kadar geçerli kalır.
HOTP Nasıl Çalışır?
Adım 1: Sistem, matematiksel bir algoritmaya dayalı olarak benzersiz bir OTP üretir.
Adım 2: Kod kullanıcıya SMS doğrulaması ile gönderilir.
Adım 3: Kullanıcı oturum açma sırasında OTP'yi girer.
Adım 4: OTP girildikten sonra kullanılmış olarak işaretlenir ve tekrar kullanılamaz.
HOTP Neden Kullanılır?
- Kullanıcıların hemen SMS alamayabileceği durumlar için idealdir.
- Ağ bağlantısının zayıf olduğu bölgelerde iyi çalışır.
- OTP kullanılana kadar geçerli kaldığı için zamana duyarlı sorunları önler.
HOTP Uygulamasına Örnek:
Kurumsal e-posta hesabınıza giriş yapıyorsunuz ve sistem telefonunuza bir metin kimlik doğrulama kodu gönderiyor. Dikkatiniz dağılıyor ve kodu hemen girmiyorsunuz. Neyse ki HOTP'ın süresi zamana bağlı olarak dolmadığından, birkaç dakika sonra bile aynı kodu girebilirsiniz. Ancak, bir kez kullanıldıktan sonra tekrar kullanılamaz.
Hangi OTP Daha Güvenli?
TOTP genellikle HOTP'den daha güvenli kabul edilir çünkü saldırganların çalınan bir OTP'yi kullanabilecekleri zaman aralığını sınırlar. Ancak, her iki yöntem de tek başına geleneksel parolalardan daha iyi güvenlik sağlar.
- Forbes tarafından "Google'ın içinden kişilerle yapılan ayrıcalıklı görüşmelere" dayandırılan yeni bir rapora göre, ilk kez kimlik doğrulama söz konusu olduğunda SMS kodlarından vazgeçileceği ve "yaygın, küresel SMS istismarının etkisini azaltmak" için QR kodlarıyla değiştirileceği ortaya çıktı.
SMS Kimlik Doğrulamasının Artıları
SMS kimlik doğrulaması kusursuz olmasa da, hala en popüler güvenlik önlemlerinden biridir. Çoğu kuruluş hala buna güveniyor çünkü:
1. Basit ve Kullanıcı Dostu
Kullanıcıların herhangi bir özel yazılım veya uygulama yüklemelerine gerek olmadığından çok düşük eşikli bir güvenlik mekanizmasıdır; sadece sıradan metin mesajları alabilen bir telefona ihtiyaçları vardır.
Örnek: Çevrimiçi bir banka hesabına giriş yaptığınızda ve kimlik doğrulama kodunu içeren bir kısa mesaj aldığınızda, bunu web sitesine yazmanız yeterlidir. Bu, banka hesaplarını belirsiz ve dolayısıyla kullanımı zor hale getirmeden karmaşık hale getirmek için kullanışlıdır.
2. Evrensel Olarak Erişilebilir
Akıllı telefon gerektiren uygulama tabanlı kimlik doğrulamanın aksine, SMS kimlik doğrulaması herhangi bir cep telefonunda çalışabilir. Bu, akıllı telefonların veya sabit internet bağlantılarının az olduğu bölgelerde müşterileri olan işletmeler için faydalıdır.
Devlet ve finansal hizmetler, yalnızca en basit telefonlarla hizmet verilen ve bu nedenle normal SMS mesajları yoluyla kimlik doğrulaması alabilenler için bile çeşitli insan kesimlerini kapsayan SMS kimlik doğrulamasını kullanmıştır.
3. Ek Donanım veya Yazılım Gerektirmez
Bazı güvenlik araçları, kişiselleştirilmiş elektronik anahtarlar veya biyometrik kimlik doğrulama, yalnızca özel cihazların kullanılmasını gerektirir. SMS kimlik doğrulamasının lütfu ile başka hiçbir şeye ihtiyacınız yok, sadece telefon numaranız.
Bu, kimlik doğrulama yöntemleri için çok fazla ödeme yapmadan daha yüksek güvenlik gerektiren bir şirket için düşük maliyetli bir çözüm sağlar.
4. İnternet Olmadan da Çalışır
Kısa mesaj tabanlı kimlik doğrulamanın en önemli avantajlarından biri internet erişimine ihtiyaç duymamasıdır. Kimlik doğrulayıcı uygulamalar ve e-posta doğrulama sistemleri hala Wi-Fi veya mobil veriye ihtiyaç duyarken, SMS hücresel ağ aracılığıyla çalışır.
Böylece, internet erişiminin zayıf olduğu bölgelerde bile faydalı olabilir ve kullanıcıların çevrimdışıyken bile kimliklerini doğrulayabilmelerini sağlar.
5. Ekstra Bir Güvenlik Katmanı Ekler
SMS kimlik doğrulaması, güvenliği sağlamanın en güvenli yollarından biri değildir, ancak tek başına bir parola kullanmaktan çok daha güvenli olma olasılığı yüksektir. Bir bilgisayar korsanı birinin şifresini çalmayı başarsa bile, telefona erişimi olmadan giriş işlemini tamamlaması imkansızdır.
Örneğin, bir siber suçlunun veri ihlali yoluyla bir kullanıcının e-posta şifresini ele geçirmesi durumunda, bilgisayar korsanı giriş yapmak için SMS numarasına ihtiyaç duyacağından, ek bir adım yine de başka bir karmaşıklık düzeyi ekler.
-Gmail sözcüsü Ross Richendrfer
SMS Kimlik Doğrulamasının Eksileri ve Güvenlik Riskleri
Avantajlarına rağmen, SMS kimlik doğrulamasının ciddi güvenlik ve kullanılabilirlik endişeleri vardır. Bu nedenle, birçok siber uzman alternatif kimlik doğrulama yöntemlerinin kullanılmasını önermektedir.
1. SIM Değiştirme Saldırılarına Karşı Savunmasız
SIM değiştirme saldırıları SMS kimlik doğrulamasına yönelik en büyük tehditlerden biridir. Bu saldırıda suçlular, mobil operatörleri bir kurbana tahsis edilen telefon numarasını kendi kontrolleri altındaki başka bir SIM karta aktarmaya ikna etme eğilimindedir.
Hackleme başarılı olduğunda, sim değiştirme uzmanları hesabı kontrol eder ve doğrulama için metin kodları kullanarak telefona erişim sağlar.
- Blockchain Capital'den Bart Stephens SIM-Swap Kripto Hack'inde 6.3 Milyon Dolar Kaybetti!
2. Kimlik Avı ve Sosyal Mühendisliğe Duyarlı
Bilgisayar korsanları, kullanıcıları SMS kimlik doğrulama numarasını ifşa etmeye ikna etmek için kimlik avı e-postaları, sahte web siteleri veya sahte telefon aramaları kullanırlar.
Bilgisayar korsanları, bir bankayı temsil ediyormuş gibi davranarak sahte e-postalar gönderebilir ve kullanıcıdan sahte bir web sitesinde metin kimlik doğrulama kodunu bildirmesini isteyebilir. Kurban yanıt verir ve bu tuzağa düşerse, bu kod hacker'a hesabına erişim izni verir ve hesabın kontrolünü ele geçirmesini sağlar.
- Ulusal Standartlar ve Teknoloji Enstitüsü'ne (NIST) göre SMS tabanlı kimlik doğrulama, kimlik avı ve ortadaki adam saldırılarına karşı savunmasızdır. Kılavuzları (SP 800-63B), yüksek güvenlikli uygulamalar için SMS'i açıkça tavsiye etmemektedir.
3. SMS Mesajları Ele Geçirilebilir
Diğer kimlik doğrulama mekanizmalarının aksine, SMS mesajları şifrelenmeden gönderilir, bu da onları herkes tarafından ele geçirilmeye açık hale getirir. Kötü amaçlı yazılımlar ya da mobil ağlardaki açıklardan yararlanan diğer saldırı türleriyle, bir saldırgan belirli durumlarda SMS mesajlarını okuyabilir ve oturum açmak için komut kodlarını alabilir.
4. Yüksek Riskli İşlemler için Güvenli Değil
SMS kimlik doğrulaması genel oturum açma işlemleri için yararlı olsa da, finansal işlemler veya kritik iş bilgilerine erişim gibi çok hassas eylemler için önerilmez.
Artık birçok finans kuruluşu ve kurumsal güvenlik ekibi, yüksek riskli işlemler için SMS doğrulamasının kullanılmasını engellemeye başladı ve kuruluşları bunun yerine MFA veya şifresiz kimlik doğrulamayı benimsemeye çağırıyor.
5. Mobil Ağ Gerektirir - Sinyal Yoksa Erişim de Yoktur
Uygulama tabanlı kimlik doğrulama kodları çevrimdışı olarak yakalanabilirken, SMS mesajları kimlik doğrulamaya izin verir - SMS'in alınması için aktif bir mobil ağa ihtiyaç vardır. Bu nedenle, örneğin, kullanıcının düşük sinyalli bir bölgede olması veya dolaşımın olmadığı başka bir ülkeye seyahat etmesi durumunda, SMS kimlik doğrulama kodları kullanıcıya teslim edilemeyebilir.
Örnek: Yolculuk sırasında SMS kimlik doğrulama numarası alamayan seyahat eden bir yönetici, kurumsal e-postaya erişemeyecektir.
- Finansal Kurumlar: Bankalar, hesapların ele geçirilmesini önlemek için biyometri veya kimlik doğrulama uygulamaları gibi MFA çözümlerine öncelik vermelidir.
- Sağlık Hizmeti Sağlayıcıları: HIPAA uyumlu kimlik doğrulama, SMS'ten daha güçlü güvenlik gerektirir.
- E-ticaret ve Sosyal Medya: SMS kimlik doğrulaması düşük riskli girişler için hala yaygındır, ancak yedek kimlik doğrulama yöntemleriyle birleştirilmelidir.
Modern Kimlik Doğrulama Yöntemleri
Siber tehditlerin artmasıyla birlikte işletmeler SMS kimlik doğrulamasından daha güçlü güvenlik yöntemlerine geçiş yapıyor. İşte günümüzde mevcut olan en güvenli ve gelişmiş kimlik doğrulama alternatiflerinden bazıları:
1. Çok Faktörlü Kimlik Doğrulama (MFA) - Birden Fazla Yöntemin Birleştirilmesi
Çok faktörlü kimlik doğrulama (MFA), kullanıcıların kimliklerini yalnızca bir kimlik doğrulama SMS'i yerine birden fazla yöntemle doğrulamalarını gerektirerek güvenliği artırır. En az ayrıcalık ilkesi ile birlikte MFA, kimlik bilgileri çalınsa bile güvenliği ihlal edilmiş hesapların erişebileceklerini önemli ölçüde sınırlar.
MFA üç ana kimlik doğrulama faktörü türü kullanır:
- Bildiğiniz Bir Şey - Parola, PIN veya güvenlik sorusu.
- Sahip Olduğunuz Bir Şey - SMS OTP, kimlik doğrulama uygulaması veya fiziksel bir güvenlik anahtarı.
- Senin Olduğun Bir Şey - Parmak izi, yüz tanıma veya retina taraması gibi biyometrik veriler.
MFA, bu faktörlerden iki veya daha fazlasını birleştirerek bilgisayar korsanlarının hesaplara girmesini önemli ölçüde zorlaştırır.
Uygulamada MFA Örneği:
Online bankacılık hesabınıza giriş yaparken şifrenizi girersiniz (bildiğiniz bir şey). Ardından, telefonunuza bir kısa mesaj kimlik doğrulama kodu gelir (sahip olduğunuz bir şey). Bazı bankalar parmak izi veya yüz tanıma da isteyebilir (sahip olduğunuz bir şey). Bu kombinasyon maksimum güvenlik sağlar.
2. Şifresiz Kimlik Doğrulama
Parolalar tekrar kullanıldıkları, tahmin edildikleri ve kolayca çalındıkları için siber güvenlik zincirinin en zayıf halkasıdır. Parolasız kimlik doğrulama, parolaları tamamen değiştirerek daha kolay ve daha güvenli oturum açma işlemlerine olanak sağlamayı amaçlamaktadır.
- Biyometrik kimlik doğrulama - Parmak izi, yüz tanıma veya ses tanıma.
- Güvenlik anahtarları - YubiKey gibi fiziksel USB veya NFC cihazları.
- Kimlik doğrulayıcı uygulamaları - Google Authenticator veya Microsoft Authenticator gibi zamana duyarlı kodlar üreten uygulamalar.
İş Başında Parolasız Kimlik Doğrulama Örneği:
Şirketinizin dahili sistemine parmak izi ile giriş yaparak erişirsiniz. Sistem parmak izinizi tanır ve şifre girmeden erişime izin verir.
3. Sorunsuz Erişim için Tek Oturum Açma (SSO)
Çoklu Oturum Açma (SSO), kullanıcıların tek bir benzersiz kimlik doğrulama işlemiyle birden fazla uygulama ve hizmette oturum açmasına olanak tanır.
SSO Nasıl Çalışır?
Adım 1: Bir kullanıcı kimlik doğrulama SMS'i, biyometri veya başka bir güvenli yöntem kullanarak bir sistemde oturum açar.
2. Adım: Kimlik doğrulandıktan sonra, kullanıcıya yeniden oturum açmaya gerek kalmadan tüm bağlı uygulamalara erişim izni verilir.
SSO'nun Faydaları:
- Birden fazla şifre hatırlamaya gerek bırakmayarak şifre yorgunluğunu azaltır.
- Kimlik doğrulamayı merkezileştirerek güvenlikte artış.
- Farklı hizmetlere erişimi basitleştirerek daha iyi kullanıcı deneyimi
İş Başında SSO Örneği:
Google hesabınızda oturum açtığınızda, tekrar oturum açmanıza gerek kalmadan otomatik olarak Gmail, Google Drive, YouTube ve diğer Google hizmetlerine erişebilirsiniz.
4. Güvenli Yetkilendirme için OAuth ve OpenID Connect
OAuth ve OpenID Connect, kullanıcıların Google, Facebook veya Microsoft gibi üçüncü taraf sağlayıcıların kimlik bilgilerini kullanarak web sitelerinde veya uygulamalarda oturum açmasına olanak tanıyan modern kimlik doğrulama çerçeveleridir.
OAuth ve OpenID Connect Nasıl Çalışır?
1. Adım: Bir web sitesi için yeni bir kullanıcı adı ve şifre oluşturmak yerine, Google ile oturum açmayı seçersiniz.
Adım 2: Google kimliğinizi doğrular ve istenen hizmete erişim izni verir.
3. Adım: Web sitesi, ayrı bir şifreye ihtiyaç duymadan Google'ın onayına dayanarak kimliğinizi doğrular.
İşletmeler Neden OAuth ve OpenID Connect'i Tercih Ediyor?
- SMS doğrulama veya parola ihtiyacını ortadan kaldırır.
- Kullanıcıların birden fazla oturum açma kimlik bilgisini hatırlaması gerekmez.
- Parolanın yeniden kullanımıyla ilişkili güvenlik risklerini azaltır.
İş Başında OAuth Örneği:
Yeni bir e-ticaret web sitesini ziyaret ediyorsunuz ve "Google ile oturum aç "ı seçiyorsunuz. Yeni bir hesap oluşturmak yerine Google kimlik bilgilerinizi kullanarak giriş yaparsınız. Web sitesi Google'dan kimlik doğrulaması alır ve hemen alışverişe başlayabilirsiniz.
Apple, Google ve Microsoft gibi büyük teknoloji şirketleri şifreleri ve SMS kodlarını ortadan kaldıran bir kimlik doğrulama yöntemi olan Passkeys'e doğru ilerliyor. Bu modern yöntemler kriptografik kimlik doğrulama kullanarak kimlik avı ve ele geçirmeye karşı dirençli hale getiriyor.
SMS paylaşılan Gelen KutusuSonuç
SMS kimlik doğrulaması güvenlik risklerine sahip olsa da, kullanıcıları doğrulamak için yaygın olarak kullanılan bir yöntem olmaya devam etmektedir. İşletmeler güvenlik ihtiyaçlarını değerlendirmeli ve SMS'i uygulama tabanlı OTP'ler veya biyometrik doğrulama gibi daha güvenli kimlik doğrulama yöntemleriyle birlikte kullanmayı düşünmelidir.
Siber tehditler geliştikçe, işletmeler kimlik doğrulama stratejilerini yeniden düşünmelidir. MFA, biyometrik kimlik doğrulama veya şifresiz girişlerin uygulanması güvenlik risklerini önemli ölçüde azaltabilir. Kimlik doğrulama sistemlerinizi geliştirmek istiyorsanız, siber güvenlik uzmanlarına danışın veya ControlHippo gibi çözümleri keşfedin.
Güncellendi : 25 Haziran 2025
Jainy Patel is a content strategist who specializes in omnichannel communication solutions. She develops innovative marketing strategies that unify messaging across various channels, ensuring a consistent and engaging customer journey. Jainy is passionate about optimizing communication processes and crafting targeted content that resonates with audiences at every touchpoint.