Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
Google, ekosistemindeki Gmail ve diğer bağlı kimlik doğrulama protokolleri için iki adımlı doğrulamayı etkinleştirdiğinden beri, SMS kodları temel bir unsur olmuştur. Ancak güvenlik analizlerine göre, özellikle iletişim kanalı şifrelenmediğinde, SMS kodları son derece güvenli değildir. Gmail kimlik doğrulaması için SMS kodlarının yakında QR kodlarıyla değiştirilmesiyle bu durum nihayet değişmek üzere.
Hesap güvenliği söz konusu olduğunda, SMS, telefonlarda hassas doğrulama kodları veya tek seferlik şifreler (OTP) almak için en güvenilir seçenek değildir. Bu nedenle Google, son birkaç yılda SMS kimlik avı gibi riskleri en aza indirmek için cihaz üzerinde Google istemleri, kimlik doğrulayıcı uygulamaları, donanım güvenlik anahtarları ve Parola Anahtarı sistemi gibi parola alternatiflerini sürekli olarak geliştirmiştir.
Şimdi Google, Gmail (ve onunla birlikte Google hesabı) kimlik doğrulaması için SMS tabanlı doğrulamayı tamamen aşamalı olarak kaldırmayı planlıyor. Gmail sözcüsü Ross Richendrfer’in Forbes’a yaptığı açıklamaya göre, “Tıpkı parola anahtarları gibi şeyleri kullanarak parolaları aşmak istediğimiz gibi. Kimlik doğrulama için SMS mesajları göndermekten de uzaklaşmak istiyoruz.”
SMS neden güvenli değil?
Kısa mesaj yoluyla kod almak uygundur, ancak SMS’i güvenli olmayan bir rota haline getiren sadece yol ve ayrıntılı kimlik avı teknikleri değildir. SIM değiştirme, sosyal mühendislik ve kimliğe bürünme saldırıları da oldukça iyi bilinen tekniklerdir ve bu planlar uygulandığında, yasal sahibi SMS doğrulama kodlarını asla alamaz.
Bu, kendi Gmail hesaplarından ve Google hesabı oturumu gerektiren üçüncü taraf hizmetler de dahil olmak üzere ona bağlı tüm temel hizmetlerden kilitlenmelerine neden olur. Ayrıca, kullanıcıların hücresel ağlara erişiminin olmadığı senaryolarda, SMS yoluyla oturum açma kodları almak başka bir zorluk haline gelir.
QR kodları nasıl yardımcı olabilir?
Önümüzdeki birkaç ay içinde Google, altı haneli SMS kodlarının yerini almayı planlıyor ve kullanıcıların telefonlarındaki kamera uygulamasıyla taraması gereken bir QR kodu gösterecek. Şirket bu planlarla ilgili birçok teknik ayrıntı paylaşmadı, ancak Google’ın kayıtlı telefon numarasını çalıştıran doğrulanmış bir telefonla güvenli bir QR kodu el sıkışması gerektiren bir protokol oluşturması muhtemel görünüyor.
Burada QR kodlarının doğası gereği kusursuz olmadığını belirtmekte fayda var. QR kod dolandırıcılığı da oldukça yaygındır. Ancak yerel bir kod çözme anahtarı veya yalnızca iki güvenilir taraf arasında güvenli bir açık anahtar gerektiren bir QR tarama sistemi çok daha güvenli ve hızlıdır.
Yakın zamanda, bir devlet hibesi alan ve yakında çeşitli ticari ve endüstriyel uygulamalarda barkodların yerini alabilecek kendi kendini doğrulayan çift modülasyonlu QR (SDMQR) kodu adlı böyle bir yeniliği ele aldık.
Rochester Üniversitesi’ndeki uzmanlar tarafından geliştirilen bir SDMQR kodu, yalnızca dijital bir özel anahtarla kilidi açılabilen bir kriptografik imza sistemine dayanır. Bu özel QR kodları herhangi bir özel tarama uygulaması gerektirmez ve dünya çapında işletim sistemi düzeyinde mobil cihazlarda uygulanabilir.
