1 puan yazan GN⁺ 2024-02-07 | 1 yorum | WhatsApp'ta paylaş
  • SIM swap saldırısı, operatörün bir telefon numarasını saldırganın cihazına taşımasını sağladıktan sonra SMS giriş/parola sıfırlama kodlarını ele geçirme yöntemidir; şirketlerin bu zayıf yolu kimlik doğrulama akışına dahil etme tercihi temel tartışma konusudur
  • SMS düz metin olarak iletilir ve güvenlik için tasarlanmış bir protokol değildir; parola sıfırlama, hesap kurtarma, onboarding ve giriş için kullanıldığında kullanıcının dijital güvenliği de telefon numarasının taşınmasıyla birlikte el değiştirir
  • Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, Bank of America gibi birçok servis SMS’i giriş, kurtarma ve 2FA için kullanıyor ya da geçmişte kullandı; Azure, AWS, Twilio, Google gibi bulut sağlayıcıları da SMS tek kullanımlık kod hizmetleri sunuyor
  • Daha iyi alternatifler e-posta tabanlı sıfırlama ve Authy, Google Authenticator gibi kimlik doğrulama uygulamalarıdır; SMS 2FA daha güçlü seçeneklerle birlikte sınırlı biçimde kullanılsa bile hesap kurtarma için fallback olmamalıdır
  • 2024’ten sonra AT&T, T-Mobile, Verizon gibi büyük ABD operatörlerinin Salt Typhoon saldırısıyla uzun süreli ihlale uğraması da tabloya eklenince, SMS’in giriş akışlarında gerçek güvenlik sağladığı varsayımı daha da sarsılıyor

SMS tabanlı kimlik doğrulamanın SIM swap saldırılarını büyüten yapısı

  • SIM swap saldırısı, saldırganın operatörden kurbanın telefon numarasını kendi telefonuna port etmesini istemesiyle gerçekleşir
    • ABD’de rekabeti teşvik etmeye yönelik numara taşınabilirliği kuralları nedeniyle operatörlerin numara taşımayı kolayca işleyebilmesi gerekir
    • Numara taşındığında saldırgan, şirketlerin gönderdiği SMS giriş bilgilerini veya parola sıfırlama kodlarını alarak hesaba erişebilir
  • Operatörlerin numara korumasının zayıf olduğu eleştirisi yerindedir; ancak birçok şirket de bu zayıf bağlantı halkasının üzerine görev açısından kritik kimlik doğrulama akışları kurmuştur
  • Sorunun merkezinde şu bakış açısı vardır: “Birisi T-Mobile, AT&T, Verizon vb. şirketleri numaramı taşımaya ikna etti diye dijital güvenliğim de taşınmamalı.”

SMS bir kimlik doğrulama aracı olarak tasarlanmadı

  • SMS şifrelenmemiş düz metin mesajdır; bir kartpostal gibi arada okunabilir veya ele geçirilebilir
  • Güvenlik protokolü olmayan SMS’i parola sıfırlama, hesap kurtarma, onboarding ve giriş için kullanmak yapısal olarak uygunsuzdur
  • SMS tabanlı 2FA, daha güçlü 2FA seçenekleriyle birlikte sunulduğunda zayıf güvenlik senaryoları içinde yalnızca “en az kötü” durum olarak ele alınır
    • Asıl eleştiri hedefi SMS tabanlı parola sıfırlama, kullanıcı onboarding’i ve hesap kurtarmadır
  • Daha iyi seçenekler e-posta tabanlı parola sıfırlama ve Authy, Google Authenticator gibi kimlik doğrulama uygulamalarıdır
  • SMS hesap kurtarma fallback’i olarak kalırsa daha güçlü 2FA uygulamalarını da zayıflatabilir

Şirketlerin SMS’i kimlik doğrulama akışlarına dahil etme biçimi

  • Apple, 2018’de iPhone’da SMS passcode otomatik doldurma özelliğini duyurarak SMS’in parola sıfırlama ve hesap girişinde kullanıldığı akışı güçlendirdi
    • Apple hesabı sıfırlamada SMS’in kullanılabildiği senaryolar vardır
    • Apple geliştirici hesabının iki aşamalı doğrulamasında da SMS veya telefon kullanılır
    • Apple’ın yerel 2FA uygulamasının SMS fallback’i nedeniyle zayıfladığı değerlendiriliyor
  • Google, 2019’da Android için SMS autofill özelliğiyle tek kullanımlık kod otomatik doldurma sağladı
  • Bulut sağlayıcıları ve mesajlaşma altyapısı şirketleri SMS kod endüstrisini oluşturdu
    • Azure, AWS, Twilio, Google vb. SMS tek kullanımlık kodlarla ilgili hizmetler sunuyor
    • Temelden bozuk bir teknolojiyi güvenlik çözümü olarak satmakla eleştiriliyorlar
  • Finans ve ödeme hizmetlerinde de SMS sıfırlama, SMS giriş, SMS 2FA ve SMS hesap kurtarma yaygın biçimde kullanılıyor
    • Örnek olarak Wells Fargo, Cash App, Robinhood, Schwab, PayPal, Bank of America anılıyor
    • Bu SMS seçenekleri “kimlik doğrulama” aracı olarak sunulsa da SIM swap saldırganları için de avantajlı bir yapı oluşturuyor
  • Yemek siparişi servisleri, sosyal ağlar ve veri depolama hizmetleri gibi alanlarda da SMS çoğu zaman hesap sıfırlamanın varsayılan yolu olarak kullanılıyor
    • Dropbox gibi devre dışı bırakma yolu olsa bile kullanıcının her servis için ayrı ayrı opt-out yapması gerekir
    • Birçok servis opt-out sunmaz

Güvenlik tasarımı sorumluluğu kolaylıktan önce gelir

  • Kullanıcılar SMS sıfırlamanın zayıflığını anlamayabilir; bunu değerlendirmek kullanıcının rolü olmamalıdır
  • SMS, e-posta sıfırlama veya Authy gibi 2FA uygulamalarından daha pratik olduğu için kullanıcılar tarafından tercih edilebilir
  • iPhone’daki SMS otomatik doldurma, iOS’in iyi bir özelliği olarak övülebilir; ancak kolaylık güvenliği garanti etmez
  • Bir güvenlik sisteminin güvenli olup olmadığını değerlendirme ve tasarlama sorumluluğu teknoloji şirketlerine aittir
  • Müşteri güvenliği ve emniyetini önceliklendirdiğini söyleyip SMS tabanlı kimlik doğrulamayı sürdürmek, müşterileri açıkta bırakmak anlamına gelir

Protokol iyileştirmeleri ve düzenleme tek başına yeterli değil

  • SHAKEN/STIR gibi telefon protokollerini güçlendirme çabaları tam benimseme ve sıkı uygulama düzeyine ulaşmadı; SMS parola sıfırlama kodları göndermeye devam etmek için güçlü bir gerekçe oluşturamaz
  • Daha güçlü telefon protokolleri devreye alınsa bile SIM swap saldırısını bizzat engellemez
  • AB’nin Sim Verify girişimi, SMS’e bağımlı şirketlerin SIM’in yakın zamanda port edilip edilmediğini kontrol edebilmesini sağlayan bir yol olarak anılıyor
  • ABD’de böyle bir değişikliğin yakın zamanda uygulanıp uygulanmayacağı belirsiz; SHAKEN/STIR’in yayılım deneyimi değişimin uzun sürebileceğini gösteriyor
  • Hacker News yorumlarında, NIST’in Ekim 2023 itibarıyla SMS veya telefon aramalarının kullanıcı tanımlamada kullanılması konusunda güçlü yönergeler yayımladığı da belirtiliyor

2024’ten sonra operatör riski daha da kötüleşti

  • Güncellemede, AT&T, T-Mobile, Verizon gibi büyük ABD operatörlerinin Salt Typhoon saldırısıyla aylarca ihlal yaşadığı özetleniyor
  • Bu operatörler, sayısız giriş akışında, hesap yeniden etkinleştirmede ve parola sıfırlamada kullanılan şifrelenmemiş SMS’leri taşıyor
  • ABD operatör ihlalleri ve SIM swap saldırılarının sürekliliği birlikte düşünüldüğünde, SMS’in giriş akışlarının herhangi bir bölümünde gerçek güvenlik sağladığı fikrinden vazgeçilmelidir
  • Google, Gmail’de SMS’in zayıflıklarını sınırlı biçimde kabul edip ondan uzaklaşmaya başlamış bir örnek olarak anılıyor
  • Chase, Block/Square, Apple vb. şirketler ise hâlâ giriş süreçlerinin bir bölümünde SMS’e bağımlı örnekler olarak kalıyor

Hacker News yorumlarında kullanıcıların yaşadığı zarar örnekleri

  • SMS alınamayan bir bölgede seyahat ediliyorsa kullanıcı hesabından kilitlenebilir
  • Bank of America gibi, herhangi bir 2FA’yı etkinleştirebilmek için önce SMS 2FA’yı açmayı gerektiren banka örnekleri sorun olarak anılıyor
  • Numara değiştirip Viber’da kilitlenmek veya Citibank’in hesap telefon numarası değişikliği için SMS doğrulaması istemesi gibi örnekler de var
  • Operatör SMS dolaşım ücreti alırsa kullanıcılar zayıf bir güvenlik aracına para ödemek zorunda kalır
  • Ön ödemeli bakiye yüklenmediği için SIM bloke edilirse SMS alınamaz; SMS’i zorunlu kılan servislere erişimde de sorun yaşanır
  • AB bankacılık sektöründe çalışmış bir yorumcu, SMS’in ABD’ye göre daha pahalı olduğu için yaygın yerleşmediğini ve SMS 2FA’nın hem güvenlik ihlaline hem de kullanıcı kilitlenmesine açık olduğunu değerlendiriyor

Telefon numarası tabanlı kimlik doğrulamadan uzaklaşmak neden gerekli

  • Deepfake çağında sağlam kimlik doğrulama hizmetleri daha önemli hale geliyor
  • Yapay zeka tabanlı sahte kimlik hizmetleri yaygınlaşıyor; finans şirketleri ve ISP’lerin kullandığı ses iziyle tanıma da deepfake sesler ve ısrarcı saldırganlar karşısında faydalı olmayabilir
  • SMS gibi şifrelenmemiş ve SIM swap’a açık kimlik doğrulama araçlarından uzaklaşmak gerekir
  • Fidye yazılımı da IT’nin karşılaştığı büyük sorunlardan biridir; SIM swap saldırıları ise kurumsal ağ ihlallerinde önemli bir vektör olarak anılıyor
  • SMS ile girişi azaltmanın fidye yazılımı sorununun bir kısmını hafifletebileceği bağlantısı kuruluyor

1 yorum

 
GN⁺ 2024-02-07
Hacker News görüşleri
  • SMS felaketi başlamadan önce TOTP kodları 1Password tarafından hangi cihazda ve hangi konumda olursam olayım otomatik dolduruluyordu
    Şimdi ise sürekli telefonu çıkarmam gerekiyor ve o numaraya ihtiyacım olmasa bile seyahat etmek için uluslararası dolaşım ödemem ya da SMS yönlendirme ayarlamam gerekiyor. Ne harika güvenlik ama
    Eğer mantık, telefon numarasının gerektiğinde gerçek kimliğe geri bağlanabilmesi ise, herkesin benim numaramı dünyanın dört bir yanındaki şirketlere saçması yerine doğrulama uygulamasını SMS'e bağlasınlar

    • Sorun şu ki doğrulama uygulamasıyla, reklam karşılığında üç kuruşa satılabilecek görece istikrarlı bir siteler ve uygulamalar arası tanımlayıcı elde edemiyorlar
    • Parola yöneticisine TOTP kod üreticisi de koyarsanız, doğrulama faktörü sayısı tekrar 1'e düşmüş olmuyor mu?
    • Operatör değiştirince aynı numarayı koruyabileceğime güvenmem zor; MVNO'lar arasında numara taşıma da tutarsızdı ve yurt dışına da çıkıyorum, bu yüzden her yerde Google Voice numarası kullanıyorum
      Ama salak şirketler telefon numarası isteyip Google Voice kullanımını engelliyor
    • Keşke kurtarma zorluğunu doğrudan seçebildiğin bir kimlik doğrulama ve kimlik hizmeti olsa
      Devlet tarafından verilmiş kimlik gösterme, parmak izi doğrulama, hatta gerçekten hızlı DNA testi gibi seçenekleri maliyetine göre seçebilsek ve ölüm ya da ehliyetsizlik durumunda hesabın lehtarını da belirleyebilsek
      Nihai kimlik doğrulamayı e-posta, Google hesabı ve SMS'e dayandıran mevcut yöntem saçma. Üçü de ya güvenli değil, ya keyfi engelleme riski taşıyor, ya kurtarması zor, ya da gerçek kimliği doğrulamadığı için spam'e açık
    • Hindistan'da her ay yükleme yapmazsan SIM kart çalışmayı durduruyor, 2 ay sonra numara bloke ediliyor ve 90 gün sonra numara iptal edilip yeniden kullanıma veriliyor
      Yaygın karşı argüman, WhatsApp'ın numara 90 gün kullanılmazsa parola sıfırlama gibi şeyleri engellediği, dolayısıyla sorun olmadığı yönünde
      Sonra da bankaya telefon numarası değişikliği için yazılı başvuru yaparsın, o yüzden sorun yok deniyor
  • Bir hesabın önemli işlemlerinde SMS kullanmak korkunç

    1. Telefon kaybolabilir ya da çalınabilir
    2. İnsanlar başka bir ülkeye taşınabiliyor
    3. SMS saldırıları var
    4. Telefon numaraları yeniden kullanılıyor
    5. Kullanıcının ücretli bir telefon hattını sürdürmesi gerekiyor
      Lütfen hesapları telefon numarasına bağlamayın
      Düzenleme: Tek seferlik bildirimlerden vs. bahsetmediğimi netleştirmek için ilk satırı değiştirdim
      1. Tanım gereği iki aşamalı doğrulama cihazın çalınırsa zaten işin bitmiş demektir. Authenticator için de aynı şey geçerli. SMS'te en azından operatöre ulaşıp aynı numarayı geri alma şansın var
      2. Dolaşım var. Yurt dışındayken SMS almak çoğu zaman ücretsiz
      3. Doğru
      4. Doğru, ama en azından veri hattını açık tutarsan aktif kalmasını sağlamak kolay
      5. Doğru, ama doğru ayarlanırsa neredeyse hiç para gerektirmiyor. Avrupa ve Tayland SIM kartlarını yılda 5 doların altında tutuyorum ve Google Voice numaram 2009'dan beri ücretsiz
        Authenticator ve Passkeys kullanmanın daha iyi olduğuna katılıyorum ama SMS'in avantajlarını da inkâr etmemek lazım
    • Telefonun kişinin kimliği haline gelmesi bence gerçekten büyük bir sorun
      Çiftlerin birbirlerinin telefonunu kullandığını ve parolalarını bildiğini sık görüyorum, ama birine o kadar güvenebilir miyim bilmiyorum. Öz anneme bile parolamı vermezdim, annem de bana güvensizlik gerektirecek bir şey yapmış değil
      En kötüsü bunun bir tercih olmaması. Hizmetler durduk yere SMS'i iki aşamalı doğrulama olarak kullanmaya başlıyor
      Telefon numaranı değiştirince ne yapacağını da bilmiyorsun. Eski numarayı kontrol edemediğin için hesaba giremiyorsan onu yeni numarayla nasıl değiştirirsin? Güncellemen gerektiğini düşünmediğin bir hesap bir gün aniden iki aşamalı doğrulama istemeye başlarsa ne olacak? Genel olarak gerçekten kötü bir sistem
    • İnternet sağlayıcısının ya da elektrik şirketinin elektrik kesintisi uyarılarını isteğe bağlı SMS ile göndermesi ve düzenli güncellemeler vermesi güzel. STOP ile çıkılabiliyorsa sorun yok
      İki haftalık kamp sırasında memleketimde şiddetli bir fırtına geçti ve elektrik 5 gün kesildi. SMS uyarıları olmasaydı bunu bilmeyecektim ve döner dönmez buzdolabı ile dondurucuyu hemen boşaltabildim
    • E-postayı sürekli topluyorsanız bence sorun değil
      Telefon ele geçirilse bile e-posta duruyor
      Son kullanıcı açısından gerçek kullanım kolaylığı da var. Bu sorunlar insanların %1'inde yaşansa bile milyarlarca kişi için sorun olmayabilir. Ucuz ve pratik. Telefon mesajı alıp otomatik dolduruyor
      E-postayı kontrol etmek için uygulama değiştirmek gerekmiyor. E-posta ele geçirilmediği sürece hesap her zaman kurtarılabilir. E-postanı kaybedersen kötü ama zaten böyle şeyler olur; bu yüzden parolayı düzenli değiştirmek ve çok faktörlü doğrulama ayarlamak gerekir
      Güvenlik asla %100 olamaz. Bu boş bir uğraş. Mümkün olduğunca çok kişi için çalışacak kadar kullanışlı ve yeterince güvenli olmalı
      HN dışındaki insanların neredeyse hiçbiri bunu umursamıyor ya da anlamıyor. Anlamaları da gerekmiyor. Uygulamayı kullanıp işlerini halledip yollarına devam ediyorlar
      Arka plandaki işi bırakın meraklı tipler halletsin
    • Revolut'un telefon numarası bağlantısını zorunlu kılması hep ürkütücü gelmiştir
  • Arjantin'de Movistar kullanıcıları için Payoneer SMS ile ilgili büyük bir sorun yaşandı. Bunu HN'ye göndermeye çalışmıştım ama görünmeden kayboldu.
    İspanyolca yazılmış, içgörülü bir tweet'in [1] kabaca çevirisi şöyle:
    “Payoneer gizemi çözüldü.
    #PayoneerHacked

    • Saldırgan, Movistar müşterilerine iki aşamalı doğrulama göndermek için kullanılan SMS gateway'ini ele geçirdi. Platformlar maliyetten kısmak için bunu kullanıyor
    • Saldırgan, Payoneer'dan Movistar numaralarına giden iki aşamalı doğrulama mesajlarını gördü, ancak şifre değiştirmek ve işlem yapmak için Payoneer kullanıcılarının e-postasını bilmesi gerekiyordu
    • Bu yüzden her telefon numarasının arkasındaki e-postayı öğrenmek için bir phishing sitesi kurdu ve oradan sadece e-postaları topladı. E-posta + telefon numarası + ele geçirilmiş SMS gateway üzerinden gerçek zamanlı erişilen iki aşamalı doğrulama ile şifreleri değiştirip hesaplara girerek para transferi yapabildi. Çünkü Movistar telefonlarına gelen iki aşamalı doğrulamaları sürekli okuyordu
    • Bu nedenle kurbanlar gece boyunca birden fazla gerçek iki aşamalı doğrulama SMS'i geldiğini gördü ve bu sırada hesapları boşaltıldı
    • Payoneer müşterileri phishing'e düşmüş olsa bile, normalde yalnızca bir iki aşamalı doğrulama unsuru ele geçirilmiş olurdu; giriş, hesap ekleme ve para transferi için gereken her şey değil. Bu zorunlu koşul, SMS gateway'in de ele geçirildiğini ortaya koyuyor
    • Kurbanlar, güvenlik zincirinin son halkası ele geçirildiği için para kaybetti
      Dikkatli olun. Facebook, Twitter ve diğerleri de SMS maliyetini azaltmak için aynı gateway'i paylaşıyor
      Şafak vakti kurbanlara ulaşan SMS'lerin ekran görüntülerini bırakıyorum. Kurbanlar bunları herhangi bir phishing girişimiyle paylaşmış olamazdı ve hesapları boşaltmak için bu SMS'ler gerekliydi
      Basında ne okursanız okuyun… ortada çok meyve ve bol salata var ama sos az. Orijinal metin burada
      İş birliği yapan herkese teşekkürler”
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • Daha da çılgın tarafı, Payoneer'ın e-posta adresinin sahipliğini kanıtlamaya gerek duymadan, SMS ile gönderilen sıfırlama koduyla tek başına hesap şifresi sıfırlamaya izin vermesiydi
  • “[Müşteriler] [SMS sıfırlamayı] e-posta sıfırlamadan daha kullanışlı buluyor” deniyor ama ben şahsen Google hesabımda telefon doğrulamasıyla oturum açmam gerektiğinde her seferinde sinir oluyorum
    Masadan kalkıp telefonu bulmam gerekiyor ve bazen telefon başka bir odada oluyor. Kodu içeren aramayı ya da mesajı alabilmem için bunu yapmak zorundayım
    Buna kıyasla TOTP çok daha kullanışlı. Kodları KeePassXC'de sakladığım için masadan kalkmam gerekmiyor

  • Telefon numaranızı kaybettiğinizde de gerçekten çok kötü
    Yıllardır ana Google hesabıma giriş yapamıyorum. Kullanıcı adım, şifrem, kurtarma e-posta adresim var ve tüm e-postalar bana yönlendiriliyor, ama hesaba bağlı telefon numarası artık bende olmadığı için açıkça davetsiz biri muamelesi görüyorum

    • Google bu konuda gerçekten berbat. Kurtarma e-posta adresini bile düzgün kullanmıyor
      Tek çözüm, eski “ev” konumu gibi görünen bir IP aralığına geri dönmek ve işe yaramasını ummak. Hesaba erişime veya kurtarmaya izin vermemenin iyi bir şey olduğunu düşünen Google içindeki kişiye söyleyecek çok sözüm var
    • Seyahat ederken de aynı şey geçerli. Yurt dışındayken hesabımdan çıkış yapılmış ve SNS erişimim olmamıştı
    • Telefon numarası kullansanız bile yedek olarak başka yöntemler kullanabileceğinizi söyleyen çok kişi var, ama Google'ın elindeki tüm bilgileri istemesiyle ilgili buna benzer epey hikâye okudum
    • AB'nin birleşik bir dijital kimlik cüzdanı olması planlanıyor. Uygun elektronik imza da zaten mevcut
      Benim ülkemdeki kimlik kartında açık anahtarlı kriptografi kullanan bir çip var. Google hesabını kalıcı olarak devlet kimliğine bağlamanıza izin verseler bu sorun çözülürdü, en azından AB'de yaşayanlar için
      Böylece tek bir YubiKey'i kaybetmekten korkmadan kullanabilir ve biri onu çalsa bile hesabınızı geri alabilirdiniz
    • Bunun bir bug olduğuna eminim. Kurtarma e-postası varsa SMS doğrulaması gerekliliğini ortadan kaldırmalı
      Ama Google'ın ne bir help desk'i ne de bug bildirme yolu var. Google utanmalı
  • Şirketlerin Google Voice numaramın “doğrulama için kullanılamayacağını” ya da daha açık biçimde “geçerli bir telefon/cep telefonu numarası olmadığını” iddia etmesinden özellikle nefret ediyorum
    Bazı şirketler başlangıçta bu numarayla kayıt olmaya izin verip, daha sonra bir noktada politikayı değiştirdi. Bunu genelde ancak hesaptan kilitlenince öğreniyorsunuz
    Neyse ki bunların çoğu, bundan sonra sadece kaçınmam gereken mağaza uygulamaları ya da ödeme hizmetleriydi. Belli ki benim müşteriliğime değer vermiyorlar. Ama bir gün bankamın da aynısını yapıp beni hesabımdan kilitlemesinden endişe ediyorum

    • Şirketlerin kullanıcı telefon numaralarını kâr uğruna sömürmesinin bu kadar yaygın olmasının nedeni basit
      Herkesin bir cep telefonu var, çoğu insan numarasını neredeyse hiç değiştirmiyor ve birçok kişi telefon numarasını sosyal güvenlik numarasından daha kolay veriyor
      Onlar hesap güvenliğini ya da bunun kullanıcının kontrol ettiği geçerli bir numara olup olmadığını umursamıyor. Sadece kullanıcıyı benzersiz biçimde tanımlamak ve zaten kullanıcı verileri için en yüksek parayı ödeyen reklam teknolojisi şirketlerinin veritabanlarında bulunan bir numarayı istiyorlar
    • Google Voice deneyimime göre, Google Voice’a izin verilmemesini insanlara yardımcı olabilecek olumlu bir işaret olarak görüyorum
      Google Voice kullanmamanız gerektiğine dair bu yazının başka bir yorumunda biraz yazmıştım: https://news.ycombinator.com/item?id=39270503
      Benim deneyimim herkes için geçerli olmayabilir ama “ücretsiz” Google Voice’a bel bağlamanın hâlâ riskli olduğunu düşünüyorum
    • Viber bunu bana yaptı. Viber hesabım 2012’den beri vardı ama bunu ancak telefonumu değiştirirken öğrendim
  • Karşı argüman olarak, SMS ile giriş ve hesap kurtarma iyi bir kullanıcı deneyimi sunuyor ve operatörlerin genel olarak çıtayı yükseltmesi gerekiyor

    • Kesinlikle hayır ve gerçekten uğraştırıcı
      Masaüstü bilgisayar kullanıyorken, FIDO ya da başka gerçek bir iki faktörlü kimlik doğrulamayı desteklemek istemedikleri için her girişte beni telefona yönlendirmemeliler
      Dizüstü bilgisayarımda parmak izi okuyucu var, telefonumda Face ID var, USB’de de YubiKey var. Bunları kullansınlar
    • 11 gün önce SMS’in ikinci faktör olarak kullanılması hakkında yazdığım bir yorum var; genel durumda da geçerli: https://news.ycombinator.com/item?id=39130032
      E-posta kesinlikle daha iyi. Asıl neden, e-posta sağlayıcısının ya kullanıcının kontrolünde olması ya da bizim gibi meraklıların özel alan adında olduğu gibi, ya da Google gibi büyük ve kişisel olmayan bir aktör olması. Telefon numarası sağlayıcısı gibi saldırganın kolayca değiştirebileceği bir hedef değil
      Bir kimlik sağlayıcısında çalışıyorum ve özellikle kullanıcı deneyimi açısından bu özelliğin desteklenmesini isteyen epey kişi var
      Yukarıda söylediğim gibi telefon numarası sağlayıcılarının da sorumluluğu olmalı. Telefon numaralarını çevrimdışı ve çevrimiçi dünyanın küresel tanımlayıcısı olarak dayatan eğilim sürecekse, operatörler telefon numarası değişikliği için daha fazla koşul istemeli
    • Yazıdan alıntılayayım:
      “Yıllardır sektördeki insanlar hep şöyle dedi: ‘SMS tabanlı kimlik doğrulama sunmak, genel olarak müşteri güvenliği için daha iyidir. Kusurları vardır ama çok daha güvenli olan e-posta doğrulaması gibi başka yöntemlerden daha kullanışlıdır.’ Benim buna cevabım şu: ‘Müşteriden güvenliği alma hakkını size kim verdi?’”
      Bir de:
      “SIM swap saldırılarıyla ilgili öfkenin önemli bir kısmının operatörlere yönelmesi anlaşılır. Gerçekten de operatörler müşteri telefon numarası güvenliğini berbat yönetiyor ve bu kusurdan sorumlu olabilirler. Ama asıl nokta şu: operatör güvenliği her zaman kötüydü, hatta yasal düzenlemeler nedeniyle bazı yönlerden daha da kötüleşti; buna rağmen başka şirketler kritik görev sistemlerini bu zayıf halkanın üzerine kurmayı seçti.”
      Bir de:
      “SMS güvenlik açısından kötüdür ama yeni müşteri kaydı, örneğin Uber onboarding’i ve parola sıfırlamayı neredeyse sürtünmesiz hâle getirir. Şirketler de rakipleri bu tekniği benimsediği için ayak uydurmaları gerektiğini hissetti.”
      Bu son bölüm ne yazık ki bir WordPress yazısı güncellemesi sırasında üzerine yazıldı, ben de yeniden ekledim
    • Artık sahip olmadığınız bir numaraya SMS göndermek gerçekten harika bir kullanıcı deneyimi
    • Herkesin cep telefonu yok ya da istemiyor; ayrıca hayatının kontrolünü mobil operatöre teslim etmek de istemiyor
  • SMS’in korkunç bir çok faktörlü kimlik doğrulama unsuru olduğuna katılıyorum
    Ama insanlardan bir uygulama yüklemelerini istemek çok büyük bir yük olduğu için SMS yayıldı. Üstelik insanlar kurtarma kodlarını da asla saklamıyor
    Authy kullanıp kodları yedekleyebilirsiniz ama bu neredeyse “teknik kullanıcı” alanına giriyor
    Sonuçta sıradan, ortalama insan için gerçekçi olan tek çözüm SMS. Operatörlerin SIM swap’ı daha zor hâle getirmesini sağlamalıyız

    • Avrupa’daki kart veren bankaların hepsi bunu başardı
      Orada SMS neyse ki yeterince pahalı; bu yüzden bankalar onun tek kullanımlık parola unsuru olarak ekonomik olmadığını ve ödeme doğrulamasında tek başına kullanılmak için de yeterince güvenli olmadığını düşünüp ikinci bir faktör gerektirdi
      Sonuç olarak bankalar daha güvenli ya da daha ergonomik yöntemler sunmaya başladı. Örneğin bankaya özel kimlik doğrulama uygulamaları, çoğu zaman uluslararası seyahatte olduğu gibi internet veya hücresel sinyal olmasa bile çalışıyor; donanım doğrulayıcılar, WebAuthN vb.
      “SIM swap’ı zorlaştıralım” değil; finans şirketleri çıtayı yükseltip hem güvenlik ihlaline hem de kullanıcının kilitlenmesine karşı daha az kırılgan yöntemler sunmalı
    • Bankam bana Symantec VIP kurdurdu. Pek iyi değildi
      Vergi beyanı için MyGovID gerekiyor. Bu da pek iyi değil
    • Google Authenticator artık Google hesabıyla senkronize oluyor
    • iOS’in yerleşik parola yöneticisi, işletim sisteminin içinde doğrudan TOTP iki faktörlü kimlik doğrulama desteği sunuyor; dolayısıyla ayrı bir uygulamaya gerek yok
  • Aynı mantığı başka yerlere de uygulayalım
    Parola ile giriş sistemini devreye alan şirketler, Post-it hırsızlığından sorumlu olmalı
    E-posta ile iki aşamalı doğrulamayı devreye alan şirketler, e-posta hesabı hırsızlığından sorumlu olmalı
    Bu mantığın geçerli olup olmadığını bilmiyorum. Bunu tekrar tekrar görüyorum. Ortada yasayı ihlal etmeyen ve kolluk kuvvetleriyle işbirliği yapabilecek aktörler var; sonra yasaya uymayan suçlular gidip onların müşterilerine saldırıyor. İnsanlar, hükümeti parmak şıklatıp hırsızlığı iki kat, üç kat daha yasa dışı hale getiremeyecekleri için, genelde suçu olmayan tarafa yüklenip onların hayatını daha zorlaştırmaya çalışıyor
    Derin bir nefes alıp bırakmak lazım. Suçlu yerine masum insanları cezalandırmanın zararsız bir seviyesi yok
    Kulağa tuhaf ve çılgınca gelebilir ama bir SIM değiştiren kişi, SIM swap saldırısından sorumlu olmalı. Ne yani? Suçluyu mu suçlayalım? Cesur bir tavır ama doğru olan bu

    • SMS ile iki aşamalı doğrulama ile örnekler arasındaki fark şu: ilki güvenli şekilde kullanılması kelimenin tam anlamıyla imkansız olan bir şey
      Bildiğim kadarıyla ABD'deki tüketici odaklı mobil operatörlerin hiçbirinde yetkisiz SIM swap gibi şeyleri engelleyecek uygun korumalar yok
      SMS ile iki aşamalı doğrulama uygulayan şirketler bunu bilmeli ve doğası gereği kusurlu bir iki aşamalı doğrulama sistemini bile bile tüketiciye “daha güvenli” diye satıyorsa, başarısız olduğunda bunun sorumluluğunu taşımalı
      SMS ile iki aşamalı doğrulama ne kadar çabuk ölürse, sadece SMS tabanlı iki aşamalı doğrulama uygulamış eski web siteleri de gerçekten güvenli yöntemler uygulamak zorunda kalır
    • 23andMe olayına bakarken benzer şekilde düşündüm
      Daha iyisini yapmış olabilirlerdi, ama onları “cezalandırma” girişimi bana geriye dönük yasa yapma gibi geliyor. Yeni düzenlemeler getirip gelecekteki olayları cezalandırmak gerekir; bu olay özelinde ceza verilmesi gerekmiyor gibi
    • Operatörler de sorumlu olmalı
    • Bu bir korkuluk safsatası. Post-it'e yazmamak senin kontrolünde
      SIM swap saldırısı senin kontrolünde değil
  • Çevrimiçi hizmet sağlayıcının açısından bakınca SMS kullanmak tamamen mantıklı
    Şu iki hedef çok benzer ama ayrı şeyler

    1. Hesap sahipliğini kanıtlama: İşlemi yapmaya çalışan kişi gerçekten hesabın sahibi mi
    2. Meşru olmayan kullanıcıların açtığı hesap sayısını sınırlama
      SMS, 2. madde için çok etkili. Çünkü 100 farklı telefon numarasına erişimi olan insan neredeyse yok
      Bir cep telefonu numarasına sahip olmak genelde adres, pasaport, sosyal güvenlik numarası gibi şeyler gerektiren kişisel bir süreci içerir. Aşılması gereken prosedürler vardır
      Şirketlerin SMS'e dayanmasının nedeni, müşterini tanı (KYC) sürecini operatörlere dış kaynak olarak devredebilmek. Bunu hesap sahipliğini kanıtlamak için en iyi ya da en güvenli çözüm olduğu için kullanmıyorlar
      Sürekli şikayet edenlerin, düzenlemeye tabi ya da finansal hizmetlerle ilgili bir şirkette böyle kimlik doğrulama kararları vermiş olmadığı çok açık
    • Bu nokta, hesap ele geçirme meselesinden tamamen ayrı
      Hesap oluştururken telefon numarası istemek, ama yalnızca o numaraya gönderilen SMS ile hesabın ele geçirilmesine izin vermemek mümkündür
    • Şirketlerin bunu neden yaptığını tam olarak anlamak, bundan memnun olmamız gerektiği anlamına gelmez
      Aynı mantıkla şirketlerin kullanıcıları takip etmesini ve kişisel verileri satmasını da meşrulaştırabilirsin. Para kazanıyorlar ve para kazanmak bir işletmeyi yürütmenin önemli bir parçası
    • “100 farklı telefon numarasına erişimi olan insan neredeyse yok” deniyor ama ortalık SMS doğrulama sağlayıcısı dolu
      Doğrulama başına 50 sent gibi çok düşük ücretlerle onlarca, yüzlerce telefon numarası kullanabiliyorsun. Biraz bile niyeti olan birini durdurmaz