SMS tabanlı 2FA yalnızca güvensiz değil, dağlık bölgelerde yaşayan insanlara karşı da düşmanca

 (blog.stillgreenmoss.net)
1 puan yazan GN⁺ 2025-05-15 | 1 yorum | WhatsApp'ta paylaş
  • SMS tabanlı iki faktörlü kimlik doğrulama (2FA) yalnızca güvenli olmamakla kalmıyor, dağlık bölgelerde yaşayanlar için büyük bir zorluk yaratıyor
  • Hücresel sinyalin zayıf olduğu dağlık bölgelerde SMS ile gönderilen doğrulama kodlarını almak zor
  • Yalnızca Wi‑Fi araması ya da akıllı telefon kullanımı 2FA sorununu çözmeye yetmiyor
  • TOTP (zaman tabanlı tek kullanımlık parola) yöntemi bir alternatif olabilir, ancak ilk kurulum erişimi kolay değil
  • Milyonlarca dağlık bölge sakininin web sitelerine giriş sürecinde yaşadığı mantıksız durum anlatılıyor

Sorun durumuna genel bakış

  • Yazının sahibinin arkadaşı, Kuzey Carolina'nın dağlık bölgesinde yaşayan 70'li yaşlarında bir kadın
  • Bilgisayarlardan hoşlanmıyor, ancak toplulukla iletişim kurmak için akıllı telefon kullanıyor ve Signal grup sohbetlerine katılıyor
  • Uzun yıllardır sabit telefon kullanıyor; bu da işitme cihazıyla iyi uyum sağlıyor
  • Bölgede iletişim tekeli Spectrum ve hem sabit telefon hem de kablo interneti Spectrum üzerinden kullanıyor

Hücresel hizmet ve SMS 2FA sorununun ortaya çıkışı

  • Birkaç yıl önce mobil hizmete Spectrum Mobile üzerinden abone olmuş; bu hizmet Verizon şebekesini kullanıyor
  • Evde neredeyse hiç hücresel sinyal yok. Burası şehir merkezine arabayla 20 dakika mesafede ve etrafta çok sayıda komşu var
  • E-posta, banka, sağlık sigortası gibi tüm önemli hesaplar 2FA kodlarını SMS ile göndermeye çalışıyor
  • SMS kodları gelmiyor. Evde hücresel hizmet yetersiz; Wi‑Fi araması etkin olsa bile kısa numaralardan (5 haneli) gelen güvenlik SMS'leri ulaşmıyor
  • En güncel iPhone ve resmî olarak sağlanan ekipman kullanılıyor ve kullanım konusunda da deneyimli

Alternatif çözüm arayışları ve sınırlar

  • Bazı İSS'lerin sunduğu sabit telefon hizmetlerinde SMS'leri bilgisayar sesiyle okuma özelliği var, ancak Spectrum'da yok
  • Bazı sitelerde TOTP 2FA'ya geçmek mümkün, ancak buna erişmek için ilk giriş aşamasını geçmek gerekiyor
  • Sorunu çözmek için gereken zahmetli süreç:
    • Giriş yapılamayan sitelerin listesini çıkarmak
    • Sorunu çözmek için şehre gidip arkadaşıyla buluşmak
    • Her birinde TOTP ya da başka bir yönteme tek tek geçmeyi denemek; bazıları bunu desteklemiyor
    • Müşteri hizmetlerine ulaşmaya çalışmak, ancak iletişim kurmak zor ya da imkânsız

Fiilen uygulanması mümkün olmayan alternatifler

  • Numarayı VOIP'e taşıyarak kısa numaralardan gelen SMS'leri almanın bir yolunu aramak
  • Yüzlerce dolar harcayıp hücresel sinyal güçlendirici kurmak
  • Hatta taşınmayı düşünmek
  • Tek bir giriş işlemi için böyle bir sürecin gerekmesinin mantıksızlığına dikkat çekiliyor

Hücresel kapsama haritalarının güvenilirlik sorunu

  • Spectrum kapsama haritasında ev ve çevresi kusursuz hizmet alıyor gibi görünüyor
  • Gerçekte ise evde hizmet yok ve yalnızca 100 metre ilerleyince bile sinyal kayboluyor

Dağlık bölgelerde yaşayan pek çok insanın ortak sıkıntısı

  • Milenyum kuşağından bir arkadaşı da bunu "SMS 2FA hayatı çekilmez kılıyor" diye tanımlıyor
  • Yalnızca çok derin vadilerde değil, daha sıradan yerlerde bile SMS 2FA kaynaklı sorunlar yaşanıyor

TOTP yönteminin sınırları ve zorlukları

  • TOTP de kusursuz değil
    • Ayrı bir uygulama yüklemek gerekiyor
    • Hangi uygulamanın kullanılacağına karar vermek karmaşık ve teknik açıklamalarla dolu

Özet ve ölçek sorunu

  • SMS 2FA'nın yaygın kullanılmasının nedeni, sezgisel kullanıcı deneyimi ve belli ölçüde güvenilirlik sunması
  • Ancak Kuzey Carolina'nın dağlık kesimindeki 1,1 milyon kişi, tüm Appalachia'daki 25 milyon kişi dahil milyonlarca insan kötü koşullarla karşı karşıya
  • İnternet olsa bile cep telefonu sinyali çok zayıf olabiliyor
  • Bu bölgelerde yaşayan insanlar için makul alternatifler ya da yeterli düşünce eksik

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-15
Hacker News görüşü

  • Seçebileceği diğer seçeneklerden birinin, telefon numarasını SMS'i Wi‑Fi üzerinden alabilen bir VOIP sağlayıcısına taşımak olması ilginç; ancak bazı şirketlerin seCuRiTy gerekçeleriyle VOIP numaralarına SMS-OTP kodu göndermediğini ya da numaranın kişinin kendi adına kayıtlı olmasını şart koştuğunu fark ettiğini söylüyor. Bunun gibi kısıtlamaların yasa dışı olması gerektiğini düşünüyorum; numara sadece bir numaradır. Wi‑Fi aramayı açınca arkadaşlardan veya aileden gelen SMS'leri alıyor ama 2FA kodları hâlâ gelmiyor. SMS over IMS'in dış göndericiler için şeffaf biçimde uygulandığını sanıyordum ama SMS protokolünün kendisinin bu kadar özensiz tasarlanmış olması nedeniyle buna şaşırmıyorum.

    • SMS sisteminin nasıl çalıştığını açıklayabilirim sanırım: sistem mesajları sadece “körlemesine” gönderir. Alıcı çevrimdışıysa veya sinyali yoksa ilgili operatör mesajı yaklaşık 3 ila 7 gün saklar. OTP sistemleri ise Vonage, Twilio API vb. ile erişilebilirlik kontrolü yapar ama bu kontrol kusursuz değildir. Olağandışı bir şey görülürse mesaj hiç gönderilmez. Bu yaklaşım mesaj maliyetini düşürmek içindir. Bunun daha önce doğrulanmış numaralara da uygulanması bence mantıksız.

    • Avrupa açısından konuşursak, PSD2 adlı finans direktifi gereği 2FA için SMS yalnızca KYC'si zaten tamamlanmış numaralara izin verir. 2FA sonuçta “sahip olduğunuz bir şeyi” kanıtlayan bir elektronik imza işlevi görür ve burada o şey kimliği doğrulanmış telefon numarasıdır. SMS'in tüm nüfus, bölge ve cihazlarda kolayca uygulanabilen tek 2FA yöntemi olduğunu vurguluyorum.

    • Aynı şirketlerin 2FA için yalnızca SMS'e izin verip VOIP'e göndermemesi gerçekten saçma geliyor. Muhtemelen tüm şirketler SMS göndermek için belirli bir hizmetin içinden geçiyor ve o hizmet VOIP'i engelliyor. Neredeyse tüm bankalar zorunlu olarak SMS 2FA istiyor ama başka yerlerin uygulama desteklemesi de ayrıca çok tuhaf.

    • 2025 yılı itibarıyla telefon numarası hâlâ Sybil problemini, yani bir kişinin birden çok hesap açması sorununu bir nebze çözebilen bir yöntem. Gerçek bir KYC süreci olmadan da belli ölçüde kimlik doğrulaması sağlayabiliyor.

    • Wi‑Fi aramayı yalnızca 2FA SMS'i almak için kullandım. RedPocket (MVNO) ve T-Mobile kombinasyonuyla hiçbir sorun yaşamadım. Bulunduğum yerde T-Mobile'ın doğrudan sinyali yoktu, bu yüzden SMS ancak Wi‑Fi üzerinden mümkündü. Tarife de ucuzdu. Yalnız eski telefonlarda Band desteği olmaması gibi sorunlar yaşanabiliyordu.

    • Mesajların niteliği gereği, arkadaş ve aile mesajları P2P olarak gelirken 2FA makineden kişiye A2P'dir. Bu iki yöntemin işlenişi açıkça farklıdır.

    • Numaranızı bir VOIP sağlayıcısına taşısanız da gönderen tarafın bunun mobil mi VOIP mi olduğunu ayırt edemeyeceğini düşünüyorum. Ben bu şekilde taşıdıktan sonra da SMS 2FA'yı sorunsuz alıyorum.

    • Farklı banka hizmetleri kullandığınızda bazılarının Google Voice'a hiç sorun çıkarmadan SMS token gönderdiğini, bazılarının ise Google Voice SMS'ine yalnızca müşteri hizmetleri üzerinden izin verdiğini görüyorsunuz; politikalar rastgele gibi. Hatta normal kanaldan göndermeyip otomatik sesli aramayla aynı kodu okuyanlar bile var. Güvenlik politikasının keyfi olduğunu düşünüyorum.

    • VOIP ile SMS-OTP kodu alma seçeneği sonuçta kötü bir fikir. Kısa bir süre işe yarar, sonra güvenlik politikaları sıkılaştırılır ve engellenir. Tüm bu önlemler gerçekte kullanıcı güvenliği için değil, durmaksızın gelen spam ve dolandırıcılık trafiğini yavaşlatmak için konan bariyerler. Gerçek bir telefon numarasına sahip olmak fiilen bir “Proof of Work” gibi kullanılıyor ve pratikte de bir alternatifi yok.

    • Sorun zaten SMS yönteminin kendisi, dolayısıyla bu tartışmanın tamamı anlamsız. Bence SMS kullanımının kendisi yasa dışı olmalı.

  • Mikrocell/femtocell varsa ev ya da ofis gibi çekimin zayıf olduğu yerlerde çok etkilidir. Sağlayıcınızı arayıp sinyalin zayıf olduğunu söylerseniz internet → hücresel dönüşümü yapan bir AP'yi (Access Point) ücretsiz yollarlar. Bu cihazlarda RJ-45 girişi ve e911 konum verisi için GPS anteni bulunur. Bizim dükkân da metal duvarlı ve vadide olduğu için eskiden konuşmak için tepeye çıkmak gerekirdi; ama her operatörden femtocell isteyip kurduktan sonra herkes ISS ağı üzerinden otomatik geçiş yaparak normal şekilde kullanabildi. MVNO'lar bile destekleniyor. Yalnız femtocell kullanmak için MVNO yerine operatörün doğrudan hizmetini kullanmanız gerekebilir.

    • Görünüşe göre t-Mobile artık mikrocell denen ekipmanı desteklemiyor; destek sayfasına bakabilirsiniz.

    • Femtocell'in de dezavantajları var. Mutlaka GPS sinyali gerekiyor, bu yüzden dağlık arazide çalıştırmak zor. Yıllarca femtocell kullandım; bazen bilinmeyen bir nedenle çalışmayı bırakıyor ve neden çalışmadığını da söylemiyor.

    • Verizon'dan ücretsiz 4G LTE Network Extender aldım. Tek sorun, evden çıkarken bağlantının kopması. Bir keresinde 911'i ararken hareket hâlindeyken sinyal koptu ve kapsama alanından çıkınca yeniden bağlanana kadar görüşme kesildi. Sonrasında Verizon konum bilgisini düzeltmek için benimle iletişime geçti.

    • Büyük operatörlerin, doğrulanmamış bir ISS'ye bağlı hücre kulelerini (mikrocell) herhangi birinin çalıştırmasına bu kadar rahat yaklaşması şaşırtıcı. Normalde marka kontrolüne çok önem veren şirketler ama bu konuda inanılmaz esnekler.

  • Yurt dışı dolaşımdayken SIM kartımı evdeki Android telefonda bırakıp cihazı prize takılı tutuyorum; SMS'leri API ile yönlendiren bir uygulama kullanıyorum. Tüm SMS'leri e-postayla alabiliyorum. Yıllardır bu yöntemi sorunsuz kullanıyorum. Normal zamanda da OTP SMS'lerini bilgisayardan almak rahat oluyor. MMS alınmıyor ama ona da ihtiyacım yok.

    • Buna "2FA Mule" diyorum. Bu yöntemi 4 yılı aşkın süredir kullanıyorum ve çok iyi çalıştığını düşünüyorum. İyi bir seçenek.

    • Çift SIM ve WiFi aramayı destekleyen bir telefonunuz varsa, gittiğiniz ülkede yalnızca veri sağlayan bir eSIM kullanıp mevcut SIM'inizle SMS almaya devam edebilirsiniz.

    • Ben de benzer şekilde evde bir Android telefon bırakıp dizüstünden web mesajlaşma hizmetiyle SMS alıyordum. Bugünlerde SMS, WiFi aramada da çalıştığı için bu artık mutlaka bir sorun değil.

    • Android telefonların 3 günde bir otomatik yeniden başlatılacak şekilde değiştirilebileceği söyleniyor; bu yüzden bu yöntem yakında işe yaramayabilir.

    • Bunun neden dolaşımla ilgili olduğunu anlamıyorum. Avrupa ve başka birçok yerde sık sık roaming yaptım, SMS almada hiç sorun yaşamadım.

  • Bu yazı biraz niş bir makale; SMS 2FA kodu sanki hücresel hizmete abone olur olmaz gelmiş gibi görünüyor ama aslında 2FA kaydını önce tamamlayıp sonra dışarı çıkmanız gerekmiş olabilir, böylece kod etkinleşmiştir. TOTP de aslında o kadar zor değil. Sadece bir uygulama seçmesine yardım edip yedek kodların çıktısını almasını sağlarsanız büyük bir sorun kalmaz.

  • Google Fi, Wi‑Fi üzerinden kısa numaralar dâhil tüm ikinci doğrulama SMS'lerini alabiliyor. Hatta telefon kapalı ya da bozuk olsa bile web tarayıcısı üzerinden tüm cihazlarda alınabiliyor. Bu özelliği çok seviyorum. Hizmet aylık 20 dolardan başlıyor. Eskiden dağlık bölgelerde US Cellular işbirliği sayesinde iyi çalışıyordu ama son dönemde T-Mobile tarafına kısmen geçmiş durumda, bu yüzden koşullar değişiyor.

    • ABD dışında 12 yıl yaşadım; Google Fi gelmeden önce SMS'le hep sorun yaşardım. Birçok banka SMS doğrulamasında ısrar ediyor ama VOIP sanal numaralarda iki sorun var: (1) bazı bankalar güvenlik gerekçesiyle hizmet vermiyor, (2) teknik nedenlerle SMS alınamıyor. Google Fi, hücresel hizmet olmadığında bile Wi‑Fi üzerinden yönlendirerek bunu çözüyor. Yalnız ABD dışında 1 aydan sonra veri kesiliyor ama sadece SMS/sesin çalışması bile yeterli.

    • RCS ve “messages for web” kullanımının mümkün olup olmadığını merak ediyorum. Eskiden Fi sync'i açmanız gerekiyordu ki telefon kapalıyken bile mesaj/ses kullanılsın; ama o durumda RCS kapanıyordu. Hâlâ böyle mi ve mesaj/ses hangi URL'de kullanılabiliyor, merak ediyorum.

  • Kullanıcı beklentilerinin aşırı olduğuna katılıyorum. Örneğin Lime scooter kiralarken VPN ayarı bozulduğu için internet yoktu ve kiralamayı bitirdiğimi işaretleyemedim. GPS durduğumu algıladığı için ek ücret iade edildi ama telefonun pili bitmiş olsaydı başım derde girebilirdi. Hareket hâlindeyken bu tür beklenmedik durumlara hazırlıklı olmak gerekiyor.

    • Almanya'daki yeni DHL paket dolaplarını kullanırsanız ekran olmadığını, yalnızca uygulamayla çalıştığını görürsünüz. Aynı anda hem Bluetooth hem internet bağlantısı istiyor. Dolabın kendisinde internet olduğu için uygulamanın bu isteği bana gereksiz geliyor.

  • Belirli gruplara karşı düşmanca unsurlar her zaman vardır; 2FA için de kusursuz bir yöntem yok ve her yöntemin kendine özgü zahmeti var. SMS 2FA güvenlik açısından zayıf ama en yaygın kullanılanı ve kurtarması en kolay olanı. TOTP uygulamaları daha güvenli ama cihaz kaybı veya değişiminde geri yüklemesi zor. Yubikey gibi donanım token'ları ücretli ve onlarda da kurtarma sorunu var. En sağlam yaklaşımın federal devletin merkezi bir donanım kimlik doğrulama sistemi işletmesi olduğunu düşünüyorum (ABD Savunma Bakanlığı'nın CaC kartları gibi); ancak ABD'de gizlilik tartışmaları ve bütçe sorunları nedeniyle böyle bir sistemin hayata geçmesi çok zor. SMS 2FA kırsal ve dağlık bölgelerde yaşayanlara karşı olumsuz etki yaratıyor olabilir ama gerçekte hiçbir 2FA yöntemi kusursuz değil.

    • Kimlik doğrulamada gizlilik belirli durumlarda önemlidir, örneğin oy verme gibi; ancak bankacılıkta olduğu gibi gerçekten kim olduğunuzu kanıtlamanız gereken durumlarda gizlilik endişelerinin pek geçerli olmadığını düşünüyorum.

    • Yubikey vb. ilk bakışta kurtarması zor görünebilir ama birden fazla anahtar kaydederseniz birini kaybettiğinizde diğer anahtarla yenisini ekleyip devam edebilirsiniz.

  • Google Voice uygulamasını kurarsanız bazı 2FA hizmetleri çalışır, bazıları çalışmaz. Bazı hizmetler GV numarasını reddeder. GV, SMS'i Wi‑Fi üzerinden alabilir. Operatörden femtocell istemek eskiden ucuzdu ama artık üretimi durmuş durumda ve fiyatı 2500 dolara kadar çıkabiliyor. mightytext.net'e kaydolup SMS'i bilgisayardan da alabilirsiniz ama bunun hücresel sinyal olmadan çalışıp çalışmadığından emin değilim. Parmakla yazmak yerine dizüstü klavyesiyle SMS yazmak daha rahat olduğu için kullanıyorum.

    • USB modemi bilgisayara bağlayıp sinyal alan bir yere koyarak internetten erişmek de mümkün. Ben bunu tersine, uzaktan izleme için Raspberry Pi ile kullanıyorum. Prototip aşamasında SMS ayrıştırma da yapmıştım. Herkes için uygun değil ama HN ruhuna uygun olarak paylaşıyorum.

    • mightytext.net, telefonda sinyal yoksa çalışmaz. Metin iletimini yalnızca operatör yapabilir. ABD'deki tüm operatörlerde böyle hizmetlerle entegrasyon yapmak da zor, teknik kısıtlar çok. SMS yönlendiricisine doğrudan erişip aktarma yapabilen tek şey Apple'ın uydu SMS hizmeti.

    • Bu yaklaşımın avantajlarından biri, SMS erişimini MFA ile koruyabilmenizdir.

  • TOTP, HOTP vb. telefon numarası gibi kişisel tanımlayıcı verilere gerek olmadan uygulanabilir. SMS için bir numara gerekir ve o numara kişisel bilgilerinizle bağlantılıysa pazarlama veya veri birleştirme açısından çok daha değerli olur.

    • SMS doğrulaması isteyen yerlerin çoğu zaten adınızı, adresinizi ve diğer kişisel bilgilerinizi biliyor olur; örneğin finans, ruhsatlandırma veya sağlık kurumları gibi. Bu yüzden pazarlama amaçlı veri birleştirme tartışması pratikte pek anlamlı değil. TikTok gibi sırf numara isteyen bir yer olursa tek kullanımlık numara kullanır ya da reddederim.

    • TOTP/HOTP, “bu tutarı bu mağazada ödemek istiyorum” gibi WYSIWYS özelliği sağlamaz; yani ne görüyorsan onu imzalama. Banka ödemelerinde bu tür doğrudan onay gerekir. Nitekim AB'de WYSIWYS düzenlemeyle zorunlu tutulabiliyor; bu yüzden geçici boşluğu doldurmak için bankaya özel uygulamalar gerekiyor. Mevcut standartlar (WebAuthN vb.) tek başına yeterli değil; SPC uzantıları gibi yeni yöntemlere ve donanım kimlik doğrulayıcılarına ihtiyaç olduğunu düşünüyorum.

  • Ben de kırsalda yaşıyorum ve bazen SMS kodlarının gelmemesi sorununu yaşıyorum. Bazı günler geliyor, bazı günler gelmiyor ve nedenini bilmiyordum; bu yazı sebebini çok net açıklıyor. Normalde Spectrum hizmetiyle hem Wi‑Fi hem mobil kullanıyorum; sinyal gücüne göre Wi‑Fi'a bağımlı kalınca bunun yaşandığını anladım.