Tek kullanımlık kodları e-postayla göndermek şifrelerden daha kötüdür
(blog.danielh.cc)- Son dönemde birçok hizmet e-posta veya telefon numarası tabanlı 6 haneli kodla giriş yöntemini kullanıma aldı
- E-posta/telefon numarası girildiğinde 6 haneli doğrulama kodu gönderiliyor ve bu kod girilerek oturum açılıyor
- Bu yöntem hesap güvenliğinde ciddi zafiyetlere yol açıyor
- Saldırgan, yalnızca başkasının e-posta adresini meşru bir hizmete girerek doğrulama kodu gönderilmesini isteyebilir
- Kullanıcı, aldığı doğrulama kodunun gerçekten kullanılması gereken meşru bir durum için mi yoksa bir phishing girişimi için mi olduğunu kolayca anlayamaz
- Password manager gibi mevcut phishing önleme araçları etkisiz kalır
- Bu doğrulama kodu yöntemi pratikte gerçekten de sürekli kötüye kullanılıyor
- Microsoft'un işlettiği Minecraft hesap girişinde de benzer bir yöntem kullanılıyor
- Reddit, YouTube gibi çeşitli çevrimiçi topluluklarda ve medyada çok sayıda hesap hırsızlığı vakası bildirilmiş durumda
Sonuç
E-postayla 6 haneli kod doğrulama yöntemi güvenlik açısından sanılandan daha zayıf bir yöntemdir
- Mevcut şifre yöntemine kıyasla phishing riski aslında büyük ölçüde artar
- Kullanıcı deneyimini iyileştirmek veya güvenliği artırmak için getirilmiş olsa da, gerçekte daha kötü sonuçlara yol açma ihtimali vardır
3 yorum
Pek katıldığımı söyleyemem; bana çok belirli durumlarda işe yarayan bir numara gibi geliyor.
Passkey kullanırken cihazını kaybedersen gerçekten çok zor durumda kalırsın gibi...
Hacker News görüşü
Saldırı deseni şu şekilde işliyor
1) Kullanıcı sahte bir siteye kaydolur
2) O site, “GOOD sitesinden giriş kodu e-postayla gönderildi, lütfen girin” der
3) Sahte site, kullanıcının e-postasına GOOD sitesindeki “e-postayla tek kullanımlık kodla giriş” akışını başlatır
4) GOOD sitesi giriş kodunu kullanıcıya e-postayla yollar
5) Kullanıcı e-postanın GOOD'dan geldiğini görüp buna güvenir ve kodu girer
6) Kullanıcı kodu sahte siteye girer
7) Sahte site de bu kodu kullanarak GOOD sitesine kullanıcıymış gibi giriş yapar
Bu nedenle “tek kullanımlık kodu e-postayla gönderme” türü kimlik doğrulama, phishing saldırılarına çok açıktır
“E-postadaki bağlantıya tıklama” yöntemi biraz daha iyidir; çünkü kullanıcı doğrudan GOOD sitesine gider ve bu bağlantıyı sahte siteye kopyalayıp yapıştırmak daha zahmetli ve daha şüpheli görünür
Bununla birlikte, popüler bir e-posta hizmeti bir anda giriş e-postalarını ya da bağlantının kendisini engellemeye başlarsa, çok sayıda kullanıcı hiç giriş yapamaz hâle gelir
En doğru yöntem Passkeys'tir
Parola yöneticilerinin passkey desteği giderek iyileşiyor
Passkey'leri sakladığınız cihazı kaybedip tüm passkey'leri yitirseniz bile, bunun mevcut parola düzenlerinden çok daha güvenli olduğuna eminim
Büyükannenin hesabına erişmek için bankaya gitmesi, birinin phishing ile onun tüm parasını çalmasından daha iyidir diye düşünüyorum
Passkeys meselesi, “cihaz kaybedilince erişimi kaybetmek”ten daha karmaşıktır (yapılandırmaya göre cihaz kaybında da çözümler olabilir)
En büyük sorun Attestation'dır
Hizmetlerin, kullanıcı özgürlüğünü artıran araçları (ör. açık kaynak kimlik doğrulama çözümleri gibi) kullanan kişileri engelleyebilmesine izin veriyor
Passkeys ya da challenge-response protokolü aslında parolaların yerini alabilecek müthiş bir iyileştirme olabilirdi
Ama gerçekte, yalnızca BigTech'in egemenliğini daha da sağlamlaştıran ve kullanıcı özgürlüğünü azaltan bir yönde tasarlandılar
“Büyükannenin hesap kurtarma için bankaya gitmesi daha iyidir” sözüne gelince
Birisi sizi silahla tehdit edip hesabınızı zorla açtırır ve tüm paranızı boşaltırsa o zaman ne olacağını da düşünmek gerekir
Yaşadığım üçüncü dünya ülkesinde akıllı telefon gaspı o kadar yaygın ki 2FA bile pratikte mümkün değil
Bir keresinde 2FA kurtarma yaptım ve tam anlamıyla cehennem gibiydi
Parolalarda ise nerede olursam olayım Bitwarden'a erişmem yetiyordu
GitHub'da bir passkey ayarladım ve bunun Chrome'da kayıtlı olduğunu doğruladım
GitHub'a passkey ile giriş yapmaya çalışınca Chrome, Google Password Manager PIN'ini girmemi isteyen bir pencere açıyor
Bu PIN'in ne olduğunu bilmiyorum ve sıfırlamanın bir yolunu da bulamıyorum
Ne Google profilinde, ne parola yöneticisinde, ne de güvenlik ayarlarında bu PIN hakkında bir açıklama var
Büyükannenin bankaya gidip hesabını kurtarmasının sorun olmayacağını söyleyenlere
Ben gidip bankada ya da şirketin IT help desk'inde hesabımı kurtarabilirim,
ama Google, Facebook ya da Xitter genel merkezine gidip aynısını yaptıramam
Cihaza bağlı passkey'lerde bu tür durumlarda hata çıkma olasılığı çok yüksektir
Çoğu kullanıcı böyle senaryoları hesaba katmaz
Tek başına Passkeys yeterli değil
Söylenmek istenen şey, geçmiş hataları tekrarlamamak
Temel varsayılan parola yöneticisi olmalı; yalnızca gerçekten istisnai durumlarda (ör. e-posta hesabı, finansal hesaplar vb.) özel MFA kullanılmalı
Bence MFA kurulumu da en az 3 yöntemin ayarlanmasını zorunlu kılmalı ve bunlardan en az 2'si kullanılabilmeli
Basılı kodlar, işletim sisteminden bağımsız doğrulama uygulamaları, yubikey gibi donanım anahtarları dahil neredeyse her yöntemi desteklemiyorsa, o MFA'nın pek değeri yoktur
Günde dört kez Microsoft hesabı parola sıfırlama talebi bildirimi alıyorum
İçinde 6 haneli sayı olan e-postalar geliyor ve bununla hesap kurtarma yapılabiliyor
Sonuçta bu, saldırganın hesabımı ele geçirmek için her gün milyonda 1 olasılıkla 4 deneme yapabildiği anlamına geliyor
Bunu binlerce hesap üzerinde denerlerse, her gün bedavadan bazı hesapları kırabilirler
Bu konuda bir güvenlik raporu bile gönderdim ama matematiksel olarak açığın yeterince kanıtlanmadığını söyleyip işlem yapmayı reddettiler
Geriye sadece spam'e katlanıp hesabımın ele geçirilmemesini ummak kalıyor
Bunu bir giriş takma adı (alias) ekleyerek çözdüm
Girişte eski hesap e-postası (açıkta olan e-posta) artık engellendi ve yalnızca gizli, rastgele bir string olan takma adla giriş yapılabiliyor
O zamandan beri dışarıdan tek bir giriş denemesi bile olmadı
[Ayar yolu: account.microsoft.com > Bilgileriniz > giriş tercihleri > e-posta ekle > takma ad ekle ve varsayılan yap > giriş tercihlerinde yalnızca takma ada izin ver seçeneğini işaretle]
Ben de aynı şeyi yaşadım
Sanırım bir dönem Microsoft Teams kullanmak zorunda kalmamın kalan etkisi olabilir
Saldırgan bu yöntemi 125.000 hesap üzerinde kullanırsa, günde yaklaşık bir hesabı tutturabilir
Belirli bir hesabı hedeflemek yerine herkese karşı denerse, harcanan zamana göre verim oldukça iyi
Bunu çözmek için sabit 4 deneme sınırı yerine, her başarısızlıkta bekleme süresini artıran bir exponential backoff uygulanmalı
Ben de eski Instagram hesabımda sürekli benzer mesajlar alıyorum
“Girişte sorun mu yaşıyorsunuz? Parolanızı değiştirmek için buraya tıklayın!”
Aynı şey eski ve işe yaramaz bir hesapta da oldu
Giriş denemelerinde kullanılan IP adreslerine baktığımda, dünyanın dört bir yanındaki farklı ISP'lerden geldiklerini gördüm; çoğu da birbirinden farklı /16 ağlarındandı
Böyle “işe yaramaz” bir hesap için bile botnet kullanıyorlarsa, daha fazla risk altında olan kişilerin durumu ne kadar kötüdür diye endişeleniyorum
2FA ekleyince sorun tamamen çözüldü
Bu kişilerin ilk başta 6 haneli kod kullanan giriş akışını nasıl keşfettiğini hâlâ anlamıyorum (ben her seferinde parola girdikten sonra doğrudan giriş yapıyordum)
Ama 2FA ekledikten sonra bir tane bile ek deneme görmedim
2FA kodlarını da parola yöneticisinde saklıyorum
Microsoft'un otomatik 6 haneli (üstelik harf bile değil, sadece rakam!) “parola” çekilişine artık saldıramamaları hoşuma gidiyor
En kötü tarafı, bu kimlik doğrulama yönteminin kullanıcı alışkanlıklarını ve beklentilerini daha da kötüleştirmesi
1Password gibi modern bir parola yöneticisi kullanırsanız, e-posta token yönteminden çok daha kolay, daha güvenli ve daha hızlıdır
Birkaç cihazda ilk kurulum ve doğrulamaya biraz dikkat etmek yeterli
Yeni bir yere taşınıp kapı anahtarını çoğaltmak gibi, parola yöneticisine kaydettikten sonra diğer cihazlarda senkronizasyonu da doğrulamak gerekir ki içiniz rahat etsin
İnsanlar bunu yapabilir
Kriptografi ya da 2FA kavramlarını bilmeleri gerekmez; sadece “yeni parola oluştur”a tıklayıp uygulamanın kaydettiği rastgele parolayı kullanmaları yeterlidir
Passkey'lerde de durum aynıdır; sadece bunları cihazın yerleşik deposunda değil, yedekleme ve kurtarmayı da düşünerek saklamak gerekir
İronik olan şu ki eski yöntem (e-posta ve parola girmek) aslında daha iyi çalışıyor
Parola yöneticisi her şeyi zaten otomatik doldurduğu için pratikte çok daha hızlı
Passkey'ler bundan da hızlı olabilir
Ben de hayal kırıklığı yaşıyorum ama çevremde IT dışı işlerde çalışan insanların %80'i güvenlik konusunda tamamen bilgisiz ve bunu kabullenmiş gibi görünüyor
Görebildiğim tek başarılı örnek, hesap bilgilerini küçük bir not defterine yazmak ve parolalarda hem rakam hem harf bulundurmaktı
Bu akışın sorununu anlıyorum
Ama benim deneyimime göre, bu tek kullanımlık parola yöntemi çevremdeki IT dışı insanlar için paroladan sonra en tanıdık kimlik doğrulama biçimi
Yaşadığım küçük kasabada parola yöneticileri ya da passkey'ler daha da anlaşılmaz geliyor; nasıl kullanılacağını yüz yüze anlatsanız bile asla kavratamıyorsunuz
Zihinsel model baştan aşağı fazla yabancı ve UX de anlaşılmayacak kadar karmaşık
Halkın sezgisel olarak kavrayabileceği bir şey çıkana kadar, parolalar ve “sorunlu” tek kullanımlık kod yöntemleri basit oldukları için baskın kalacak gibi görünüyor
Güçlü bir parola kullansanız bile, parolayı “unutmanız” durumundaki hesap kurtarma yöntemi yine aynı tek kullanımlık kod deseni oluyor
Sonuçta parolayı “unutmuş gibi” davranan bir saldırgan, bu kurtarma akışıyla giriş yapabilir
Ben de geliştirdiğim bir hizmette giriş için tek kullanımlık kod yöntemini kullanıyorum
Ama bu hassas bir hizmet değil; dolayısıyla amaç katı güvenlik sağlamak değil
Hatta buna ICGAFAS (“I Couldn't Give A Factor” Auth System) diyorum; yani baştan beri güvenliği pek umursamadığımı açıkça gösteriyor
E-posta tabanlı kimlik doğrulama, yönetici tarafında da SMTP gönderimi/teslimi gibi ekstra dertler çıkarıyor
Sonuçta kara listeye düşmemek ya da spam filtrelerine takılmamak için üçüncü taraf bir relay hizmeti kullanmak zorunda kalıyorsunuz
Çoğu hizmetin klasik e-posta+PW ya da sosyal giriş yerine bu tek kullanımlık kod yöntemini zorlaması çok sinir bozucu
Bırakın 100 karakterlik parolamı kullanayım
Siz hedef kullanıcı değilsiniz
Hatta oldukça sıra dışı küçük bir azınlığa aitsiniz
Uzun vadede “çoğunluk”la buluşabilecek çözümleri düşünmek gerekiyor
100 karakterlik gibi çok uzun parolaların anlamlı olduğunu düşünmüyorum
Alttaki kriptografide fiilen kullanılan key length'e göre uzunluk truncate ediliyor
NIST belgesinde (NIST 800-63b section 5.1.2.1) bu tür bir kimlik doğrulamanın resmen izin verilip verilmediğine baktım
Bunu “Look-up Secret Authenticator” olarak sayarsanız özel bir sorun görünmüyor
Aslında önceden dağıtılmış doğrulama kodları (kurtarma kodları vb.) için düşünülmüş bir yöntemin, gerçek zamanlı gönderim ve tek seçimli kullanım şeklinde kötüye kullanılması gibi
Bunun phishing'e açık olduğunu düşünüyorum ama dürüst olmak gerekirse bunun klasik kullanıcı adı/parola düzeninden daha tehlikeli olduğunu kesin söylemek de zor
Örneğin kullanıcıya e-postayla 6 haneli bir kod isteyip bunu girmesi söylenirse, o kodun gerçek mi sahte mi olduğunu ayırt edemez
Ama saldırgan da Google hesabı gibi görünen sahte bir sayfayla kullanıcıyı kandırıp bilgilerini ele geçirebilir
Sonuçta gerçek gelecek yalnızca phishing'e dayanıklı kimlik doğrulamadır diye düşünüyorum
Bugün aniden böyle bir kimlik doğrulama döngüsüne girdiğim için gofundme hesabımı silmek zorunda kaldım
Hesabı yıllardır kullanıyor ve bağış yapıyordum ama artık telefon numarası ve MFA kodunu zorunlu tutuyor, ayrıca bunu reddetme seçeneği de sunmuyor
Sonunda tüm süreci tamamlayıp hesabı devre dışı bıraktım
Bence bu tür kimlik doğrulama hayatımda gereksiz; gofundme olmadan da yaşayabilirim
Bu aralar ev arıyorum; Zillow uygulaması da aynı şekilde giriş istiyor ve gelen mesajları okuyabilmek için her seferinde MFA talep ediyor
Bir saat sonra oturum süresi doluyor
Bu tür kimlik doğrulamadan bıktım usandım
Tam anlamıyla çılgın bir dünya
Ticketmaster da benzer şey yapıyor
Google Voice numaralarını kabul etmiyor, yalnızca SIM'e bağlı bir numara istiyor
Oysa benim SIM numaram sık sık değişen bir “uygulama detayı”ndan ibaret; ama şu anda o numara olmadan hesaba giriş yapılamıyor
Sonuç olarak ya bu şekilde bilet işlerinden vazgeçiyorsunuz ya da her SIM değişiminde hesap kilitlenmesi riskini kabul ediyorsunuz
Google benim hesabımda 2FA'yı kendi kendine açtı ve hesaba kayıtlı telefon numarası eski olduğu için hesap tamamen kilitlendi
Bir hizmet parola ve ikinci faktörü hiçbir uyarı vermeden değiştirirse, hesaba bağlı telefonunuz yanınızda olmadan seyahatteyken erişiminiz sonsuza kadar engellenebilir
Hizmetlerin çoğu ikinci faktörü, benim yerel parola yöneticisinde kayıtlı 20 karakterlik rastgele parolamdan daha güvenli kabul ediyor
Oysa ikinci faktör dedikleri şey çoğu zaman sadece SMS ile düz metin gönderimi ya da e-postayla düz metin gönderimi gibi önemsiz düzeyde yöntemler
Bu cümleyi dört kez okumama rağmen anlayamadım
Şuna benzer bir açıklama: “Saldırgan kullanıcının e-posta adresini meşru hizmete gönderip 6 haneli kod talep ettiğinde, kullanıcı o kodun gerçekten giriş için mi geldiğini anlayamaz.”