Tek kullanımlık kodları e-postayla göndermek şifrelerden daha kötüdür

• Son dönemde birçok hizmet e-posta veya telefon numarası tabanlı 6 haneli kodla giriş yöntemini kullanıma aldı
  • E-posta/telefon numarası girildiğinde 6 haneli doğrulama kodu gönderiliyor ve bu kod girilerek oturum açılıyor
• Bu yöntem hesap güvenliğinde ciddi zafiyetlere yol açıyor
  • Saldırgan, yalnızca başkasının e-posta adresini meşru bir hizmete girerek doğrulama kodu gönderilmesini isteyebilir
  • Kullanıcı, aldığı doğrulama kodunun gerçekten kullanılması gereken meşru bir durum için mi yoksa bir phishing girişimi için mi olduğunu kolayca anlayamaz
  • Password manager gibi mevcut phishing önleme araçları etkisiz kalır
• Bu doğrulama kodu yöntemi pratikte gerçekten de sürekli kötüye kullanılıyor
  • Microsoft'un işlettiği Minecraft hesap girişinde de benzer bir yöntem kullanılıyor
  • Reddit, YouTube gibi çeşitli çevrimiçi topluluklarda ve medyada çok sayıda hesap hırsızlığı vakası bildirilmiş durumda

Sonuç

E-postayla 6 haneli kod doğrulama yöntemi güvenlik açısından sanılandan daha zayıf bir yöntemdir

• Mevcut şifre yöntemine kıyasla phishing riski aslında büyük ölçüde artar
• Kullanıcı deneyimini iyileştirmek veya güvenliği artırmak için getirilmiş olsa da, gerçekte daha kötü sonuçlara yol açma ihtimali vardır