Microsoft'tan, SMS'le Doğrulama Konusunda Çok Konuşulacak Açıklamalar
Microsoft çok faktörlü güvenli kimlik doğrulamanın çok önemli olduğunu söylüyor. Ama bu iş için SMS'lerin kullanılması, Microsoft'a göre çok yanlış...
Günümüzde birçok insan COVID-19 salgını nedeni
ile alınan önlemler kapsamında evden çalışıyor. Hal böyle olunca,
dijital güvenlik ve gizlilik her zamankinden fazla önem kazanmış
durumda. Microsoft, siber güvenlik konusundaki girişimlerini bu
dönemde daha da hızlandırdı ve ekstra önlemler üzerinde çalışıyor.
Microsoft'ta Kimlik Güvenliği Direktörü Alex
Weinert geçtiğimiz gün yazdığı bir blogda, çok
faktörlü kimlik doğrulamasında telefon ağlarının
kullanımından uzaklaşılması gerektiğini belirtti.
Bahsi geçen servisler, telefonlarda SMS ve ses tabanlı kimlik doğrulaması. Weinert, çok faktörlü kimlik doğrulamasını mutlaka kullanılması gerektiğini, ancak kullanım şeklinin değişmesinin şart olduğunu öne sürüyor. Telefon tabanlı doğrulamalar oltalama saldırılarından hesap çalmaya kadar birçok açık içeriyor. Çok faktörlü kimlik doğrulama sistemlerinin kullanımı arttıkça saldırganların da bu sistemleri hack'lemek için geliştirdikleri yöntemler çoğalıyor. Telefonla kimlik doğrulamada kullanılan yöntemler geleneksel olduğundan ve geliştirilmeye açık olmadığından, güvenlik seviyelerini daha fazla artırmak mümkün görünmüyor.
Telefonla doğrulama sistemleri %100 güvenilir değil ve raporlamaları da %100 tutarlı olmayabiliyor. Bulunduğunuz bölgeye ve operatöre bağlı değişiklik gösteriyor ve bir mesajın size ulaştığı yol, onu almanın ne kadar süreceğini ve onu alıp almayacağınızı etkileyebilir. Bazı durumlarda, taşıyıcılar teslimat başarısız olduğunda teslimatı bildiriyor, diğerlerinde ise mesajların teslimi, kullanıcıların mesajların ulaşamadığını varsayacak kadar uzun sürebilir. Bazı bölgelerde teslimat oranları %50'ye kadar düşebiliyor! SMS, "gönder ve unut" şeklinde çalışan bir sistem olduğu için doğrulama sırasında bir mesajın erişiminde bir sorun çıkıp çıkmadığını tespit etme imkânı bulunmuyor. Bu durumda kullanıcılara alternatifler sunmak veya bir sorun hakkında uyarıda bulunmak oldukça zorlaşıyor.
Weinert blog yazısında ayrıca kullanıcıların artık çok adımlı kimlik doğrulamada Microsoft Authenticator gibi teknolojilere geçmesi gerektiğini, bu tür sistemlerin SMS veya telefonla doğrulamada söz konusu olan hiçbir problemi içermediğini söylüyor.