İki adımlı doğrulama, iki aşamalı doğrulama, tek kullanımlık şifre veya adına ne isterseniz deyin… Sizce sistemler gözümüz kapalı güvenebileceğimiz kadar iyi olabilirler mi? Kuşkusuz evet, fakat yalnızca gözümüzü kapatmak yerine fal taşı gibi açtığımız zamanlarda…
Dünyanın en popüler bilgisayar ve internet korsanlarından Kevin Mitnick, birçok geliştirici ve son kullanıcının merak ettiği soruya uygulamalı olarak yanıt verdi. Mitnick, banka hesaplarımız, Facebook ve Google gibi diğer tüm sosyal medya hesaplarımızda kullandığımız iki aşamalı doğrulama sisteminin aslında ne kadar basit bir dalgınlık sonucu kırılabileceğini ispatladı ve bunu bir YouTube videosu olarak yayınladı.
Videoda Mitnick’in kullandığı bazı araçlar Kevin Mitnick’in beyaz şapkalı hacker bir arkadaşı tarafından geliştirilmiş. Bu senaryoda; Mitnick bir kullanıcıya Linked’inden gelmiş gibi bir e-postayı “IIinkedin.com” adresinden gönderiyor. Basit bir sosyal mühendislik tekniği kullanan Mitnick, kurbana bir nevi mesaj gönderme isteği iletiyor. Kurban bu mesajla ilgilendiğini belirten butona tıkladığında, oturum açması için linkedin.com adresi yerine IIinkedin.com’a yönlendiriliyor. Kullanıcı giriş yaptığı sırada giriş işlemi aynı zamanda orijinal Linkedin üzerinden yapılıyor ve sıra iki aşamalı doğrulama kodunu geliyor. Girilen kod aynı yazılım tarafından çerez verisi olarak saklanıp, daha sonra doğrulama koduna ihtiyaç duymadan başka bir oturum açmaya yardımcı oluyor.
Kevin Mitnick’in videonun sonunda belirttiği gibi iki aşamalı doğrulama sistemleri hiçbir zaman kullanıcılara tam güvenlik sunmuyor. İnsan faktörünün söz konusu olduğu yerde, en başarılı güvenlik sistemleri bile kolayca alt edilebiliyor. Mitnick’in korunma tavsiyesi mi? Elbette eğitim!
Oldukça başarılı bir yöntem. Şahsen bundan sonra körü körüne iki aşamalı doğrulamaya güvenilmemesi gerektiğini anlamış oldum. Teknik hakkında siz ne düşünüyorsunuz?