tek kullanımlık şifre

• değişik bankalarda hesapları olanlar için tek kullanımlık şifre veya bu tip aygıtların taşınacağı çok kullanımlık bir anahtarlık gerektirir. yoksa hapishane anahtarı gibi parolamatikler, şifrematikler, tatakmatikler havalarda uçuşur.
  
  bir de güvenlik için şifrelerinizi yazmayın derler ya, iyice delleniyor insan bu sıcakta. vakıfbank'ın dört kademeli, hsbc'nin bilmemkaç haneli müşteri numaralı güvenlik sorgulamasını beynimizde tuttuğumuz rakam ve harf kombinasyonları ile yapıyor olsak burada ne işimiz var? cern çalışanı olarak maaşlarımızı isviçre bankalarımızdan alırdık.
• internet bankaciliginin ucretli hale getirilmesinden baska bir sey degildir. halki korkutmak, goz boyamak icin guvenlik konusu one surulmus "sizi dusunuyoruz" diyerek bahane uretilmistir. daha fazla guvenlik isteyen insan zaten gidip sifre ureten zamazingosunu aliyordu. harici guvenlik opsiyonunu zorunlu kilip ustune ustluk bunu ucretli yapmanin amaci nedir? her sene "hesap isletim ucreti" adi altinda dunyanin parasi alinmiyor mu? o paralarla hangi hesaplar isletiliyor? ya da isletmeden kasit nedir?
  
  pardon unutmusum burasi turkiye idi degil mi...
• eger client olarak auth olmaya calisan makina owned ise sorunlari olan bir sistemdir. bayagi zor olsa da pratikte gerceklestirilmis ataklar vardir. birisini kisaca isleyelim...
  c client, s ise sifreyi onaylayacak server olsun. m (bkz: m is for malice) de kotu adam olsun burada, c'ye full access'i olan.
  c'de bir kullanici s'e baglanti acar. login'ini gonderir, siradaki bir sikimlik sifresine bakar ve onu keyboard da yazmaya baslar. ayni anda m tarafindan daha once c'ye yerlestirilmis keylogger'li program c'den s'ye cok sayida (40-50 vs) baglanti kurar ve sifre olarak c'nin yazdigi karakterleri her bir baglanti uzerinden s'ye gonderir. bu olay c'deki kullanici son karaktere gelene kadar surer. son karaktere gelindiginde m'in programi butun baglantilarina rastgele farkli bir karakter yollar ve prompt alip alamadigina bakar. c'deki kullanici kendi sifresinin son karakterini elle yazdigindan her zaman m'in programindan cok daha yavas kalacaktir. burada m'in basari sansi (s'ye actigi baglanti sayisi / bir sifrede kullanilabilecek karakter sayisi) dir. cok da fena bir yuzde degildir bu. (bkz: notes from the underground)
  evet, one time sifrenin uzunlugunu m onceden bilmelidir. ama bu uzun sureli keylogging veya sniffing faaliyetleriyle istatistiki bilgiler toplanilabilecek bir bilgi.
  her halikarda tum sistemi otp uzerine de kursaniz, ki cogu kullanici mutsuz olacaktir bundan, gene de benim sistemim yuzde yuz guvenli dememeli insan...
• bu yapiyi kullanan sistemlerde one time password'u ureten token'lara zehirli gaz entegrasyonu yapilarak guvenligin dibine vurmak mumkundur. token'i elinde bulunduran kisi 4 haneli bir sifre girer token'a. tokan da daha uzun bir sifre uretir. eger girilen 4 haneli sifre ust uste uc defa yanlis girilirse token hava acikligindan sifreyi girenin yuzune zehirli gaz puskurtur. boylece token yanlis ellerden kurtulmus olur. bankalarin kullanmasinda fayda olan tokenlardir bunlar.
• internet bankacılığında güvenlik tabii ki çok önemli, ancak girişte kullanılan ve bankaya göre farklı periyodlarda sürekli değiştirdiğiniz şifre, parola, vs aşamalarına, kullanıcının sıkıntısını arttıracak bir aşama daha eklenmesinden başka güvenliği koruyacak fikir bulamayan bir sektöre söyleyecek söz bulamıyorum. bunu kullanıcının opsiyonel hakkı olarak sunsalar, güzel uygulama olur, ama zorunlu olarak ekstra aşama eklemek, türkiye'deki bürokratik mantığa göre çok uygun herhalde.
• bankacılık sistemine girişte değil, belirli işlemlerde gerekli olması uygun olan şifredir aslında; yalnızca bakiyenize bakmak için login yaparken kullanıcı adı/no.su, parola, şifre'den sonra bir de tek kullanımlık şifre girmek, insanın sinirini bozmaktan başka nedir? "bu uygulama sizin güvenliğiniz için" muhabbeti de hikaye.
  
  havale-eft yolluyorsanız, kredi kartı işlemleri yapacaksanız, ödeme yapacaksanız, vb komutlarda son teyit için sorulabilir sms şifresi ve bu hem güvenliği sağlar, hem de insanları bıktırmaz. ama zaten girişte mevcut en az iki, bankasına göre 3 aşamalı bir güvenlik sistemi sözkonusuyken, o katmanlara bir yenisini eklemek, kullanıcıya işkence etmektir.
• sadece cep telefonundan üretilmeyen, bir çok bankanın anahtarlık şeklinde sağladığı şifre üreticilerinden de elde edilebilen şifrelerdir.
• birçok bankanın internet şubelerini şirket işleri için kullanan biri olarak tarihe not düşeyim.
  iş bankası çuvallamıştır. tek kullanımlık ve 20 saniye geçerli olan şifrelerin cebimize düşmesi 1,5 saati buldu. öğleye doğru bu süreler 20 dakikaya kadar kısaldı. işin ilginç yanı 20 saniyelik şifre ile 20 dakika sonra da giriş yapılabildi.
  (bkz: loser)
  
  ziraat bankası ise çok ilginç bir yöntemle çuvallamaktan kurtuldu. 28 aralık 2009'a kadar konu hakkında en ufak bir duyuru yapmayan, en ufak bir değişikliğe girişmeyen banka bddk tebliğine rağmen tek kullanımlık şifreye geçmeyerek (en azından kurumsal şubeler için) çuvallamaktan kurtuldu.
  (bkz: çakal)
• bankaların kendi uygulaması değil, bankaların internet bankacılığında uygulanmasını bddk'nın zorunlu koştuğu uygulama.
  
  internet bankacılığı hizmet sunan veya sunacak olan tü bankaların uyması gereken yasal bir düzenlemedir.
  
  (bkz: bddk)
• internet bankaciligi icin yakinda yayginlasacak zamanin gerisindeki guvenlik cozumu. ozetle esantiyon gorunumlu kucuk bir alete her basildiginda yeni bir sifre yaratiliyor ve her yeni sessionda bu yeni sifre kullaniliyor. internet bankaciligi kullanim orani para verilerek alinan bu aparatla sevimsizlesiyor gibi gozukse de bu aparatlarin alternatif kullanim alanlari yaratilabilir. (bkz: adyomersi)