SSP Editorial Team

Mobil 2FA: doğru ve yanlış yöntem

·8 dk okuma·Yazar: SSP Editorial Team
Mobil iki faktörlü kimlik doğrulama rehberi için SSP Academy kapağı; koyu zeminde cüzdan, anahtar ve kalkan simgeleri.

İki faktörlü kimlik doğrulama (2FA), yapabileceğin en yüksek getirili güvenlik iyileştirmelerinden biridir — ama yalnızca doğru türünü kullanırsan. Kripto kullanıcıları için güçlü ve zayıf 2FA arasındaki fark, kararlı bir saldırgana dayanan bir hesapla dayanamayan bir hesap arasındaki farktır. İşin püf noktası şu: 2FA'nın en yaygın biçimi — SMS ile gönderilen tek kullanımlık bir kod — aynı zamanda en zayıfıdır. Bu rehber seçenekleri en kötüden en iyiye sıralar, nedenini açıklar ve cüzdanının çevresindeki hesapları güçlendirmen için somut bir plan sunar.

Başlamadan önce bir çerçeveleme notu: SSP'nin kendi güvenlik modeli, tek kullanımlık kod anlamında bir "2FA" değildir. SSP, iki cihazda iki bağımsız imza anahtarı olan multisig kullanır. Bu ayrımın neden önemli olduğuna geri döneceğiz. Önce kodlar.

SMS 2FA kripto kullanıcılarını neden yarı yolda bırakır

SMS ile gelen tek kullanımlık bir kod güvenli hissettirir: parolanı girersin, altı haneli bir sayı gelir, onu yazarsın. Sorun şu ki ikinci faktör — telefon numaranın denetimi — çoğu kişinin sandığından çok daha kolay çalınır.

Zararı iki saldırı sınıfı verir:

  • SIM takası (SIM swapping). Bir saldırgan, numaranı kendi denetimindeki bir SIM'e taşıması için mobil operatörünü ikna eder (ya da ona rüşvet verir). Numara onun olunca tüm SMS kodları ona akar. Kripto sahipleri tam da getiri büyük ve işlemler geri alınamaz olduğu için gözde bir hedeftir.
  • SS7 ile dinleme. SS7, telekom ağlarının çağrıları ve mesajları yönlendirmek için kullandığı, onlarca yıllık bir sinyalleşme protokolüdür. Bilinen zayıflıklar, kaynağı bol saldırganların SIM'ine hiç dokunmadan SMS mesajlarını ele geçirmesine izin verir.

Bu, marjinal bir kaygı değil. ABD Ulusal Standartlar ve Teknoloji Enstitüsü, SMS'i NIST SP 800-63B içinde "kısıtlı" bir kimlik doğrulayıcı olarak sınıflandırır ve yeni sistemlerde kullanılmasını açıkça önermez. Dijital kimliği tanımlayan kurum sana bir yöntemin gözden düştüğünü söylüyorsa, bunu bir işaret say.

SMS 2FA, hiç 2FA olmamasından yine de iyidir. Ama paranı tutan herhangi bir hesap için varsayılanın değil, son tercihin olmalı.

TOTP kimlik doğrulayıcı uygulamaları: pratik temel

Kripto kullanıcıları için pratik temel bir TOTP kimlik doğrulayıcı uygulamasıdır — her 30 saniyede bir değişen, dönen altı haneli bir kod gösteren türden. TOTP, RFC 6238 ile tanımlanır ve yapısal bir nedenle SMS'e göre gerçek bir adım öndedir: ele geçirilecek bir telefon numarası yoktur. Kod, cihazında paylaşılan bir gizli anahtardan üretilir; bu yüzden SIM takası ve SS7 dinlemesi basitçe geçerli olmaz.

Birkaç kural TOTP'yi belirgin biçimde güçlendirir:

  • Bir servis ikisini de sunuyorsa SMS değil, uygulama kullan. Çoğu borsa ve e-posta sağlayıcısı kimlik doğrulayıcı uygulamaları destekler.
  • Yalnızca kodları değil, kurulum gizli anahtarını yedekle. Kaydolurken kurtarma dışa aktarımını, başka herhangi bir hassas kimlik bilgisini koruduğun gibi sakla.
  • Mümkünse giriş yaptığın cihazdan ayrı tut, böylece tek bir ele geçirilmiş makine her iki faktörü birden barındırmaz.

TOTP kusursuz değildir. Paylaşılan gizli anahtar telefonda durur; bu yüzden ele geçirilmiş bir cihaz — ya da onun güvensiz bir bulut yedeği — o anahtarı sızdırabilir. Ve en önemlisi, bir TOTP kodu hâlâ gerçek zamanlı olarak oltalanabilir: inandırıcı sahte bir giriş sayfası, parolanı ve taze altı haneli kodunu, kod süresi dolmadan doğrudan saldırganın oturumuna aktarır. Bir sonraki katman tam da bu boşluğu kapatır. Bu sahte sayfaları tanımak istersen kripto kullanıcılarını hedefleyen oltalama saldırıları konusundaki incelememizi oku.

Passkey ve donanım anahtarları: oltalamaya dayanıklı

FIDO2/WebAuthn passkey'leri ve donanım güvenlik anahtarları, gerçekten oltalamaya dayanıklı ilk katmandır ve nedeni zariftir: kimlik bilgisi, web sitesinin kaynağına (origin) kriptografik olarak bağlıdır. Kimlik doğrulayıcın yalnızca kaydedildiği gerçek alan adında oturum açar. Ona benzeyen bir oltalama sitesinin kaynağı farklıdır; bu yüzden passkey basitçe yanıt vermeyi reddeder — aktarılacak altı haneli bir kod yoktur, çünkü hiç kod yoktur.

Bu özellik, listedeki diğer her şeyden daha önemlidir. SMS ve TOTP'nin ikisi de bir insanın bir sayıyı okuyup bir yere yazmasına dayanır; passkey'ler insanın kopyalayabileceği gizli bilgiyi tamamen ortadan kaldırır. Borsa girişinin piksel piksel kopyasını oluşturan bir saldırgan hiçbir şey elde edemez, çünkü kriptografik meydan okumayı, kaynağı senin yerine doğrulayan bir donanım yanıtlar.

Donanım güvenlik anahtarları — dokunduğun ya da taktığın fiziksel olanlar — ve telefonunun veya bilgisayarının güvenli öğesinde saklanan platform passkey'leri bunu uygular. Yüksek değerli hesaplar için bir donanım anahtarı, satın alabileceğin en güçlü ve yaygın olarak bulunabilen ikinci faktördür.

SSP Key bir kod değil, bir ortak imzalayıcıdır

İşte insanları yanıltan ayrım: SSP'nin güvenliği, tek kullanımlık kod anlamında bir "2FA" değildir. O multisig'tir.

Standart bir 2FA kurulumu hesap girişini korur. SSP ise işlemin kendisini korur. SSP 2/2'lik bir şema kullanır: bir anahtar tarayıcı uzantısında, diğeri ise telefonundaki SSP Key'dedir. Fonlar hareket edebilmeden önce ikisinin de bağımsız olarak imzalaması gerekir. SSP Key kriptografik bir ortak imzalayıcıdır — yazdığın altı haneli bir sayı değil, ayrı bir anahtarı tutan ve gerçek bir imza üreten ayrı bir cihazdır.

Sonuç yapısaldır. Bir saldırganın tarayıcı uzantını tamamen ele geçirdiğini düşün — onu oltaladığını ya da çalıştığı makineyi devraldığını. Uygulama düzeyinde altı haneli bir kodla, bu tek ele geçirme yeterli olabilir. SSP ile değildir: fonları taşımak yine de telefonunda, işlem ayrıntılarını gördüğün ve ikinci anahtarla imzaladığın bağımsız bir onay gerektirir. Yalnızca tarayıcı tarafı hiçbir şey gönderemez. Bu ikinci, bağımsız imza yüzeyi, altı haneli bir kodun asla olamayacağı şeydir — saldırganın da ele geçirmesi gereken, farklı bir cihazda, aynı anda duran bir anahtar.

Bunun ne yaptığı ve ne yapmadığı konusunda kesin olmak gerekirse: SSP harcama eylemini korur. Cüzdanının çevresindeki hesaplarda iyi hijyenin yerini almaz. Modelde yeniysen ilk SSP cüzdanını kur ve iki cihazlı onay akışını kendi gözünle gör.

Cüzdanının çevresindeki hesapları güvenceye almak

Cüzdanın bir ada değildir. Onu çevreleyen hesaplar — e-posta, borsa girişleri, bulut yedekleri, parola yöneticisi — çoğu zaman fonlarına giden en yumuşak yoldur. E-postanı ele geçiren bir saldırgan, oradan diğer girişlerinin yarısını sıfırlayabilir.

Aynı kademelemeyi her birine uygula:

  • E-posta: sunuluyorsa passkey ya da donanım anahtarı; yoksa TOTP. Asla yalnızca SMS değil. E-postan, diğer her şeyin ana sıfırlama düğmesidir.
  • Borsalar: giriş için donanım anahtarı ya da passkey; asla SMS'e güvenme ve borsa izin veriyorsa SMS ile kurtarmayı kapat.
  • Bulut ve parola yöneticisi: en azından TOTP, mümkün olan yerde passkey.
  • Mobil operatör: SIM takası girişimlerini körleştirmek için bir numara taşıma PIN'i ya da hesap kilidi ekle.

Telefonun giderek hem kimlik doğrulayıcını hem de SSP Key'ini barındırdığı için, onu başlı başına bir güvenlik sınırı olarak gör — güçlü ekran kilidi, güncel işletim sistemi, mağaza dışından yüklenmiş uygulama yok. Telefon öncelikli bir cüzdanın neyde iyi olup neyde olmadığı hakkında daha fazlası için mobil kripto cüzdanları: neyde iyiler yazısına bak. Ve her şeyi tek seferde sağlamlaştırmaya hazır olduğunda, ilk 1.000 $'ın için öz saklama kontrol listesi üzerinden geç.

Bir 2FA yükseltme planı

Bunların hepsini bir anda yapmak zorunda değilsin. Değere göre yukarıdan aşağıya çalış:

  1. Envanter. Paranı tutabilecek ya da başka bir hesabı sıfırlayabilecek her hesabı listele: önce e-posta, sonra borsalar, ardından bulut ve parola yöneticisi.
  2. Yalnızca-SMS'i bitir. SMS'in tek ikinci faktörün olduğu her yerde daha güçlü bir yöntem ekle ve servis izin veriyorsa SMS'i kurtarma yolu olmaktan çıkar.
  3. Sunulan her yere TOTP ekle. Bu senin temelin; SIM takası ve SS7 boşluklarını anında kapatır.
  4. Önemli hesaplarını passkey'lere ya da bir donanım anahtarına yükselt. Önce e-posta ve borsalar — oltalama sayfasının en çok istediği hesaplar bunlardır.
  5. Operatörü kilitle. Bir yabancının numaranı taşıyamaması için bir numara taşıma PIN'i belirle.
  6. Üç ayda bir yeniden gözden geçir. Kimlik doğrulama seçenekleri değişir; geçen yıl yalnızca SMS olan bir servis artık passkey'leri destekliyor olabilir.

CISA'nın "Secure Our World" programı, teknik olmayan aile üyeleriyle paylaşmaya değer, sade dilli kılavuzlar yayımlar — bkz. CISA.

Devam et

Güçlü 2FA bir katmandır. Cüzdanının çevresindeki kapıları korur; SSP'nin multisig'i harcamanın kendisini korur. Birlikte, çoğu insanı yakalayan tek hata noktalarını ortadan kaldırırlar.

Buradan inşa etmeyi sürdür:

Bu makaleyi paylaş

İlgili makaleler

Bir telefonda ve bir tarayıcıda SSP cüzdanın adım adım kurulduğunu gösteren çizim

İlk SSP cüzdanınızı kurma

SSP Wallet için adım adım kurulum rehberi: uygulamayı ve eklentiyi yükleyin, iki cihazı eşleştirin, 2-of-2 cüzdan oluşturun ve ilk işleminizi gönderin.

6 min read
Mobil kripto cüzdanları ve SSP Key için yeni başlayanlara yönelik SSP Academy kapağı

Mobil kripto cüzdanı: güçlü yanları, riskleri ve SSP Key

Mobil kripto cüzdanlarının iyi yaptığı şeyler — her an erişim, biyometrik kilit, QR tarama —, sınırları ve SSP Key'in buna nasıl uyduğu.

7 min read
SSP güvenlik kapağı; cüzdan, anahtar, kalkan ve çip simgeleri ile kripto phishing saldırılarına yönelik bir kılavuzu göstermektedir.

Kripto Kullanıcılarını Hedef Alan Phishing Saldırıları (ve Nasıl Fark Edilir)

Kripto phishing sizi hedef alır, kriptografiyi değil. Cüzdan boşaltıcıları, onay phishing'i ve adres zehirlemeyi öğrenin; SSP nasıl yardımcı olur görün.

7 min read