Bu yazıda yakın zamanda neredeyse tüm bankaların internet bankacılığı uygulamalarındakullanmak zorunda kalacakları tek zamanlı şifre mekanizmasını inceleyeceğiz.
OTP(One-Time Password) isminden de anlaşılacağı üzere, her kimlik denetimi yapılmasıgerektiğinde kullanıcının yeni bir tek kullanımlık bir şifre kullanarak kendisinisisteme tantmasını sağlayan güvenlik sistemidir. Bu durumda herhangi bir şekildekullanıcının şifresinin ele geçirilmiş olması hiç bir anlam ifade etmeyecektir.Çünkü bir sonraki sisteme girişte o şifre geçersiz olacaktır. OTP şifreleri tekyönlü fonksiyonlar (one way function) yani hash algoritmaları kullanılarak oluşturulur.
Bu makalede hash algoritmalarının kullanımı hakkında bilgi sahibi olduğunuzu kabulediyorum.Tek yönlü fonksiyonlar ve hash algoritmaları ile ilgili detaylı bilgi için aşağıdakimakalelere göz atmanızı öneririm:
· face=Arial MD5Message Digest
· face=Arial SHA1 Secure Hash Algorithm
OTP sistemlerinin güvenliği hash algoritmalarında elde edilen değerlerden geriyedönüşlerin olmamasına dayanmaktadır. Yani bu demektir ki, eğer bir şekilde kullanılanhash algoritmasının tersi alınabilirse, OTP o hash algoritması için güvenli olmayacaktır.OTP’nin hash algoritmasından beklediği her zaman aynı input değerler aynı outputdeğerlerini üretmesidir. Ancak üretilen bu değerden ilk değerin hesaplanması mümkünolmamalıdır. Çok basitçe örnek vermek gerekirse 125’in mod 10’daki karşılığı 5’tir. Ancak mod 10 da karşılığı 5 olan tek sayı 125 değildir. Burada da buna benzerbir algoritma vardır. Kullanıcının yeni şifresini kullanıcıdan başka kimsenin bilmediğinive veri tabanımızda kullanıcımızın bir önceki şifresinin olduğunu düşünüyoruz. Kullanıcınınekrandan girdiği şifreyi bir dizi işlemden geçirdikten sonra eski şifresini eldeedip edemediğimizi kontrol ediyoruz. Eğer girilen şifreden eski şifre elde edilebilirse,kullanıcının sisteme girişine izin verilir ve veri tabanındaki eski şifre kullanıcınınyeni girdiği şifre ile değiştirilir. Bu sayede kullanıcıyı bir sonraki girişte yenibir şifre ile sisteme girişini zorlamış oluruz.
Aklınıza, "peki kullanıcı bu şifreyi nasıl bilecek ?" şeklinde bir soru geldiğineeminim. Bunun için kullanıcılara gerekli olan şifreyi üretebilecek anahtarlık boyutlarındabir cihaz veriliyor. Bu uygulama yakın bir zamanda avrupa birliği ülkeleri bankalarınıninternet bankacılığı uygulamalarında bir zorunluluk olacaktır. Bu durumda kullanıcılarartık şifrelerini değilde şifre üreten cihazlarını korumak zorunda kalacaklardır.Ancak şu anki sabit şifre mantığından çok daha güvenilir olduğu için önemli biradım olacaktır. Bu sayede bankalar "keylogger" tarzı uygulamalar ile şifrelerinçalınması imkansız hale getireceklerdir.
Bildiğiniz gibi bir çok banka, "keylogger"tarzı uygulamalara karşı önlem olarak sanal klavye tarzı uygulamalar geliştirmektedir.Bu sefer de, kullanıcılar ekran görüntüsünü saniye saniye video olarak kaydedenprogramlar ile uğraşmak zorunda kalmaktadırlar. Bu ve benzeri durumlar için kesinçözüm OTP kullanımı olacaktır. Ancak her banka internet bankacılığı için ayrı birOTP cihazı sunarsa bu durum çekilmez bir hale gelecektir. 3 ayrı bankanın internetbankacılığını kullanan bir kişi 3 ayrı "şifrematik" cihazı taşımak zorunda kalacaktır.
OTP(One-Time Password) isminden de anlaşılacağı üzere, her kimlik denetimi yapılmasıgerektiğinde kullanıcının yeni bir tek kullanımlık bir şifre kullanarak kendisinisisteme tantmasını sağlayan güvenlik sistemidir. Bu durumda herhangi bir şekildekullanıcının şifresinin ele geçirilmiş olması hiç bir anlam ifade etmeyecektir.Çünkü bir sonraki sisteme girişte o şifre geçersiz olacaktır. OTP şifreleri tekyönlü fonksiyonlar (one way function) yani hash algoritmaları kullanılarak oluşturulur.
Bu makalede hash algoritmalarının kullanımı hakkında bilgi sahibi olduğunuzu kabulediyorum.Tek yönlü fonksiyonlar ve hash algoritmaları ile ilgili detaylı bilgi için aşağıdakimakalelere göz atmanızı öneririm:
· face=Arial MD5Message Digest
· face=Arial SHA1 Secure Hash Algorithm
OTP sistemlerinin güvenliği hash algoritmalarında elde edilen değerlerden geriyedönüşlerin olmamasına dayanmaktadır. Yani bu demektir ki, eğer bir şekilde kullanılanhash algoritmasının tersi alınabilirse, OTP o hash algoritması için güvenli olmayacaktır.OTP’nin hash algoritmasından beklediği her zaman aynı input değerler aynı outputdeğerlerini üretmesidir. Ancak üretilen bu değerden ilk değerin hesaplanması mümkünolmamalıdır. Çok basitçe örnek vermek gerekirse 125’in mod 10’daki karşılığı 5’tir. Ancak mod 10 da karşılığı 5 olan tek sayı 125 değildir. Burada da buna benzerbir algoritma vardır. Kullanıcının yeni şifresini kullanıcıdan başka kimsenin bilmediğinive veri tabanımızda kullanıcımızın bir önceki şifresinin olduğunu düşünüyoruz. Kullanıcınınekrandan girdiği şifreyi bir dizi işlemden geçirdikten sonra eski şifresini eldeedip edemediğimizi kontrol ediyoruz. Eğer girilen şifreden eski şifre elde edilebilirse,kullanıcının sisteme girişine izin verilir ve veri tabanındaki eski şifre kullanıcınınyeni girdiği şifre ile değiştirilir. Bu sayede kullanıcıyı bir sonraki girişte yenibir şifre ile sisteme girişini zorlamış oluruz.
Aklınıza, "peki kullanıcı bu şifreyi nasıl bilecek ?" şeklinde bir soru geldiğineeminim. Bunun için kullanıcılara gerekli olan şifreyi üretebilecek anahtarlık boyutlarındabir cihaz veriliyor. Bu uygulama yakın bir zamanda avrupa birliği ülkeleri bankalarınıninternet bankacılığı uygulamalarında bir zorunluluk olacaktır. Bu durumda kullanıcılarartık şifrelerini değilde şifre üreten cihazlarını korumak zorunda kalacaklardır.Ancak şu anki sabit şifre mantığından çok daha güvenilir olduğu için önemli biradım olacaktır. Bu sayede bankalar "keylogger" tarzı uygulamalar ile şifrelerinçalınması imkansız hale getireceklerdir.
Bildiğiniz gibi bir çok banka, "keylogger"tarzı uygulamalara karşı önlem olarak sanal klavye tarzı uygulamalar geliştirmektedir.Bu sefer de, kullanıcılar ekran görüntüsünü saniye saniye video olarak kaydedenprogramlar ile uğraşmak zorunda kalmaktadırlar. Bu ve benzeri durumlar için kesinçözüm OTP kullanımı olacaktır. Ancak her banka internet bankacılığı için ayrı birOTP cihazı sunarsa bu durum çekilmez bir hale gelecektir. 3 ayrı bankanın internetbankacılığını kullanan bir kişi 3 ayrı "şifrematik" cihazı taşımak zorunda kalacaktır.
