Epeydir Türkiye’de e-bankacılık alanında zorunlu hale getirilen tek kullanımlık şifrelerle ilgili yazmak istiyordum. Bu arada Çetin Kaya Koç hocamın bu konuda yazdıklarını okudum. Genel itibariyle yazdıklarına katılıyorum. Mobil ortamdaki güvenlik problemleri, bilhassa yurtdışına gidince karşılaşılabilecek kullanışlılık sıkıntıları hepsi de geçerli bazı yorumlar, gerekçeler.
Ben bu yazıda problemin diğer bazı yönlerine değineceğim ve şu anki uygulamadan daha güvenli ve kullanışlı olacağını düşündüğüm bir çözüm önereceğim. Benimle beraber bitirme projesini ilgili bir konuda yapan bir öğrencimden bir süre önce şu iki haber linkini içerir bir e-posta mesajı aldım. Cevabında ise kısaca “beklenen gelişme” diye yazdım. Şimdi bana göre niye bu haber beklenen bir gelişme, onu açıklayayım.
Bruce Schneier Nisan 2005’de yazdığı makalesinde “İki-Unsurlu Kimlik Tanıma (Two-Factor Authentication) Çok Az, Çok Geç” diyordu. Demek istediği şey tam da yukarıdaki haberde anlatıldığı gibi olta saldırısı, zararlı programlar, vb. yollarla yapılan saldırıların gerçek zamanlı gerçekleştirildiği durumda Tek-kullanımlık SMS mesajı yöntemindeki gibi ikinci unsurun çok da fazla işe yaramayacağı idi.
Şöyle bir itiraz gelebilir, “tamam belki bu zorunlu kullanım problemin tamamını çözmüyor ama hiç yoktan iyidir, e-bankacılık yüzünden her yıl binlerce mağdur oluşuyor. Bir şeyler yapmak lazım”. Bu itiraza karşın aşağıya benim e-bankacılıkta nasıl bir çözüm önerdiğimin çerçevesini kısaca çizmeye çalışacağım.
- Kullanıcının e-bankacılık uygulamasına ilk girişinde tek-kullanımlı şifre sorulmaz. Netice de kullanıcı belki sadece hesabına beklediği para yatmış mı ona bakacak. Elbette başka bir kişi kullanıcının hesabında ne kadar para var sorusunun cevabını merak ediyor olabilir. Ama burada gerekli olan güvenlik birazdan anlatacağım mesela bir para transferi sözkonusu olduğundaki güvenlikten çok daha aşağı seviyelerde.
- Kullanıcı ne zamanki İnternet’ten para transferinde bulunmak istiyor veya buna benzer başka kritik bir işlem yapacak, o zaman bu işlemi doğrulaması için kendisine sistem bir SMS mesajı gönderir. Bu SMS mesajında sadece tek kullanımlık şifre olmaz. Aynı zamanda işlem bilgileri de yer alır (Falanca hesap no’lu falanca kişiye şu kadar para transferi yapmak istiyor musunuz? gibi).
Şimdi bu senin dediğin ikinci basamak zaten bazı bankalarda var diyebilirsiniz. Ben de cevap olarak derim ki bu çok güvenilir olduğu düşünülebilen “kişi onaylama” (entity authentication) yerine “işlem onaylama” (transaction authentication) olarak adlandırılan yöntem bile %100 güvenlikle çalışmıyor. Yani ya okumadığından veya başka sebeplerle bir e-bankacılık kullanıcısının hiç tanımadığı bir kişiye para transferini onaylaması mümkün. Benim burada vurgulamak istediğim şey ise şu: bu SMS şifre olayını abartırsak ve kullanıcının ne yaptığına bakmadan her işlemde – sisteme giriş dahil – bir SMS mesajı gönderirsek, bu durum kullanıcının SMS mesajlarını dikkatli okumaması ve ilgili ilgisiz her SMS mesajında gelen tek kullanımlık şifreyi kullanmaktan şüphelenmemesi sonucunu doğurabilir. Doğurabilir diyorum çünkü bu konuda yapılmış bir kullanıcı çalışması var mı bilmiyorum.
Netice de bankanın yapacağı çok önemli bir üçüncü iş daha var. O da yapılan tüm işlemleri arka planda bir süzgeçten geçirmek ve şüpheli gördüklerine karşın ilave önlemler almak. Zaten bu belli ölçüde başka işlemler için yapılıyor. Mesela farklı bir ATM’den yüklü bir miktar para çektiğinizde size yine bir SMS geliyor. Benzer şekilde hesabınızdan mesela Rusya’daki bir hesaba transfer yapıldığında bir görevli kullanıcıya telefon açabilir (sabit telefonuna), başka doğrulamalarda bulunabilir. Hatta şubeye bile çağırabilir, vs.
Sonuç olarak, güvenlikte ve bilhassa konumuz olan kapsamda bir teknolojiyi zorunlu hale getirmek çok akıllı bir fikir değil diye düşünüyorum. Çünkü problemi tam olarak çözen bir teknoloji henüz yok. Genelde kullanışlılık-güvenlik ikilemleri sözkonusu. Bana kullanışlılık önemli değil derseniz size pek çok mükemmel çalışan güvenlik çözümleri önerebilirim. Kanaatimce teknolojiden önce sorumlulukları, görevleri vs. daha ayrıntılı ortaya koymaktan başlanmalı. Belki ben bilmiyorumdur ama e-bankacılık dolandırıcılığı olduğunda sorumluluğun ne kadarı bankaya ne kadarı kişiye ait. Bu belli mi? Mesela kredi kartı işlemlerinde herkesin bildiği bir limit sözkonusu. Bu limitin üstü kredi kartı şirketinin taahhüdü altında. Benzer bir şey e-bankacılık için niye olmasın? (evet bu bahsettiğim konu başka ülkelerde de tartışılıyor).