Rubiks Cube

Rubiks Cube

Yetkin
İlk 1.000!
Katılım
19 Aralık 2023
Mesajlar
162
Makaleler
1
Çözümler
1
Beğeniler
130
Türkiye’de internet bankacılığı girişlerinin yeterince güvenli tasarlanmadığını düşünüyorum. Oysa en yüksek güvenlik standardının burada olması gerekir. Bunun başlıca nedenleri şunlar:

  1. İnternet bankacılığı için 6 haneli sayısal şifre kullanılması günümüz güvenlik standartlarıyla uyumlu değil. Bunun yerine en az 8 karakterli, büyük-küçük harf, sayı ve noktalama işareti içeren güçlü parolalar zorunlu olmalı.
  2. Bazı bankalar telefon bankacılığında internet bankacılığı şifresinin telefondan tuşlanmasını isteyebiliyor. Bu bana göre güvensiz. Çünkü internet ve mobil bankacılıkta SSL gibi teknolojilerle şifrenin güvenli iletimi sağlanabiliyor yani siz ve banka dışında ISP'niz dahil kimsenin o şifreyi asla görmediği garanti edilebiliyor, ancak standart telefon aramalarında tuşlanan bilgilerin operatör veya kötü niyetli kişiler tarafından ele geçirilmeyeceği aynı şekilde garanti edilemiyor. Bu şifresiz bir veri aktarma biçimi.
Telefon bankacılığında kimlik doğrulama gerekiyorsa bu, telefondan şifre tuşlatılarak değil, mobil bankacılık uygulamasına gönderilen bir bildirime onay verilmesiyle yapılmalı. Hatta daha iyisi, bankalarla sesli görüşmeler doğrudan mobil uygulama içinden uçtan uca şifreli olarak yapılmalı. Normal telefon araması ise yalnızca kayıp/çalıntı gibi acil durumlarla sınırlı olmalı. Akıllı telefonu olmayan müşteriler için de güvenli görüşme imkanı şubeler üzerinden sağlanmalı.
  1. İki adımlı doğrulamanın zorunlu olması olumlu, ancak çoğu bankada hala SMS yaygın biçimde kullanılıyor. Mobil uygulama ile doğrulama seçeneği olsa bile SMS genellikle alternatif olarak açık bırakılıyor. Oysa bir sistemin güvenliği en zayıf halkası kadar güçlüdür.
SMS, en riskli iki adımlı doğrulama yöntemlerinden biridir. Bankacılık kadar kritik olmayan hesaplarda bile önerilmez; çünkü SS7 saldırısı gibi tehditlerle, kullanıcı hatası olmasa bile ele geçirilebilir ve şifreli bir iletişim yöntemi değildir.

Bu nedenle iki adımlı doğrulama esas olarak mobil uygulama üzerinden yapılmalı. Akıllı telefonu olmayan çok az sayıdaki kullanıcıya ise, şubede yüz yüze kimlik doğrulamasından sonra tek kullanımlık şifre üreten fiziksel cihazlar verilmeli.

Mobil doğrulama tarafında da App Store ve Google Play'de her bankanın ayrı bir doğrulama uygulaması olmalı veya bu özellikler mevcut mobil bankacılık uygulamasına dahil edilmeli. Bu uygulamanın kurulumu veya zorunlu iki adımlı doğrulama kodu üretiminin açılması yalnızca müşteri numarası, şifre ve SMS koduyla değil; buna ek olarak kimlik kartının NFC ile okutulması, yüzle canlılık testi ve müşteri temsilcisiyle görüntülü görüşme gibi güçlü doğrulama adımlarıyla yapılmalı. Ancak bu süreç tamamlandıktan sonra mobil uygulama o müşteri için tek kullanımlık kod üretebilmeli. SMS hiçbir zaman iki adımlı doğrulama için kullanılamamalı. Uygulama silinip yeniden kurulduğunda, telefon sıfırlandığında veya cihaz değiştiğinde aynı doğrulama süreci tekrar istenmeli.

Biraz abartı diyebilirsiniz ama bence bankacılık gibi güvenliğin çok önemli olduğu bir konuda tüm önlemler üst seviyede olmalı. Biraz bunlarla vakit harcamak bir güvenlik riskinden bin kat iyidir.
 
Son düzenleme:
Rubiks Cube dedi:
Türkiye’de internet bankacılığı girişlerinin yeterince güvenli tasarlanmadığını düşünüyorum. Oysa en yüksek güvenlik standardının burada olması gerekir. Bunun başlıca nedenleri şunlar:

  1. İnternet bankacılığı için 6 haneli sayısal şifre kullanılması günümüz güvenlik standartlarıyla uyumlu değil. Bunun yerine en az 8 karakterli, büyük-küçük harf, sayı ve noktalama işareti içeren güçlü parolalar zorunlu olmalı.
  2. Bazı bankalar telefon bankacılığında internet bankacılığı şifresinin telefondan tuşlanmasını isteyebiliyor. Bu bana göre güvensiz. Çünkü internet ve mobil bankacılıkta SSL gibi teknolojilerle şifrenin güvenli iletimi sağlanabiliyor yani siz ve banka dışında ISP'niz dahil kimsenin o şifreyi asla görmediği garanti edilebiliyor, ancak standart telefon aramalarında tuşlanan bilgilerin operatör veya kötü niyetli kişiler tarafından ele geçirilmeyeceği aynı şekilde garanti edilemiyor. Bu şifresiz bir veri aktarma biçimi.
Telefon bankacılığında kimlik doğrulama gerekiyorsa bu, telefondan şifre tuşlatılarak değil, mobil bankacılık uygulamasına gönderilen bir bildirime onay verilmesiyle yapılmalı. Hatta daha iyisi, bankalarla sesli görüşmeler doğrudan mobil uygulama içinden uçtan uca şifreli olarak yapılmalı. Normal telefon araması ise yalnızca kayıp/çalıntı gibi acil durumlarla sınırlı olmalı. Akıllı telefonu olmayan müşteriler için de güvenli görüşme imkanı şubeler üzerinden sağlanmalı.
  1. İki adımlı doğrulamanın zorunlu olması olumlu, ancak çoğu bankada hala SMS yaygın biçimde kullanılıyor. Mobil uygulama ile doğrulama seçeneği olsa bile SMS genellikle alternatif olarak açık bırakılıyor. Oysa bir sistemin güvenliği en zayıf halkası kadar güçlüdür.
SMS, en riskli iki adımlı doğrulama yöntemlerinden biridir. Bankacılık kadar kritik olmayan hesaplarda bile önerilmez; çünkü SS7 saldırısı gibi tehditlerle, kullanıcı hatası olmasa bile ele geçirilebilir ve şifreli bir iletişim yöntemi değildir.

Bu nedenle iki adımlı doğrulama esas olarak mobil uygulama üzerinden yapılmalı. Akıllı telefonu olmayan çok az sayıdaki kullanıcıya ise, şubede yüz yüze kimlik doğrulamasından sonra tek kullanımlık şifre üreten fiziksel cihazlar verilmeli.

Mobil doğrulama tarafında da App Store ve Google Play'de her bankanın ayrı bir doğrulama uygulaması olmalı veya bu özellikler mevcut mobil bankacılık uygulamasına dahil edilmeli. Bu uygulamanın kurulumu veya zorunlu iki adımlı doğrulama kodu üretiminin açılması yalnızca müşteri numarası, şifre ve SMS koduyla değil; buna ek olarak kimlik kartının NFC ile okutulması, yüzle canlılık testi ve müşteri temsilcisiyle görüntülü görüşme gibi güçlü doğrulama adımlarıyla yapılmalı. Ancak bu süreç tamamlandıktan sonra mobil uygulama o müşteri için tek kullanımlık kod üretebilmeli. SMS hiçbir zaman iki adımlı doğrulama için kullanılamamalı. Uygulama silinip yeniden kurulduğunda, telefon sıfırlandığında veya cihaz değiştiğinde aynı doğrulama süreci tekrar istenmeli.

Biraz abartı diyebilirsiniz ama bence bankacılık gibi güvenliğin çok önemli olduğu bir konuda tüm önlemler üst seviyede olmalı. Biraz bunlarla vakit harcamak bir güvenlik riskinden bin kat iyidir.
Genişletmek için tıkla...
Küçültmek için tıkla...
Ve 6 ayda bir şifre sıfırlamanın gereksiz olduğunu düşünüyorum. Çok sayıda banka hesabı olunca iş çorbaya dönüyor.
 

Benzer konular

fidelcastro
İnternet alışverişi ve mail order kapama ödemelere engel mi?
Mesaj
4
Görüntüleme
86
Batina
B
B
ZiraatPay'de internet alışverişi yapılıyor mu?
Mesaj
3
Görüntüleme
69
Soretive
S
nakitayokamoto
Türkiye’de globale kripto göndermek için 48 saat beklemeniz gerekiyor
Mesaj
3
Görüntüleme
155
janxietyy
janxietyy
F
İnternet alışverişi kapalı olan karttan para çekilmesi mümkün mü?
Mesaj
2
Görüntüleme
188
talongod
talongod

Yeni konular

Yeni mesajlar