Apple'ın yaklaşan iOS 12 güncellemesindeki daha küçük eklemelerden biri, Güvenlik Kodunu Otomatik Doldurma olarak adlandırılan akıllı bir küçük şeydir.
Temel olarak, oturum açarken iki faktörlü kimlik doğrulama kodlarını girmeyi çok daha kolay hale getiren bir sistemdir.
Ancak bir güvenlik araştırmacısı, Güvenlik Kodunun Otomatik Doldurulmasını kötü niyetli saldırganların yararlanabileceği potansiyel bir güvenlik açığı olarak görüyor.
İşte bu yüzden bilmeniz gerekiyor.
İçindekiler
- Güvenlik Kodu Otomatik Doldurma iOS 12
-
Risk Nedir?
- TAN nedir?
- Güvenlik Kodunun Otomatik Doldurulmasıyla Risk
- Apple Bu Konuda Bir Şey Yapabilir mi?
-
Kendinizi Nasıl Korursunuz
- İlgili Mesajlar:
Güvenlik Kodu Otomatik Doldurma iOS 12
İki faktörlü kimlik doğrulama ile bir hesaba giriş yapmak tipik olarak iki ayrı adımı içerir - dolayısıyla adı.
Kullanıcı adınızı ve şifrenizi girecek ve ardından tek kullanımlık kod içeren bir SMS metin mesajı alacaksınız. Bu kodu yazdıktan sonra giriş yapmakta özgürsünüz.
Ancak iOS 12 bunu biraz farklı şekilde ele alıyor. İki faktörlü bir kimlik doğrulama kodu (tek seferlik şifre veya OTP olarak da bilinir) aldığınızda bunu otomatik olarak algılayabilir.
İLGİLİ:
- iOS 12 Güvenlik Özellikleri
- Güçlü Parola nedir? iPhone'um Neden Benim İçin Parola Seçiyor?
- Zaman ayırmaya değer en iyi 25 iOS 12 Özelliği
Sistem daha sonra bu adı günlüğe kaydedecek ve size tek bir tıklama ile girme seçeneği sunacaktır. iOS 12'de, "Mesajlardan" olduğunu belirten bir notla klavyenin üzerinde bir seçenek olarak görünecektir.
Tabii ki, bu, uygulamalar arasında geçiş yapmanızı veya OTP'yi bir anda ezberlemenizi engellediği için biraz zaman kazandırabilir.
Ancak kullanım kolaylığı, belirli durumlarda güvenlik riski oluşturmasının da nedenidir.
Risk Nedir?
Risk öncelikle finansal kurumlara aittir. Güvenlik Kodunun Otomatik Doldurulmasının riskli olabileceği başka durumlar olsa da, bu en endişe verici senaryodur.
OneSpan'ın Cambridge İnovasyon Merkezi'nde güvenlik araştırmacısı olan Andreas Gutmann, en acil sorun diyor işlem kimlik doğrulama numarası (TAN) adı verilen bir şeye odaklanır.
TAN nedir?
İki faktörlü kimlik doğrulama gibi, TAN da telefonunuza gönderilen tek seferlik bir koddur. Ancak bir TAN, oturum açmak için değildir - bunun yerine, finansal işlemlere 2FA koruması eklemenin bir yoludur.
Temel olarak, para transfer ettiğinizde veya ödeme yaptığınızda, bir banka, hiçbir sahtekarlığın olmadığından emin olmak için ekstra bir doğrulama adımı olarak telefonunuza bir TAN gönderir.
Bu TAN'ı uygun bir alana girersiniz ve işlem sizin tarafınızdan onaylanır. Bir TAN aldıysanız ancak yakın zamanda herhangi bir işlem yapmadıysanız, hemen bankanızla iletişime geçmeniz gerekir.
ABD'de henüz yaygın olmasa da, TAN korumalı işlemler Avrupa ve diğer bölgelerde oldukça yaygındır.
Güvenlik Kodunun Otomatik Doldurulmasıyla Risk
Güvenlik Kodunun Otomatik Doldurulması, iletilerden otomatik olarak tek seferlik bir parola aldığından, ilgili tüm bağlamı dışarıda bırakır.
Bankacılık için, bu bağlam - finansal tutar veya ödeme hedefi gibi - bir işlemin meşru olup olmadığını bilmek için kritik öneme sahiptir.
Gutmann bir blog yazısında, "Bir kullanıcının bu göze çarpan bilgiyi doğrulaması, güvenlik avantajını sağlayan şeydir" diye yazdı. “Bunu süreçten çıkarmak, onu etkisiz kılıyor.”
Başka bir deyişle, Apple'ın zaman kazandıran yeni özelliği, kullanıcıları potansiyel olarak finansal dolandırıcılık veya ortadaki adam saldırılarına karşı daha savunmasız hale getirebilir.
Bir kullanıcı, teorik olarak, sahte bir finansal işlemi onaylamak için otomatik olarak bir OTP girebilir. Saldırgan, kötü amaçlı bir web sitesi veya uygulama kullanarak Güvenlik Kodu Otomatik Doldurma'yı taklit edebilir.
Apple Bu Konuda Bir Şey Yapabilir mi?
Apple'ın yapabileceği en önemli şey, bir 2FA isteği ile bir TAN arasındaki farkı anlayabilen Güvenlik Kodu Otomatik Doldurma'ya bir tür önlem uygulamaktır.
Güvenlik Kodunun Otomatik Doldurulmasının 2FA ve TAN arasında ayrım yapıp yapamayacağı şu anda net değil. Yapabiliyorsa, bu sorun çok daha az sorun haline gelir.
Tabii ki, yeterince kişi Güvenlik Kodu Otomatik Doldurma'nın bir güvenlik açığı olduğu konusunda endişelerini dile getirirse, Apple sorunu azaltmak için bunu güncelleyebilir.
Kendinizi Nasıl Korursunuz
Her şeyden önce, Olumsuz hesaplarınızdan herhangi birinde iki faktörlü kimlik doğrulamayı devre dışı bırakın.
SMS tabanlı iki faktörlü kimlik doğrulama, müdahaleye veya saldırılara açık, nispeten kusurlu bir sistem olsa da, yalnızca bir parolaya güvenmekten çok daha iyidir.
Avrupa'daysanız yapabileceğiniz en iyi şey, aldığınız her bir OTP veya 2FA'yı iki kez kontrol etmektir. Mesajlar'a geçmek ve bağlamsal bilgileri doğrulamak yalnızca birkaç saniye sürer.
Orijinal SMS metin mesajını kontrol etmeden TAN ile 2FA şifresini kolayca ayırt edemiyorsanız bu özellikle doğrudur.
TAN kullanan bir ülkede değilseniz, cihazınıza gönderilen şüpheli OTP'leri doğrulamak yine de akıllıca olacaktır. Aktif olarak giriş yapmıyorsanız ve bir OTP metin mesajı alıyorsanız, muhtemelen bir şeyler ters gidiyor demektir.
Ayrıca, ABD bankalarında daha geniş bir şekilde uygulanacak TAN sistemlerinin arayışında olun. Avrupa, son zamanlarda gizlilik ve güvenlik standartları söz konusu olduğunda sorumluluğu üstlendi. TAN'ın yakın gelecekte ABD bankaları ve finans kurumları tarafından benimsenmesi muhtemeldir.
Finansal verilerle veya oturum açma bilgileriyle uğraşırken genel olarak en iyi güvenlik uygulamalarını da kullanmalısınız. En iyi şifre ve 2FA güvenliği bile sizi sosyal mühendislikten koruyamaz.
Mike, San Diego, California'dan serbest çalışan bir gazetecidir.
Öncelikli olarak Apple ve tüketici teknolojisi konularını ele alırken, kamu güvenliği, yerel yönetim ve çeşitli yayınlar için eğitim konularında geçmiş deneyimlere sahiptir.
Gazetecilik alanında yazar, editör ve haber tasarımcısı dahil olmak üzere epeyce şapka taktı.