telefondaki banka uygulamasıyla bankaya giriş yapacağım. müşteri numaramı ve şifremi giriyorum, hatta çoğu zaman müşteri numaramı da bilmiyorum, telefon hatırlıyor.
sonra telefonuma bildirim (sms kodu değil, bildirim) geliyor. bildirime onay verince hesaba giriyor.
güvenlik bunun neresinde? telefon zaten elimde. elimeki telefona şifreyi girdikten sonra yine elimdeki telefona bildirim göndermenin nesi güvenli? sms kodu için bile çıkıp sms'teki kodu okuyup elle yazıp girmen gerekirken, yukarıdan inen pencereye tıklamanın nesi iki aşamalı oluyor?
bildirim başka telefona gelse anlarım. bilgisayardan girerken telefonla doğrulamasını anlarım. telefonla girdiğim şeyi aynı telefonla doğrulamanın, hele sadece bildirime tıklayarak doğrulamanın anlamı nedir?
hesabımı koruyan şey sadece 6 haneli bir kod? müşteriyi htırlıyor, bildirim iaynı telefona atıyor. telefonu eline geçirip kodu da hasbelkader görmüş olan biri istediğini yapabilir?
para gönderirken yine aynı telefona ya bildirim ya sms geliyor. aman ne kadar güvenli.
Cihazı da kaydediyoruz diye hatırlıyorum ben. Başka telefondan giriş yapmaya çalışırsan SMS ile kod geliyor.
işte onu diyorum. kayıtlı cihaz elinde olduktan sonra şifreyi de aynı cihaza gir, bildirimi de aynı cihaza yolla.
e hiç bildirim yollama o vakit, kayıtlı telefon elimde zaten elimde. istediğin bildirimi yoll,a tıklayıp onayladıktan sonra neyine bildirim yolluyon?
gelen bildirime parmak iziyle falan onay vermedikten sonra ne anladım o bildirimin güvenliğinden? şifreyi yazıp doğrudan girmekle, şifreyi yazdıktan sonra gelen bildirime tıklayıp girmek arasındaki güvenlik farkı ne yav, biri bana bunu açıklasın.
Adam hem sifreni hem de elinde senin telefonuna sahipse (telefonun sifresini de bilmesi gerek)
Birakta artik hacklen hocam
Bildirim falan olayinantakilman garip geldi
evet yapabilir, ben telefon kaybetmeyi cüzdan kaybetmekle bir tutuyorum.
telefon çalındığı/kaybedildiği anda banka applerinin o telefon ile olan ilişkisini kesmek gerekiyor. nasıl cüzdan çalındığında kredi kartlarını vs hemen iptal ediyoruz aynı mevzu.
tabi elimizde telefonumuz olmadığı için şubeye gitmek gerekir muhtemelen, internet bankacılığına giriş bile yapamayacağız çünkü. hayli sıkıntılı telefonun çalınması bence.
bu çok aşamalı güvenlikler bizi bilgi hırsızlığı kısmından koruyor. ama fiziki hırsızlıktan korumuyor.
Haklisiniz. Luzumsuz bir step.
iscep te dediginiz sekilde. Yani telefon kayitliysa (numara degil, telefon) sadece kendi sifrenizi giriyorsunuz, ayrica bir kod onay vs. yok.
Laptop vs. ile girerseniz telefondan onay vermek gerekiyor.
hiç bu açıdan düşünmemiştim ya valla aydınlandım. aşırı mantıksız gerçekten de.
bazi seyler standardlara uymak zorunda. uymazsan lisans vermezler. muhtemelen iso bilmem kac bin guvenlik standardinda soyle bir madde vardir.
-internet bankaciliginda farkli cihazdan ekstra onay alinmali.
normalde mobil passkey'ler var. o cihazlari herkese aldiramayacagin icin telefona gonderiyorlar o bildirimi.
senin sorguladigin mantik didininin didisi gibi bisey. kendi icinde mantikli ama baska problemleri cozdugu icin bu ufak mantiksizligi gormezden gelinme durumu var bence.
eyyorlamam bu kadar.
Bu güvenlik işlerinde kabaca üç kavram var
Something you know - Bildiğin bir şey: Parola, şifre, PIN kodu vb.
Something you have - Sahip olduğun bir şey: Telefon (Buna gelen notification, SMS, bununla ürettiğin tek kullanımlık şifre), kod üretme cihazı vb.
Something you are - Direkt kendin: Parmak izi doğrulaması, göz tanıma, yüz tanıma vb.
Two factor authentication (İki adımlı doğrulama) bunların genelde ilk ikisini kullanıyor. Önce şifreni girip bilinmesi gereken şeyi bildiğini kanıtlıyorsun, sonra da telefonuna gelen SMS ya da notification ile sahip olman gereken şeye sahip olduğunu kanıtlıyorsun. Ama bahsettiğin sorunu anlıyorum zira bu iki faktörü doğrulayan cihazın aynı olması kafaları karıştırıyor.
Haklısınız. Yavaş yavaş değişecek zaten.
Telefonlarda yapabileceğimiz şeyler artıyor ama yönetmeliklerin bunları yakalaması mümkün değil. Sizin örneğinizde aslında sim kart ve telefon da ayrı ayrı sizinle ile eşleştiriliyor. O iki adımı geçtiğiniz için sms'in bir anlamı kalmıyor. Yani telefon değiştirdiğinde de sim kart değiştirdiğinde de süreç değişiyor. Hepsinin ortadan kaldırmaya çalıştığı farklı bir güvenlik riski var
Bu arada biyometrik veriler kullanılmaya ve resmiyet kazanmaya başladı. Yani telefon yüzünüzü doğruladıysa o işlemi sizin yaptığınız kesinleşecek. Telefon çiplerini de kullanarak yapılan doğrulama ve şifrelemeler yaygınlaşıyor.
Ama burada eski teknolojiyi de bir noktaya kadar kapsaması gerekiyor. Yani "yüz tanıma yapmayan uygulamaya giremesin" gibi keskin bir kural koyamıyorlar. "Mümkün olmadığı durumlarda" şeklinde farklı durumlar da belirtiliyor. En sonunda da "sms atsın yeter'e dönüyor.
Bankalar da yasal şeyleri minimumda gerçekleştirecek şekilde ilerliyor. Çünkü yazılım, zaman ve maddi anlamda maliyetli.
Anne kızlık soyisminin 2. ve 5. harfinden buralara geldik. O yüzden çok da mantık aramamak lazım. :)
Şifreyi kime göndersin mesela kayınçoya mı göndersin :)
Telefonun birinin elinde olması önemli değil önemli olan şifreyi bilmiyor olması başka telefonda ve tarayıcı da açılmaması için 2 faktörlü koruma oluyor
hepsi senin tercihlerin bu arada. "genelde" banka uygulamaları şifre hatırlamaz, girişte şifre ile giriş bile senin tercihin olur, istersen her seferinde tckn/şifre kombinasyonu ile girişe zorlar. bildirimden, doğrudan işlem yapma tercihi de senin, sms'ile gelen kodu otomatik tamamlayabilme de senin tercihin.
yani istersen bunların tümünü kapatıp daha "güvenli" bankcılık uygulaması haline getirebilirsin.
her bankacılık uygulaması bu seviyede sağlamayabilir ama belirli regülasyonlar var, minimumda bunları sağlamak zorunda.
@nwnd'a cevap vereyim.
Telefonu kaybettiğin ya da çaldırdığın zaman, başka herhangi bir telefondan müşteri hizmetlerini arayıp hesabını online işlemlere kapatabiliyorsun. Şubeye gitmene gerek yok. Ayrıca müşteri hizmetlerini aradığın zaman 'kayıp, çalıntı veya şüpheli işlem bildirimi için dediği numarayı tıklarsan, beklemeden, anında bir müşteri temsilcisine bağlanıyorsun.
Soruya cevap vereyim.
Mobil hesabın hacklenmiş ve başka bir telefona kopyalanmış olabilir. Memlekette biri telefon açıp da şimdi telefonunuza gelecek şifreyi söyleyin dendiğinde pat diye söyleyecek salaklıkta insan popülasyonu sanılanın çok üzerinde olduğu için,
Banka sadece imei numarası kendinde kayıtlı telefonla mobil bankacılığa ulaşılabilsin istiyor.