Oltalama Saldırılarından Zaman Tabanlı OTP Kullanımı ile Korunmak Mümkün

İnternet üzerinde yaşanan en büyük risklerden biri oltalama (phishing) saldırılarıdır. Bu açıdan bakıldığında, kullanılan OTP teknolojilerinin zaman tabanlı olması, oltalama saldırıları için bir önlem olarak gösterilebilir. Aynı şekilde ileri seviyedeki OTP cihazları ve uygulamaları challenge-response özelliği taşıyabilmekteler. Bu özellik sayesinde, uygulamalara ve sistemlere erişim yapılırken önce erişim yapılmak istenen uygulamanın bir challenge yapması gerekir. Challenge ile üretilen kod, token üzerinden girilerek bir şifre, yani response üretimi yapacaktır. Bu karşılıklı kontrol mekanizması ile güvenlik seviyesi artırılır. Token’e ait PIN numarasını bilmeyen kişi gelen challenge bilgisini token üzerine giremez ve OTP yaratamaz.Bir ileri seviye koruma metodolojisi ise “transaction signing” özelliğidir. Transaction signing özelliği, ileri seviye koruma sağladığı gibi aradaki adam saldırıları (man in the middle) için başvurulan en güçlü güvenlik önlemlerinden biridir. Ziya Gökalp bu sistemi şu şekilde özetliyor: “PIN Pad’e sahip hard ve soft token üzerinden transaction signing özelliği seçilir ve kullanıcının karşısına 3 adet boş alan (field) gelir. Bu alanlara sunucu uygulama tarafından daha önce belirlenmiş olan bilgiler girilmelidir. Bu bilgiler; 1. alan için EFT hesap numarası veya IBAN, 2. alan için EFT yapılacak miktar/para tutarı ve 3. alan için referans numarası veya uygulamayı kullanan firmanın belirlemiş olduğu bir başka bilgi olabilir. Girilen bu bilgiler bir algoritmadan geçerek hashlenir ve bir şifre üretilir. Kullanıcı işlem yaparken bu şifreyi kullanır. Bu şifre sunucu uygulama tarafında da aynı algoritma ile kontrol edilerek doğrulama yapılır.” En yalın hali ile kullanılan OTP teknolojilerinin zaman tabanlı, challenge-response ve transaction signing özellikleri taşıması günümüz siber saldırıları için ciddi önlemler olarak gösterilebilir.