Soft OTP yöntemlerinin hiçbiri temelde güvenli değil. Ben şahsen Authy kullanıyorum, ancak asıl güvenli yöntem giriş yaptığınız sistemin ikinci faktörünü kendi uygulaması üzerinden dijital imza ile yaptırması.
Authy kullanınca kodları telefon / tablet / bilgisayar vs birden fazla cihazda üretebiliyorsunuz, ancak burada atlanan bir nokta var. Kodları başka cihaza taşıyabilir olduğunuzda 2. faktör bilgiyi farklı bir 1. faktöre çeviriyorsunuz. Güvenliği elbette artırıyor, ancak olay gerçek ikinci faktör olmaktan çıkıyor.
2.faktör ne demek ona bakalım.
2. faktör, alttaki üç faktörden en az ikisinin aynı anda sağlanabilmesi.
1- Something you know (Bildiğiniz bir bilgi: Parola, şifre)
2- Something you have (Sahip olduğunuz bir şey: Telefon, token generator, imza anahtarı)
3- Something you are (Size ait bir şey: Göz taraması, parmak izi )
Authy'i de şifre ile açabildiğiniz için iki doğrulama da 1. faktör ile yapılmış oluyor. Teorik olarak yapılan ikinci faktör olmamış oldu, ama güvenlik açısından yine de hiç olmamasından çok daha iyisiniz.
Google Authenticator bu konumda ikinci faktörü sağlamış oluyor, çünkü cihazlar arasında taşınamıyor. Ancak bununla beraber Google Authenticator:
- OTP üretmek için kullanılan seed bilgisini kabak gibi açık tutuyor.
- Cihazınızı kaybettiğinizde ya da uygulamayı sildiğinizde siz kabak gibi ortada kalıyorsunuz.
Eğer gerçekten güvenli olmasan gereken bir şeyi 2. faktör ile koruyacaksanız, Yubikey gibi FIDO sertifikalı fiziksel bir aracı kullanmak faydalı olabilir. Eğer kurumsal olarak bir şey geliştirecekseniz, yeni nesil T.C. Kimlik kartları da dijital imza üretebiliyor, geçerli bir 2FA olarak sayılabilir.
Bir arkadaş Microsoft Authenticator'dan bahsetmiş. Microsoft hesabınıza girdiğinizde bir push gönderiliyor ve bunu onaylamanız isteniyor. Mobil cihazlar için gerçekten güvenli sayılabilecek yöntem işte budur.
Dijital imza ile tek kullanımlık şifre (OTP) üretiminden farklı olarak, gerçekten yapmak istediğiniz işlemi onaylarsıınz. Oysa Google Authanticator içerisinde üretilen kodun ne için üretildiği belli değildir. Aynı kod ile login de olabilirsiniz, hesabı da silebilirsiniz, para transferi de yapabilirsiniz.
