Google, Gmail’de SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) sonlandırmayı planlıyor.
Uzun süredir kullanıcıların kimliğini doğrulamak için telefonlarına kısa mesajla kod gönderen Google, bu yöntemin güvenlik açıklarını ortadan kaldırmak için adım atıyor.
Gmail sözcüsü Ross Richendrfer, Forbes’a yaptığı açıklamada, bu değişikliğin amacının “küresel SMS kötüye kullanımının etkisini azaltmak” olduğunu söyledi.
Artık kullanıcıların telefon numaralarına kod gönderilmeyecek; bunun yerine, bilgisayar ekranında gösterilen bir QR kodunu tarayarak kimlik doğrulaması yapılacak. Bu yöntem hala telefon kullanımını gerektiriyor olsa da, SMS’in zayıf güvenlik yapısından uzaklaşılarak daha güvenli bir süreç sağlanacak.
Neden SMS tabanlı doğrulama güvensiz?
SMS ile iki faktörlü kimlik doğrulama, hiç doğrulama yapmamaktan daha güvenli olsa da, birçok güvenlik riski barındırıyor:
- SIM kart dolandırıcılığı: Saldırganlar, mobil operatörünüzü kandırarak numaranızı kendi cihazlarına aktarabilir ve doğrulama kodlarını ele geçirebilir.
- Trafik şişirme dolandırıcılığı (traffic pumping): Suçlular, binlerce SMS’in gönderilmesini sağlayarak her teslim edilen mesajdan para kazanabilir.
- Taşıyıcıya bağımlılık: SMS’lerin güvenliği tamamen mobil operatörünüzün aldığı önlemlere bağlıdır.
Google, hem kullanıcı güvenliğini sağlamak hem de spam hesap oluşturma gibi kötüye kullanımları engellemek amacıyla SMS doğrulamayı tamamen terk etmeye karar verdi.
QR kodlarıyla doğrulama nasıl çalışacak?
Google’ın yeni sistemiyle birlikte:
- Hesabınıza giriş yapmak istediğinizde, ekranınızda bir QR kodu görüntülenecek.
- Telefonunuzun kamera uygulamasını kullanarak bu kodu tarayacaksınız.
- Kimliğiniz doğrulanacak ve hesabınıza güvenli bir şekilde erişebileceksiniz.
Bu yöntem sayesinde:
- Kimlik avı (phishing) saldırıları azalacak çünkü artık kullanıcıların paylaşabileceği bir kod olmayacak.
- Mobil operatör bağımlılığı ortadan kalkacak ve kullanıcılar, taşıyıcı kaynaklı güvenlik açıklarından korunacak.
Richendrfer, bu geçişin önümüzdeki birkaç ay içinde gerçekleşeceğini belirtti. Net bir tarih verilmemiş olsa da Google, bu güvenlik değişikliğinin kullanıcıları kötü niyetli saldırılardan korumak için önemli bir adım olduğunu vurguluyor.
Gelecek adımlar ve parolasız kimlik doğrulama
Google, uzun vadede hem SMS kodlarını hem de şifreleri tamamen terk etmeyi hedefliyor. Biyometrik doğrulama ve passkey teknolojileriyle kullanıcıların kimliklerini daha güvenli yollarla doğrulaması amaçlanıyor. Ancak bu tür sistemlerin yaygınlaşması zaman alacağı için, QR kodları şimdilik hem güvenli hem de pratik bir geçiş yöntemi olacak.
Richendrfer, son olarak şunu ekledi:
“SMS kodları kullanıcılar için yüksek risk oluşturuyor. Kullanıcılarımızı güvende tutmak için yenilikçi bir çözüm sunduğumuz için mutluyuz. Yakında daha fazla detay paylaşacağız.”
