Uyarı: Bu yazı güncellemeler içermektedir. Son durumu yazının en altındaki güncellemelerden takip edebilirsiniz.

Her şey, tek kullanımlık şifrenin (TKŞ) çalışmaması ile başladı. Telefonum fabrika ayarlarına sıfırlandığında uygulamanın kullanıcı kimliği de değişmişti, bu yüzden ürettiği şifreler geçersizdi. Gayet doğal bir durum. Tek kullanımlık şifre sistemi bunun dışında da pek çok farklı sebepten de başarısız olabilirdi. Ancak IHS Telekom böyle bir senaryo için herhangi bir çözüm düşünmemiş gibi görünüyor. Ben de destek talebi oluşturarak beklemeye başladım.

Çok kısa bir süre içinde telefonla geri dönüş sağlandı ve kimlik doğrulama için benden bir takım bilgiler istendi. TC kimlik numaramı ciddi bir rahatsızlık hissederek söyledikten sonra (ki bu bilgi sistemlerinde kayıtlı değil), ilk ismim sistemlerinde kayıtlı olmadığı için kimliğimi başka yöntemlerle de doğrulamak zorunda olduklarını söylediler. Sistemde kayıtlı olan telefon hattı üzerinden görüşürken bu uygulama kulağa epey saçma gelse de, işleme devam ettim.

Sistemde kayıtlı olan e-posta adresimi de söyledikten sonra benden parolam da istendi, hem de çok doğal bir şeymiş gibi bir ses tonuyla. Bu talebi elbette reddettim. Bunun üzerine e-posta adresine erişimim olup olmadığı soruldu ve gönderilen iletinin içeriği ile doğrulama yapıldı. Tek kullanımlık şifre ile ilgili problemim çözüldü.

Fakat gelen ileti ile işler daha da ilginç bir boyut kazandı. Standart “parolamı unuttum” iletisi gelmişti ve mevcut parolam apaçık yazıyordu. Bu bilginin tek yönlü bir algoritma ile şifrelenerek saklanması gerekirken, tam karşımda duruyordu işte. İşin daha da ürkütücü kısmı, telefonda görüştüğüm personel çok büyük bir ihtimalle bu bilgiyi de görebiliyordu, doğrulayamayacak olsa benden niye istesin?

Kötü niyetli kişilerin bu bilgileri ele geçirerek yapabileceklerini düşünmek bile istemiyorum. İnternet hizmetleri sektöründe çalışan bir şirketin bu konuda bilinçsiz ve/veya dikkatsiz olması ise tahmin ediyorum ki ben dahil müşterilerinin pek çoğu için büyük bir hayal kırıklığı olacaktır.

Emin olmak için IHS Telekom’u bu sefer de ben arayarak rahatsızlığımı dile getirdim. Görüştüğüm personel parolamı görüp göremediği konusunda kesin bir açıklama yapmak yerine yuvarlak cevaplar verdiğinden endişelerimi giderme konusunda da bir yol alamadık. Bu yazı da böyle ortaya çıktı işte.

Peki IHS Telekom nerede yanlış yaptı? Nasıl yapmalıydı?

1. Müşteriden parolasını söylemesini istemek: Hiçbir koşulda birinden parolasını paylaşması beklenmemeli. Müşterinin kimliğini doğrulamak için e-posta ve telefon hattının ikisine de erişimi olduğundan emin olmak yeterli sayılabilir.
2. Parolaları şifrelemeden saklamak: Parolalar tek yönlü bir şifreleme algoritmasından geçirildikten sonra kaydedilmeli ve şifreli halinin bile şirket çalışanları dahil olmak üzere kimse tarafından görülememesi için gerekli güvenlik önlemleri alınmalı. Hatta daha fazla güvenlik için parolaları şifrelerken tuz (salt) da eklenmeli.
3. E-posta ile parola göndermek: Parolaların şifrelenmeden saklanması doğru olmadığı için “parolamı unuttum” yönteminin de değiştirilmesi gerekecek. Sistem tarafından (tek kullanımlık veya değil) yeni bir parola üretip bunu kullanıcıya göndermek yerine, iletide kullanıcının yeni bir parola tanımlayabileceği sayfaya bağlantı adresi gönderilmelidir. Böylece e-posta adresini bilen kötü niyetli kişiler tarafından sahte “parola unutma” talepleri ile müşterinin şifresinin değişmesine ve zor duruma düşmesine engel olunabilir.
4. TKŞ sistemi için “B Planı”: Tek kullanımlık şifre sistemi herhangi bir nedenden ötürü kullanılamadığında, e-posta veya SMS ile tek kullanımlık şifre gönderimi seçeneği sunulmalı. Giriş yapamayan kullanıcı ürünlerini yönetemediği gibi yeni ürün de satın alamaz. 😉
5. Şifre ile parolayı karıştırmak: Kelimeler önemlidir. 🙂

Umarım bu listeyi en kısa süre içinde tamamlayabilirler.

Güncelleme (2013-05-08 14:30): IHS Telekom konuyu yazılım departmanına ilettiğini söyledi. Yazılım departmanı da destek personelleri kadar hızlıdır umarım. 🙂

Güncelleme (2013-05-28 20:30): Parola sıfırlama sistemi, uyarılarıma rağmen rastgele yeni bir parola üretecek şekilde güncellenmiş. Bunun doğru yöntem olmadığını bir kez daha anlattım. Ayrıca parola sıfırlama sistemlerinde bulduğum bir güvenlik hatasını da ilettim. Ayrıca aldığım cevaplarda parolaların şifrelenmesi konusunda da çalışma yapılacağı da kesinleştirilmiş oldu.