SMS ile yanlışlama (2)

Ders kitabı tanımına göre bir bilgisayar sistemi iki faktörlü doğrulama yaparken, sahip olduğunuz bir şey ile bildiğiniz bir şeyi sorgular ve sizden elde ettiği bilgilere dayanarak, size erişim olanağı tanır. Tek bir faktöre/bilgiye dayanarak erişim sağlamaktan “daha güvenli”. Belli ki BDDK, zaten dünyada yükselmekte olan bir eğilimi görmüş ve bunun Türkiye’de de uygulanmasını istemiş, ama tarih 14 Eylül 2007.
Dünyada gelişmekte olan şey 2 faktörlü doğrulama ama genellikle donanım olarak, otantikatör denilen minik cihazlar yardımıyla yapılıyor. Eminim sizin bankanız da bir tane vermeye çalışmıştır. Benim hesabım olan bankalardan birisi önce satmaya çalıştı, almadım, sonra bedava vermeye çalıştı, yine almadım!
Benim gördüğüm kadarıyla, BDDK bankalara iki faktörlü doğrulama olsun diyor, ancak şu veya bu teknolojiyi kullan diye zorladığı yok. Yine benim gördüğüm kadarıyla, otantikatör donanımlarını müşteriye yaymakta zorluk çeken ve bunları yönetmek istemeyen bankalar, SMS doğrulamaya sarıldılar. Bir anlamda “güvenlik topunu” Türkiye’de mobil telefon hizmeti sağlayıcılarına attılar. Şurası iyi anlaşılmalı, internet bankacılığı güvenliğinden mobil telefon şirketleri sorumlu değil. Bankanın gönderdiği veya herhangi birinin size gönderdiği bir mesajın size zamanında ulaşması veya hiç ulaşmamış olması onları hiç ırgalamaz! Hizmet sözleşmenizi okumanızı öneririm. Mobil ağın kısa veya uzun süreli çalışmaması bu metodu geçersiz kılar, zarara girecek olan banka müşterisidir.
Yurtdışı işin bir başka yönü. Türkiye kökenli telefonunuzun çalışmadığı bir yere giderseniz, ne olacak? Gittiğiniz yerde internet olabilir, ama internet bankacılığı yok!! Peki Türk bankalarında hesabı olan ama Türkiye dışında yaşayanlar? İnternet bankacılığı hizmetlerinden faydalanmak için, Türkiye’de bir mobil telefon hattı edinmeleri ve sürekli ödemeleri gerekiyor!
Bu kadar çok yanlış bir araya nasıl geldi? SMS doğrulama derken SMS yanlışlamaya vardık. Ortada sorumlu da yok: BDDK ben böyle olsun istemedim diyor, bankalar BDDK istedi diyor, mobil telefon hizmet sağlayıcıları hukuken zaten sorumlu değil, ama sonuçta internet bankacılığı kullanıcısı zarar görüyor.