Gün geçtikçe gelişen teknoloji hayatımızı kolaylaştırmakla birlikte bizi tehlikelere daha açık hale getiriyor. İnternet bankacılığının yaygınlaşması; faturalarımızı yerimizden kalkmadan yatırabilmemizi sağlarken, oluşabilecek güvenlik açıkları ise bizleri paraları başka hesaplara havale edilecek hedefler haline getirebiliyor. Bu tarz tehlikelerden korunmak için biz kullanıcıların uyanık olması (e-posta adresinize gelen sahte bir mesajdaki internet sitesine girip tüm kişisel bilgilerinizi girmenizi engellemek için bankanın da elinden sizi uyarmaktan başka bir şey gelmeyecektir) gerekiyor. Elbette bankaların da bu tarz tehlikelere karşı aldığı bazı önlemler var. Peki bunlar neler ve ne kadar işe yarıyorlar ?
Herhangi bir güvenlik sistemine giriş yapmayı deneyen bir kullanıcıyı doğrulayabilmek için temelde aşağıdaki metotlar kullanılır:
- Ne biliyorum ? (şifreler, parolalar, kişisel bilgiler vs.)
- Neye sahibim ? (tek kullanım şifre üreteci, cep telefonu vs.)
- Kimim ? (parmak izi, yüz okuma gibi biyometrik ölçümler)
Ayrıca bunlara ek olarak kullanıcının nereden ve ne zaman girdiği de kontrol edilebilinir.
Peki bankalar bu yöntemlerden hangilerini, nasıl kullanıyor ?
Bankaların güvenliği temelde kullanıcıların ne bildiğine dayanıyor. Bir kullanıcı kişisel bilgilerini (müşteri numarası, adı, soyadı vs.) ve parolalarını kullanarak internet bankacılığına giriş yapabilir. Ancak zamanla çoğalan sahte e-postalar (phishing), zararlı yazılımlar (key logger, screen logger vs.) bir kullanıcıyı sadece bildiği bir şeye göre doğrulamanın çok da güvenli olmadığını ortaya çıkardı. Her ne kadar bankalar sürekli uyarıcı e-postalar yollasalar da, veya internet sayfalarında uyarılar yayınlasalar da bir anlık dikkatsizlik (veya banka hesabımızın kapanacağını öğrendiğimizde oluşan panik) kişisel bilgilerimizin kolaylıkla yanlış ellere geçmesine sebep olabilir.
Sahte e-postaların ve kötü amaçlı yazılımların yaygınlaşması bankaların da internet şubeleri için ek güvenlik önlemleri almalarını zorunlu hale getirdi. Güvenliği kullanıcının bildiği bilginin yanında, sadece kullanıcının sahip olduğu bir şey (çok da düşünmeye gerek yok kimin cep telefonu yok ki bu devirde) ile artırmayı hedeflediler. Bankanızdan alabileceğiniz tek kullanımlık bir şifre cihazı ile her internet şubesine girmeyi denediğinizde ürettiğiniz tek kullanımlık şifreyi kullanarak sizin gerçekten siz olduğunuzu ispatlayabilirsiniz. Gelişmiş cep telefonlarına kurabileceğiniz java uygulaması ile cep telefonunuzu da tek kullanımlık şifre cihazı olarak kullanmanız mümkün. Tek kullanımlık şifre üreteci kullanmıyorsanız da bankanız sizi bu yöntemi bir şekilde kullanmaya zorunlu hale getirebiliyor. Örneğin havale yapacağınız zaman sistemde kayıtlı olan cep telefonu numaranıza gönderilen tek kullanımlık şifre bu uygulamaya bir örnek.
Sistemin güvenliğini sağlamak için cep telefonuna olan güvenin bir üst seviyesi ise son zamanlarda iyice yaygınlaşan mobil imza uygulaması. Kanunlarda ıslak imza ile eş değer olan bu uygulama ile yaptığınız her işlemi, kanun karşısında inkar edemeyeceğiniz şekilde, onaylamış oluyorsunuz. Aslında bu yöntem bana bankanın, herhangi bir olumsuzluk durumunda, yükü yasa karşısında kendi omuzlarından atma çabası gibi geliyor.
Tüm bunların yanı sıra güvenlik için kendi tanımlamalarınızı yapabilirsiniz. Girdiğiniz internet sitesinin doğru olduğunu anlamak için bir karşılama mesajı ya da bir resim seçebilirsiniz, para aktarımı için limitlerinizi belirleyebilirsiniz, internet sitesine bağlanacağınız saat veya ip aralıklarını belirleyebilirsiniz. Ayrıca bankaların kötü amaçlı yazılımlardan korunmak için sunduğu olanakları (keylogger tarzı programlara karşı koruma sağlayan küçük programlar,sanal klavye vs.) tarzı programlar kullanılabilinir. Tabii ki sürekli güncellediğiniz bir antivirüs, anti-spyware ve firewall programınız olmasının gerekliliğinden, özellikle Windows kullanıcısı iseniz ki daha büyük tehlikedesiniz, bahsetmiyorum bile.
Bankaların yaptığı tüm bu güvenlik uygulamalarına karşın, işin içinde her zamanki gibi en zayıf nokta insan unsuru, yani kullanıcının insan olması. Şifresini unutmamak için bir yere yazmak, kolay şifre seçmek, aceleyle yanlış bir siteye kişisel bilgilerini girmek, internet kafeden ya da yabancı bir bilgisayardan internet şubesine giriş yapmak yapılmaması gereken en temel hatalar.
NOT: Bankanızın güvenlik uygulamaları hakkında bilgiyi bankanızın internet sitesinde bulabilirsiniz. Yazımı yazarken T. İş Bankası ve Garanti Bankası‘nın güvenlik sayfalarında yer alan bilgilerden de faydalandım.
sevgili emre yüce bende bir programcıyım (c++)programlama dili kullanıyorum mysQel kullanıyorum iktisat mezunuyum (2006-2007 akdeniz) kendi kişisel veb sayfanı açarken çalışmış olduğun şirketin mi değerlendirmelerini gözününe alıyorsun
yada kendi işini kurmayımı düşünüyorsun yazılım üzerine olabilirmi
Tam olarak ne sormak istediğinizi anlayamadım.
Sağdaki bağlantılar kısmından şirket bloguma ulaşabilirsiniz.