OTP

OTP (One-Time Password / Tek Kullanımlık Şifre), kısa bir süre için geçerli olan genellikle 6 haneli tek kullanımlık bir kimlik doğrulama kodudur. Normal bir parolayla birleştirildiğinde iki faktörlü kimlik doğrulama (2FA) oluşturur.

Üç yaygın iletim kanalı:

• SMS OTP — kullanıcının telefonuna gönderilen kod. En yaygın, aynı zamanda en az güvenli seçenek (SIM takas saldırıları).
• TOTP (zamana dayalı, RFC 6238) — paylaşılan sır + geçerli saat bilgisiyle kimlik doğrulayıcı uygulama tarafından oluşturulur. Ağ bağlantısı gerekmez. Google Authenticator, Authy, 1Password'de yaygın olarak kullanılır.
• HOTP (sayaç tabanlı, RFC 4226) — her kullanımda bir sayacı artırır. Artık YubiKey OTP modu gibi donanım jetonları dışında nadiren kullanılır.

OTP'ler parola yeniden kullanım saldırılarını engeller (çalınan parola tek başına işe yaramaz), ancak modern phishing saldırılarını durduramaz; geçerlilik süresi içinde OTP'yi ele geçiren bir saldırgan bunu tekrar kullanabilir. FIDO2 / WebAuthn tabanlı donanım anahtarı kimlik doğrulaması, phishing saldırılarını da engeller; çünkü anahtar, gerçek siteye bağlı olduğunu kriptografik olarak kanıtlar.

SMS OTP düşürme sorunu: NIST'in 2017 tarihli SP 800-63B güncellemesi, üç belgelenmiş saldırı örüntüsü nedeniyle SMS'i bant dışı kimlik doğrulayıcı olarak kullanımdan kaldırdı: SIM takas dolandırıcılığı (saldırgan, kurbanın numarasını yeni bir SIM'e aktarması için mobil operatörü ikna eder), SS7 protokolü açıkları (global telekomünikasyon sinyal ağının zayıf kimlik doğrulaması var; mesajları yeniden yönlendirmek için sorgulanabilir) ve fiziksel numara taşıma dolandırıcılığı. Kurtarma yöntemi olarak SMS'e geri dönen bankalar ve borsalar, hesap güvenliğini mobil operatörün müşteri hizmetleri prosedürlerine indirgemiş olur. TOTP'ye ya da yalnızca WebAuthn'a geçiş seçeneği sunan uygulamalar anlamlı ölçüde daha güvenlidir.

TOTP mekaniği — 30 saniyelik pencere neden: TOTP, (paylaşılan sır, geçerli 30 saniyelik zaman damgası) çiftinin HMAC-SHA1 hesaplamasından elde edilir ve 6 haneye kısaltılır. 30 saniyelik bölümleme bir uzlaşıdır: tekrar pencerelerini sınırlandıracak kadar kısa, sunucu ile istemci arasındaki küçük saat kaymasını tolere edecek kadar uzun. Çoğu TOTP doğrulayıcısı, ±30 saniyelik kayma için bir önceki, geçerli ve bir sonraki zaman adımını kabul eder; bu nedenle kimlik doğrulayıcınızda yeni süresi dolan kod birkaç saniye daha çalışabilir. Sağlama işlemi, otpauth://totp/Issuer:user?secret=...&period=30&digits=6 kodlayan bir QR kodu aracılığıyla yapılır. İlgili: TOTP. Kaynak: RFC 6238 — TOTP.

Çözümlü örnek

TOTP'ye kaydoluyorsunuz. Sunucu 160 bitlik bir sır oluşturur (örn. base32 formatında JBSWY3DPEHPK3PXP), bir QR kodu gösterir ve kimlik doğrulayıcı uygulamanız sırrı saklar. Geçerli Unix zamanı 1.716.393.600 iken bir kod üretmek için: zaman adımını hesapla T = floor(1.716.393.600 / 30) = 57.213.120, ardından HMAC-SHA1(sır, T) işlemi 20 baytlık karma üretir. RFC 4226'ya göre dinamik kısaltma: son nibble'ı ofset olarak al, o noktadan 4 bayt çıkar, üst biti maskele ve 10⁶'ya modulo uygulayarak 6 haneli kod elde et — örneğin 492039. Sunucu aynı hesaplamayı yapar; kodlar eşleşirse (her iki yönde bir adım farkına tolerans tanıyarak) kimlik doğrulama başarılı olur. Tüm protokol deterministiktir ve sır sağlandıktan sonra çevrimdışı çalışır.

Ne zaman ve neden önem taşır

OTP, "karanlık web'deki kimlik bilgisi dökümü hesabınızı ele geçirdi" ile "kimlik bilgisi dökümü telefonunuz olmadan işe yaramaz" arasındaki fark demektir. Google'ın NYU ve UCSD ile 2019'da yürüttüğü çalışmaya göre herhangi bir ikinci faktör eklemek, toplu kimlik bilgisi doldurma saldırılarının %99'unu engelledi; SMS OTP tek başına hedefli phishing saldırılarının %96'sını engelledi ve cihaz üzerindeki istemler %99'unu engelledi. Geriye kalan boşluk — OTP'leri gerçek zamanlı proxy'leyen phishing kitleri (Evilginx, Modlishka) — yalnızca phishing'e dayanıklı faktörlerle (WebAuthn/geçiş anahtarları, FIDO2 donanım anahtarları) kapatılabilir. Herhangi bir hesap için pratik güvenlik merdiveni: yalnızca parola → SMS OTP → TOTP kimlik doğrulayıcı uygulaması → donanım güvenlik anahtarı. Her adım, saldırganın maliyetini önemli ölçüde artırır. Kaynak: NIST SP 800-63B — Dijital Kimlik Kılavuzları.