Türkçe
  • OTP
  • TOTP
  • MFA
  • HOTP
  • tek seferlik şifre

Tek seferlik şifre (OTP) nedir?

OTP nedir? OTP ve TOTP arasındaki fark nedir? OTP nasıl çalışır? Bu makale, OTP'nin temel kavramlarını ve neden statik şifrelerden daha çok tercih edildiğini açıklıyor.

Simeng
Simeng
Developer

OTP, tek seferlik şifre anlamına gelir ve tek seferlik pin, tek seferlik geçiş kodu veya dinamik şifre olarak da bilinir. Tek bir kimlik doğrulama oturumu veya işlemi için kullanılan benzersiz, otomatik olarak üretilen geçici bir şifredir.

Geleneksel statik şifrelerin aksine, OTP'ler her kullanımda değişir ve kısa bir süre sonra geçerliliklerini yitirir. Bu özelliğiyle OTP'ler, saldırganların çalmasını ve yeniden kullanmasını oldukça zorlaştıran yüksek güvenliğe sahip bir kimlik doğrulama yöntemi haline getirir.

OTP'ler, çevrimiçi bankacılık, e-ticaret ve hassas verilere veya sistemlere erişimi güvence altına alma gibi çeşitli güvenlik uygulamalarında yaygın olarak benimsenmiştir. Ayrıca çok faktörlü kimlik doğrulama (MFA) kapsamında ek bir güvenlik katmanı sağlamak amacıyla yaygın şekilde kullanılır. Kullanıcının bildiği bir şeyle (örneğin, bir şifre) sahip olduğu bir şeyin (örneğin, bir mobil cihaz) birleştirilmesi yoluyla, OTP'ler modern kimlik doğrulama sistemlerinin vazgeçilmez bir aracı haline gelmiştir.

OTP nasıl çalışır?

Farklı kullanım durumları için farklı şekillerde oluşturulan ve iletilen çeşitli OTP türleri mevcuttur. Bazı yaygın OTP yöntemleri şunları içerir:

SMS OTP / E-posta OTP

SMS OTP veya E-posta OTP, en basit OTP biçimlerinden biridir; burada benzersiz bir geçiş kodu bir sunucu tarafından oluşturulur ve SMS veya e-posta yoluyla güvenli bir şekilde kullanıcıya iletilir. Kullanıcı bu geçiş kodunu girerek kimliğini doğrular.

Nasıl çalışır:

  • Kullanıcı sunucudan bir OTP talep eder.
  • Sunucu rastgele bir sayısal veya alfasayısal kod oluşturur ve SMS veya e-posta yoluyla kullanıcıya gönderir.
  • Kullanıcı, SMS veya e-posta gelen kutusundan OTP'yi alır ve uygulamaya girer.
  • Sunucu kodu kayıtlarına karşı doğrular ve kod geçerliyse erişim sağlar.

Güvenlik önlemleri:

  • OTP, müdahale ve yeniden oynatma saldırılarına karşı riski en aza indirmek için yalnızca sınırlı bir süre (örneğin, 5 dakika) geçerlidir.
  • SMS iletimi, telekomünikasyon altyapısındaki SIM değiştirme saldırılarına veya diğer açıklarına duyarlı olan hücresel ağlara dayanır.
  • E-posta tabanlı OTP'ler, yalnızca kullanıcının e-posta hesabı kadar güvenlidir. E-posta hesabı tehlikeye girerse, OTP ele geçirilebilir.

Kullanım durumları:

SMS ve E-posta OTP'ler, çevrimiçi bankacılık, e-ticaret ve sosyal medya platformları gibi tüketiciye yönelik uygulamalarda yaygın olarak kullanılmaktadır. Sadece statik şifrelerden daha güvenli olmakla kalmazlar, aynı zamanda kullanıcıların karmaşık şifreler ve güvenlik sorularını ezberlemeden kendilerini doğrulamaları için uygun bir yol sağlarlar.

Çoğu kullanıcının her zaman bir cep telefonuna veya e-posta hesabına erişimi olduğu düşünüldüğünde, SMS ve E-posta OTP'leri, kullanıcı kimlik doğrulama, e-posta adresi veya telefon numarası sahipliğini doğrulama ve şifre kurtarma için tercih edilen bir yöntem haline gelmiştir.

HMAC tabanlı OTP (HOTP)

HMAC tabanlı OTP, RFC 4226 'da tanımlanan, bir gizli anahtar ve sayaç değerine dayalı bir dizi tek seferlik geçiş kodu üreten zaman eşleştirmeli bir OTP algoritmasıdır. Her OTP, gizli anahtarı ve sayaç değerini bir kriptografik hash fonksiyonu kullanarak (örneğin, SHA-1, SHA-256) karma hale getirerek türetilir.

Nasıl çalışır:

  1. Gizli: HOTP, sunucu ve istemci arasında paylaşılan bir gizli anahtar gerektirir.

  2. Sayaç: Sunucu ve istemci, her OTP oluşturulmasıyla artan bir sayaç değeri tutar.

  3. İstemci, paylaşılan gizli anahtarı (K) kullanarak sayaç değerinin (C) HMAC-SHA1 (veya diğer hash fonksiyonları) karmasını hesaplar.

    • H = HMAC-SHA1(K, C)

  4. Hash değeri, OTP oluşturmak için 6 veya 8 basamaklı bir koda (uygulamaya bağlı olarak) kısaltılır.

    • OTP = Truncate(H)mod 10^d

  5. Sunucu, sayaç değeri kaydını tutar ve gelen OTP'yi aynı sayaç değeri ve gizli anahtarı kullanarak hash değerini hesaplayarak doğrular. (Eğer küçük bir uyumsuzluk varsa, sunucu senkronizasyon sorunlarını gidermek için birkaç artışlık küçük bir sayaç değeri penceresi tanıyabilir.)

Güvenlik önlemleri:

  • HOTP, sayaç her başarılı kimlik doğrulamadan sonra artırıldığından, her şifrenin benzersiz ve kullanılana kadar geçerli olmasını sağlar.
  • Paylaşılan gizli anahtar, ağ üzerinden asla iletilmez, bu nedenle müdahale riski azalır.
  • Sayaç değeri, yeniden oynatma saldırılarını önlemek için sunucu ve istemci arasında senkronize edilir.

Kullanım durumları:

HOTP, zaman sınırlamalarını uygulamanın güç olduğu donanım belirteçlerinde ve eski sistemlerde yaygın olarak kullanılır. Modern uygulamalar için TOTP, zaman odaklı doğası ve uygulanmasının kolaylığı nedeniyle daha fazla tercih edilir.

Zaman tabanlı OTP (TOTP)

Zaman tabanlı OTP, RFC 6238 'de tanımlanan, mevcut zamana ve paylaşılan bir gizli anahtara dayalı olarak bir dizi tek seferlik geçiş kodu üreten bir algoritmadır. TOTP, sayacın yerine bir zaman damgası kullanarak OTP'ler üreten HOTP'nin daha gelişmiş bir uzantısıdır. Bu, OTP'lere zaman odaklı bir geçerlilik kazandırarak onları HOTP'den daha güvenli hale getirir.

Nasıl çalışır:

  1. Gizli: HOTP gibi, TOTP de sunucu ve istemci arasında paylaşılan bir gizli anahtar gerektirir.

  2. Zaman adımı: HOTP ve TOTP arasındaki anahtar fark, TOTP'nin sayaç değeri yerine zaman tabanlı bir adım değeri (genellikle 30 saniye) kullanmasıdır.

  3. İstemci, paylaşılan gizli anahtarı kullanarak mevcut zamanı zaman adımına bölen HMAC-SHA1 hash'ini hesaplar.

    • H(Time) = HMAC-SHA1(K, Time/TimeStep)

  4. Hash değeri, OTP oluşturmak için 6 veya 8 basamaklı bir koda kısaltılır.

    • OTP(Time) = Truncate(H(Time))mod 10^d

  5. Dinamik OTP: OTP oluşturma zaman tabanlı olduğundan, OTP her 30 saniyede bir değişir, bu da daha yüksek bir güvenlik seviyesi sağlar.

  6. Sunucu, gelen OTP'yi mevcut zaman ve gizli anahtarı kullanarak hash değerini hesaplayarak doğrular. OTP geçerli zaman penceresi içinde olduğu sürece, sunucu kimlik doğrulamasını kabul eder.

Güvenlik önlemleri:

  • Zaman senkronizasyonuna dayalı olması, OTP'nin kısa bir süre için geçerli olmasını sağlayarak müdahale veya yeniden kullanım riskini azaltır.
  • TOTP'nin zaman tabanlı doğası, onu HOTP'den daha güvenli kılar çünkü yeniden oynatma saldırılarına daha az duyarlıdır. Bir saldırgan daha önce kullanılan bir OTP'yi elde etse bile, zaman penceresi sona erdiğinde geçersiz hale gelir.
  • HOTP gibi, paylaşılan gizli anahtar ağ üzerinden asla iletilmez, bu nedenle müdahale riski azalır.

Kullanım durumları:

TOTP, Google Authenticator, Authy ve Microsoft Authenticator gibi yazılım tabanlı kimlik doğrulayıcı uygulamalarda yaygın olarak kullanılır. Bu uygulamalar, kullanıcıları çeşitli çevrimiçi hizmetlerde, sosyal medya platformlarından, bulut hizmetlerinden ve finansal kuruluşlardan kendilerini doğrulamaları için zaman tabanlı OTP'ler oluşturur.

TOTP kimlik doğrulayıcı uygulamaları, güvenlik ve kullanılabilirlik arasında bir denge sağladığı için MFA için en popüler OTP biçimi haline gelmiştir. Kullanıcılar, mobil cihazlarında SMS veya e-posta teslimatına güvenmeden OTP oluşturabilir, bu da onu daha güvenli ve kullanışlı bir kimlik doğrulama yöntemi yapar.

OTP'nin Avantajları

  1. Artırılmış güvenlik

    • OTP'ler çalınan veya tehlikeye giren şifrelerle ilişkili riskleri en aza indirir.
    • OTP'ler zaman hassastır ve hızla sona erer, saldırganların müdahale edip yeniden kullanmaları için fırsat penceresini azaltır.
    • Tek kullanım doğası, onu her OTP'nin benzersiz ve yeniden kullanılabilir olmadığı için statik şifrelerden daha güvenli kılar.

  2. Kullanım kolaylığı

    • OTP'ler kolayca oluşturulabilir ve kullanılabilir, minimum kullanıcı etkileşimi gerektirir.
    • TOTP gibi, çeşitli platformlar ve hizmetler tarafından geniş ölçüde desteklenir, minimum kurulum gerektirir ve mevcut geniş bir doğrulayıcı uygulama yelpazesinden yararlanabilir.

  3. Esneklik

    • OTP'ler, SMS, e-posta ve doğrulayıcı uygulamaları gibi birçok kanaldan iletilebilir, kullanıcılara tercih ettikleri yöntemi seçme esnekliği sağlar.

  4. Mevzuatlara uyumluluk

    • OTP'ler, hassas verileri korumak için güçlü kimlik doğrulama mekanizmaları gerektiren PCI DSS, GDPR ve HIPAA gibi endüstri standartları ve düzenlemelerine uyumludur.

OTP neden statik şifrelerden daha çok tercih ediliyor?

OTP, modern güvenlik uygulamalarında vazgeçilmez bir araç haline gelen güvenli ve kullanışlı bir kimlik doğrulama yöntemidir. Her kimlik doğrulama oturumu için benzersiz, zaman odaklı bir kod sağlayarak, OTP'ler geleneksel statik şifrelerden daha yüksek bir güvenlik seviyesi sunar. İster SMS, e-posta, ister doğrulayıcı uygulamalar yoluyla iletilsin, çeşitli uygulamalarda hassas verileri korumak ve çevrimiçi hizmetlere erişimi güvence altına almak için OTP'ler geniş yaygınlık kazanmıştır. Tehdit ortamı geliştikçe, OTP'ler kullanıcı hesaplarını korumak ve kişisel ve kurumsal bilgilere yetkisiz erişimi önlemek için kritik bir rol oynamaya devam ediyor.

Bugün Logto Cloud'u Deneyin