Kart Şifresini Bir tek Biz Biliyorsak ATM’ye Girdiğimiz Şifrenin Doğru Olduğu Iyi mi Anlaşılıyor?
ATM şifresi iyi mi doğrulanır sorusu, güvenlik teknolojilerinin temelini oluşturuyor. Banka çalışanlarının bile göremediği şifrenizin, ATM tarafınca iyi mi “doğru” kabul edildiğini ve kullanılan hash algoritmalarını bu içeriğimizde anlatıyoruz.
Bankaya gidip yeni bir kart aldığınızda ya size kapalı bir zarf verilir ya da SMS yöntemiyle şifrenizi belirlersiniz. Peki, o andan itibaren ATM şifresi iyi mi doğrulanır asla düşündünüz mü? Sonuçta bu şifreyi banka kendi veri tabanında “1234” benzer biçimde açık bir halde saklasa, yaşanacak ilk siber saldırıda milyonlarca insanoğlunun hesabı saniyeler içinde boşaltılabilirdi.
İşin aslı, ATM’ye girdiğiniz o 4 haneli sayı, sandığınız benzer biçimde bankanın bilgisayarlarında yazılı olarak durmuyor. Matematiksel bir sihirbazlık diyebileceğimiz yöntemlerle şifreniz bambaşka bir şeye dönüşüyor. Gelin siz parayı çekerken saniyeler içinde gerçekleşen o “gizli saklı” teknolojik doğrulamaya ve sistemin arkasındaki mühendisliğe yakından bakalım.
Şifreniz aslen “gizyazı” olarak saklanmıyor
Güvenlik dünyasında “Hashing” (Özetleme) isminde olan bir yöntem kullanılır. Siz şifrenizi ilk belirlediğinizde, sistem bu sayıları (mesela 1234) alır ve kriptografik bir algoritmadan geçirir. Bu işlem sonucunda ortaya “Hash” isminde olan, karmaşık harf ve rakamlardan oluşan anlam ifade etmeyen bir mısra çıkar.
Mesela şifreniz “1234” ise, sistem bunu “e10adc3949ba59abbe56e057f20f883e” benzer biçimde bir değere dönüştürüp saklar. Bu işlemin en tehlikeli sonuç noktası tek yönlü olmasıdır. Doğrusu elinizde bu uzun karmaşık kod olsa bile, geriye dönük işlem yaparak “1234” sonucuna ulaşamazsınız. Banka çalışanları dahil kimsenin şifrenizi bilememesinin sebebi budur; zira ellerinde bir tek bu karmaşık özet kıymet bulunur.
ATM aleti ve banka arasındaki sessiz diyalog
Siz ATM’nin tuşlarına bastığınızda sistem, girdiğiniz sayıları anında aynı algoritmadan geçirir. Eğer girdiğiniz rakamlar doğruysa ATM’nin o an ürettiği hash kodu ile bankanın veri tabanında gizlenen hash kodu birebir aynı olacaktır.
Basitçe anlatmak gerekirse; ATM bankaya “Kullanıcı bana 1234 dedi” diye sormaz. Bunun yerine “Kullanıcının girmiş olduğu verinin özeti X kodu çıktı, sende kayıtlı olan özet de X mi?” diye sorar. İki kod eşleşirse sistem kapıları açar ve paranızı verir. Eşleşmezse, “Hatalı gizyazı” uyarısını alırsınız. Bu sayede şifreniz web hattı üstünde asla çıplak hâlde dolaşmamış olur.
Kartın üstündeki çipler ne işe yarıyor?
Eskiden bir tek manyetik şeritler varken kopyalama vakaları oldukca yaygındı. Günümüzde kartların üstünde gördüğünüz o altın sarısı yada gümüş renkli ufak çipler (EMV teknolojisi), güvenliği bir kat daha artırıyor. Bu çipler, aslen küçük birer bilgisayardır.
Bazı durumlarda, bilhassa web bağlantısının yavaş yada kesik olduğu anlarda, “Offline PIN” doğrulaması devreye girebilir. Şifrenizin hash’lenmiş hâli güvenli bir halde bu çipin içinde de saklanır. Siz şifreyi girdiğinizde doğrulama işlemi bankaya gitmeden, direkt kartın üstündeki çip ile ATM içinde gerçekleşir. Bu da siber korsanların araya girip veriyi çalmasını neredeyse imkânsız hâle getirir.
Peki siz ATM başlangıcında işlem yaparken o meşhur “öteki elle gizyazı gizleme” hareketini yapıyor musunuz, yoksa teknolojiye güvenip rahat mı davranıyorsunuz? Güvenlik önlemlerinizi ve ATM başlangıcında yaşadığınız garip anıları bizimle paylaşabilirsiniz!
