isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
ADVERTORIAL

İki faktör - ve SMS kodlarının neden zayıf halka olduğu

25 Haz 2026 · 3 dakikalık okuma · Yorumlar

Bu makale bağlı kuruluş bağlantıları içermektedir. Onlar aracılığıyla satın alırsanız, size hiçbir ekstra maliyet getirmeden bir komisyon kazanabiliriz.

İki faktörlü kimlik doğrulama, yapabileceğiniz en etkili güvenlik yükseltmelerinden biridir. Ancak iki faktörün tümü aynı değildir ve çoğu hizmetin varsayılan olarak kullandığı en yaygın sürüm, çoğu insanın bilmediği belirli, iyi belgelenmiş bir güvenlik açığına sahiptir.

İki faktörlü kimlik doğrulama, bildiğiniz bir şeyi (şifreniz) ve sahip olduğunuz bir şeyi (genellikle bir kod) zorunlu kılarak çalışır. Birisi şifrenizi çalsa bile ikinci faktör olmadan giriş yapamaz. Gerçekten iyi. Soru "sahip olduğun bir şeyin" ne anlama geldiğidir.

SMS kodlarıyla ilgili sorun

SMS kodları telefon numaranıza gönderilir. Telefon numaranız operatörünüz tarafından kontrol edilmektedir. Ve operatörler, bazen sosyal mühendislik yoluyla, bazen de çalışanlara doğrudan rüşvet vererek, numaranızı saldırganın kontrol ettiği bir SIM karta aktarmaları için manipüle edilebilir. Buna SIM takası denir.

Numaranız aktarıldıktan sonra "sizin" telefonunuza gönderilen her SMS kodu, saldırganın cihazına gider. Şifreniz artı herhangi bir SMS tabanlı iki faktörlü faktör artık onların. Yüksek değerli hedefler (önemli miktarda kripto para birimine sahip kişiler, yöneticiler, gazeteciler) bu şekilde düzenli olarak tehlikeye atılıyor.

İki faktörlü yöntemler – göreceli güç
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Kimlik doğrulama uygulaması (TOTP)
Good
Real-time phishing (if attacker acts fast)
Donanım anahtarı (geçiş anahtarı)
Strong
Anahtarın fiziksel hırsızlığı

Bunun yerine ne kullanılmalı?

Kimlik doğrulama uygulaması cihazınızda zamana dayalı kodlar oluşturur. Telefon ağı üzerinden iletilmiyorlar; hiçbir SIM takası onları engelleyemez. Google Authenticator veya Authy gibi uygulamalar bu şekilde çalışır. NordPass ayrıca yerleşik bir kimlik doğrulayıcı içerir; bu, 2FA kodlarınızın ve şifrelerinizin aynı güvenli kasada bulunduğu anlamına gelir.

İki faktör en zayıf haliyle bile sahip olunmaya değer. SMS 2FA, 2FA olmamasından çok daha iyidir. Ancak bunu kullanacaksanız, SMS'ten kimlik doğrulama uygulamasına geçmek hesap başına yaklaşık iki dakika sürer ve korumadaki boşluk ciddidir.

Sık sorulan sorular

What is credential stuffing?+

Kimlik bilgisi doldurma, saldırganların bir ihlalde açığa çıkan e-posta ve şifre kombinasyonlarını alıp bunları otomatik olarak diğer hizmetlerde denemesidir. Parolaları yeniden kullanırsanız, bir sitedeki ihlal, saldırganların aynı kimlik bilgilerine sahip tüm hesaba erişmesine olanak tanır.

Is it safe to store all your passwords in one place?+

Evet, saygın bir şifre yöneticisi kullanıldığında. Şifrelenmiş kasa, yeniden kullanılan veya zayıf parolalardan çok daha güvenlidir. NordPass gibi şifre yöneticileri sıfır bilgi mimarisini kullanır; bu da şirketin bile saklanan şifrelerinizi göremediği anlamına gelir.

What is two-factor authentication and should I use it?+

İki faktörlü kimlik doğrulama (2FA), şifrenizin ötesinde ikinci bir doğrulama adımı gerektirir; genellikle bir uygulamadan gelen koddur. SIM değiştirme saldırılarına karşı savunmasız olan SMS kodları yerine bir kimlik doğrulama uygulaması (Google Authenticator, Authy) kullanın.

Şifreler ve 2FA kodları tek bir güvenli kasada
NordPass şifrelerinizi saklar ve kimlik doğrulama kodlarınızı oluşturur. Tek uygulama, tek ana şifre, her şey cihazlarınız arasında senkronize edilir.
⭐ 4,5/5 · milyonlarca şifre korunuyor
Try NordPass →

Sam Feldman
Sam Feldman
"İyi bir pankartın sabit bir şekli yoktur ve doğal bir anlamı yoktur."
Austin, TX · https://sams.blog/weekly
RELATED READING
Kimsenin düşünmediği şifre felaketi
Bir şifreyi yeniden kullanırsınız. Bilgisayar korsanları buna güveniyor.
Normal insanlar için açıklanan şifre yöneticileri
Kendi Ebeveynlerim için Oluşturduğum Güvenlik Kurulumunun Aynısını, Gerçekten İşe Yarayan Güvenlik Kurulumunu Almak üzeresiniz

Çoğu insanın tek bir koruma katmanı vardır. Üçü eksik.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

Baştan sona 20 dakika, ardından arka planda çalışır. E-postanızı girin, göndereceğim.

Bir şeyler ters gitti. Lütfen tekrar deneyin.
İçeri girdiniz — kısa süre içinde gelen kutunuzu kontrol edin.
%100 gizli. İstediğiniz zaman abonelikten çıkın.