Kimlik doğrulama uygulamaları, donanım kodları (belirteçleri) ve Kısa mesaj kodları, iki adımlı doğrulamayı (2FA) ayarlarken karşılaşacağınız yaygın kimlik doğrulama yöntemleridir. Bunların tümü tek kullanımlık parolalara (OTP) dayanır. TOTP ve HOTP, standartlaştırılmış iki OTP türüyken, Kısa mesaj ve e-posta kodları diğer yaygın OTP iletim yöntemleridir. Temelde aynı temel amaca hizmet etseler de uygulamaları farklılık gösterir, bu da onlara benzersiz avantajlar ve sınırlamalar kazandırır. Bu yazıda HOTP, TOTP ve OTP karşılaştırmasını ele alacak ve farklı kullanım senaryoları için hangi seçeneğin en mantıklı olduğunu açıklayacağız.
HOTP, TOTP ve OTP’yi Anlama
Tek kullanımlık parola (OTP)
OTP’ler, bazen tek kullanımlık parolalar veya 2FA kodları olarak adlandırılan ve yalnızca bir kez kullanılan geçici kodlardır. Parolaların yerini almazlar; bunun yerine ek bir güvenlik katmanı sağlarlar. OTP’ler genellikle bankacılık uygulamalarında, oturum açma sırasında kimlik doğrulaması için veya çevrim içi bir hesap ayarlarken kullanılır.
Not: OTP; TOTP, HOTP ve e-posta/Kısa mesaj dahil olmak üzere tek kullanımlık parolaların çeşitli biçimleri için kullanılan çatı terimdir.
Zaman tabanlı tek kullanımlık parola (TOTP)
TOTP kodları genellikle kimlik doğrulama uygulamaları tarafından üretilen 6 haneli kodlardır. Yaklaşık 30 saniye (hizmete bağlı olarak bazen 60 saniyeye kadar) geçerlidirler. Bir kodun geçerlilik süresi dolduğunda artık işlevsel olmaz ve yeni bir kod üretilir. TOTP’nin zaman tabanlı yapısı, saldırganların çalınan herhangi bir kodu kullanma fırsat pencerelerini kısıtladığı için son derece güvenlidir.
HMAC tabanlı tek kullanımlık parola (HOTP)
HOTP’ler, genellikle YubiKey gibi donanım belirteçlerinde (kodlarında) bulunur ve kod üretmek için sayaç tabanlı bir sisteme dayanır. Bu sistem, numaralandırılmış kupon defterine benzer bir şekilde çalışır; sistemle eşleştirilen sıralı bir kod düzeni vardır. Donanım belirteci (kodu) ve uygulama sunucusu senkronize kaldığı sürece erişim hakkı kazanırsınız.
TOTP’nin aksine, HOTP kodlarının geçerlilik süresi bir zamanlayıcıya bağlı olarak dolmaz. Siz kullanana veya yeni bir kod üretene kadar geçerli kalırlar. Bu durum, HOTP’yi çevrim dışı senaryolar için ideal hâle getirir; ancak bir kod üretip kullanmamanız durumunda, bu kodun bir saldırgan tarafından bulunup kullanılabilecek geçerli bir anahtar olarak kalacağı anlamına da gelir.
HOTP, TOTP ve OTP: Temel farklar
TOTP ve HOTP, farklı üretim yöntemlerine sahip OTP türleridir. Örneğin, TOTP ile OTP’yi karşılaştırıyorsanız, muhtemelen kimlik doğrulama uygulamalarından alınan zaman tabanlı kodları; kısa mesaj ve e-posta kodları gibi genel OTP yöntemleriyle karşılaştırıyorsunuzdur.
| Kısa mesaj/E-posta kodları | TOTP | HOTP | |
| Kod geçerliliği | Değişkenlik gösterir (dakika ile saat arası) | 30 ila 60 saniye | Yeni bir kod üretilene kadar |
| Güvenlik* | Düşük | Yüksek | Orta düzey |
| Kurulum karmaşıklığı | Yok | Düşük | Orta düzey |
| Etkin ağ gereksinimi | Evet | Hayır | Hayır |
| Ek donanım | Yok | Yok | Donanım belirteci (kodu) |
*Kod geçerlilik sürelerine ve ele geçirilme riskine göre belirlenmiş güvenlik düzeyi.
Güvenlik
HOTP, TOTP ve OTP; maruz kalma süresi ve iletim yöntemi gibi temel hususlar doğrultusunda farklı güvenlik düzeyleri sunar.
TOTP, kodların aygıtta üretilmesi ve kısa bir geçerlilik süresine sahip olması nedeniyle genellikle kısa mesaj veya e-posta kodlarından daha güçlü bir güvenlik sunar. Saldırganlar TOTP kodunuzu bir şekilde ele geçirse bile bu kod işe yaramaz hâle gelir.
HOTP, kriptografik bir temel üzerine inşa edilerek güçlü bir güvenlik sağlar. Ancak, HOTP kodlarının geçerlilik süresi bir zamanlayıcıya bağlı olarak dolmadığından, potansiyel olarak uzun süren geçerlilik pencereleri, çalınan kodları bir güvenlik açığı hâline getirebilir.
Kısa mesaj ve e-posta kodları, bunlar arasındaki en az güvenli olanlardır. Ele geçirilebilecek veya yönlendirilebilecek ağlar üzerinden iletilirler; bu da onları SIM kart kopyalama veya kimlik avı girişimlerine karşı daha savunmasız hâle getirir..
Not: Hiçbir OTP yöntemi, kimlik avı girişimi gibi sosyal mühendislik saldırılarına karşı bağışık değildir. Kendinizi düzgün bir şekilde savunabilmek için kimlik avı girişimlerini nasıl tespit edeceğinizi bilmeniz önemlidir.
| Kısa mesaj/E-posta kodları | TOTP | HOTP |
| Etkin ağ gereksinimleri nedeniyle ele geçirilmeye açık | Saldırganların çalınan kodları kötüye kullanması için minimum süre | Uzun geçerlilik süresi, daha geniş saldırı fırsatları sunar |
| Şifrelenmemiş platformlar kodların çalınmasını kolaylaştırır | Kodlar aygıtta üretildiğinden daha düşük ele geçirilme riski | Kriptografik bir temel üzerine inşa edilmiş güçlü güvenlik |
Kullanıcı deneyimi
Kurulum karmaşıklığı, zaman baskısı ve güvenilirlik, her üç yöntemin de kullanıcı deneyimini etkiler.
TOTP güvenilir ve kullanışlıdır. Kurulumu basittir (genellikle sadece kare kod taranması yeterlidir) ve etkin bir ağ olmasa bile kodlar üretilir. Ancak, kodun kısa geçerlilik süresi bir zaman baskısı yaratarak daha yavaş hareket eden kullanıcılar veya birden fazla hesabı yönetenler için hayal kırıklığına neden olabilir.
Buna karşılık HOTP, sıfır zaman kısıtlamasıyla çok daha esnektir. Ancak kurulumu çok daha karmaşıktır ve ek donanım satın alınmasını gerektirebilir.
Kısa mesaj ve e-posta kodları kurulum gerektirmediği için en zahmetsiz olanlardır; ancak ağ bağlanabilirliğine dayanırlar, bu da kesintiler veya aksaklıklar sırasında gecikmelere yol açabilir.
| Kısa mesaj/E-posta kodları | TOTP | HOTP |
| Kurulum gerektirmez | İki adımlı doğrulama (2FA) kimlik doğrulayıcısı ile kare kod üzerinden kolay kurulum | Karmaşık kurulum, ek donanım gerektirebilir |
| Bazı kodların geçerlilik süresinin saatler içinde dolmasıyla birlikte hafif bir zaman baskısı | Zaman baskısı hayal kırıklığına yol açabilir | Zaman baskısı yoktur |
| Kodun teslim edilmesi için tamamen etkin bir ağa bağımlıdır | Ağ bağlantısı olmasa bile güvenilir bir şekilde çalışır | Çevrim dışı çalışır ancak senkronizasyon sorunları yaşanabilir |
Sınırlamalar
Her yöntemin kendine özgü sınırlamaları, bunları nasıl ve ne zaman kullanacağınızı etkileyecektir. Kısa mesaj ve e-posta kodları mevcut aygıtlarınızla çalışır; ancak ağ ve internet bağlantılarınıza olan bağımlılıkları, kodların iletilmesinde geçerlilik sürelerinden bile daha uzun sürebilecek gecikmelere neden olabilir.
TOTP, kod üretmek için bir ağ bağlantısı gerektirmez; ancak kodunuzun çalışabilmesi için akıllı telefonunuzun sunucu ile zaman senkronizasyonuna sahip olması gerekir. Bunu sağlamanın en iyi yolu, aygıtınızın saatinin internetle otomatik olarak senkronize edilmesini sağlamaktır. Böylece seyahat ederken bile zaman senkronizasyonu korunur.
HOTP ile ağ bağlanabilirliği zayıf olduğunda çevrim dışı olarak yeni kodlar üretmek faydalı olabilir. Ancak bu iki ucu keskin bir kılıçtır. Kodları kullanmadan yeniden üretmek, aygıtınızın sunucu ile senkronizasyonunun bozulmasına yol açarak kimlik doğrulama hatalarına neden olabilir. Ayrıca, HOTP ile gereken manuel yeniden üretim süreci, kullanıcıya büyük bir güvenlik sorumluluğu yükler.
| Kısa mesaj/E-posta kodları | TOTP | HOTP |
| Ağ bağlantısının zayıf olduğu bölgeler, kodların iletilmesinde ciddi gecikmelere neden olabilir | Seyahat ederken bile aygıt saatinin sunucu saatiyle senkronize olması gerekir. | Çok sayıda kod oluşturulur ancak kullanılmazsa senkronizasyon bozulabilir. |
Hangi OTP yöntemini kullanmalısınız?
Kısa cevap, HOTP belirli çevrim dışı ihtiyaçlara hizmet ederken çoğu kişi için en iyi standardın TOTP olduğudur. Her ikisi de kısa mesajdan daha üstündür.
Bireysel ihtiyaçlar değişiklik gösterse de TOTP, durumların çoğunda daha dengeli bir seçenek olarak görünmektedir. Zaman tabanlı yapısı ek bir güvenlik katmanı sağlar ve akıllı telefon uyumlu erişilebilirlik, onu düzenli olarak eriştiğiniz hesaplar için kullanışlı ve güvenli bir tercih haline getirir. Ancak, kimlik avı girişimlerine karşı daha da güçlü bir koruma için FIDO2/geçiş anahtarları gibi donanım tabanlı yöntemler, tüm OTP yöntemlerinden daha ileriye gider.
Parolaları güvenli bir şekilde saklayın ve güvenli bir şekilde OTP’ler oluşturun
Parolaları ve TOTP kimlik doğrulama kodlarını yönetmek zahmetli olabilir; oturum açma işlemleri sırasında sürekli uygulama değiştirmek, kodları yazmanız için zaten sınırlı olan sürenizi azaltır. Proton Pass, entegre iki adımlı doğrulama (TOTP) işlevimizle bu zorluğu azaltan güvenli bir parola yöneticisidir. Parolalarınıza, iki adımlı doğrulama kodlarınıza ve daha fazlasına tek bir güvenli, şifrelenmiş kasadan erişin.
