İnternet bankacılığıyla ilgili gelişmeleri takip eden okuyucularımızın da bileceği gibi, 1 Ocak 2010 tarihinden itibaren internet bankacılığına giriş sırasında tek kullanımlık şifre zorunlu hale geliyor. Söz konusu karar geçtiğimiz yıl BDDK tarafından alınmıştı ve bu sene, konuyla ilgili gerekli altyapı çalışmalarının tamamlanmasını sağlamak için geçiş süresi olarak kabul edilmişti.
Tek kullanımlık şifre (ingilizce adı ile One Time Password – OTP) için bankaların önünde birkaç seçenek bulunuyor. Bunlardan ilki minimal bir altyapı yatırımı gerektiren sistemle üretilen tek kullanımlık şifrelerin (genelde dört ila altı karakterden oluşan bir sayısal değerdir) bir GSM şirketi gateway’i üzerinden müşterinin sistemde tanımlı cep telefonuna gönderilir. Müşteri gönderilen şifreyi karşısına çıkan ekrana girerek otorizasyonu sağlar. Burada güvenlik açısından en büyük sorun bankalardan ziyade GSM şirketlerinin SIM kart yenileme süreçlerinden kaynaklanıyor. Kötü niyetli kişiler kimlik bilgisini elde ettikleri kişiler adına sahte kimlikler oluşturup, telefon kartlarını kaybedip yenisini almak için başvuruyormuş gibi yaparak yeni hattı üzerlerine alıyorlar. SIM kart sahibinin orjinal hattı bloke oluyor. Bu süreçte sahte kimlikle hattı alan kişi internet bankacılığından müşterinin hesabını boşaltabilirse boşaltıyor. Bu konuda bankaların da baskısı ile GSM şirketlerinin ilgili süreçlerini iyileştirme çalışmaları devam ediyor, hatta bazıları tamamlanmış bile olabilir.
Tek kullanımlık şifre üreten elektronik cihazların (token) satın alınması ve bunların internet kullanıcılarına dağıtılması de ikinci bir seçenek. Cihazın kurulumu sırasında bir güvenik şifresi oluyor, bu şifreyi girince tek kullanımlık şifre üretiliyor. Üretilen şifre müşterinin karşısına çıkan ekrana girilmek suretiyle güvenlik aşaması geçiliyor. Fiziksel token kullanımının özellikle müşteriye iletilmesi konusunda lojistik açıdan sıkıntı yaşanıyor. Bu cihazların senkronize edilmesi veya kayıp edilmesi durumunda iptali, yeni bir token’ın müşteriye iletilmesi, bu iletilen cihazın tekrar senkronize edilmesi gibi bazı sıkıntılar var. Bu konuda Garanti Bankası tarafından hayata geçirilmiş şifrematik uygulamasını tercih ettiğimizde cihazın tarafımıza iletilmesi aylar almıştı ve nihayetinde şifrematiğe ulaşamadan sorunu başka şekilde halletmek zorunda kalmıştık.
Tek kullanımlık şifre üreten programlar ise günümüzde bu konuda en iyi alternatifi oluşturuyor. Bankalar, İş Bankası Cep Anahtar uygulaması örneğinde de görebileceğiniz gibi java destekleyen cep telefonları için şifre üreten bir program geliştiriyorlar. Programa şifre ile giriş yapınca sistem tek kullanımlık bir şifre üretiyor. Bu konuda bizim bildiğimiz en eski örnek Garanti Bankası’nın java destekleyen cep telefonları için geliştiridiği Şifrematik uygulaması. Uygulamanın son versiyonun Cep Şube için özel şifre üretimi ayağı var ki, eğer siz de maliyet nedenlerinden doları cep bankacılığını kullanıyorsanız, bundan önceki versiyon ile cep şubesine girişin ne kadar ızdıraplı olduğuna dair fikriniz vardır. Türk toplumunun en yüksek teknolojiyi barındıran cep telefonlarına ne kadar meraklı olduğunu ve insanların kolay kolay telefonsuz evden çıkmayacağını düşünürseniz, yukarıda bahsettiğimiz birçok teknik sorunun bu uygulama ile aşılabildiğini görebilir ve İş Bankası’nın neden bu tür bir ürüne ait reklam yaptığına anlam verebilirsiniz.
Üç alternatif demiştik ama bütün bunlara ilave olarak bir de mobil imza alternatifi var. Yaygın olarak internet bankacılığı olan birçok bankanın internet şubesi özellikle Turkcell Mobil İmza’yı destekliyor. Burada da tek kullanımlık şifre şeklinde kullanım söz konusu ancak mobil imza kullanıcısı bilgisayar ekranından sadece cep telefonunu girmek zorunda (o da belli bankaların uygulamalarında), diğer tüm otorizasyon cep telefonu üzerinden sms ile hallediliyor. Üstelik mobil imza ıslak imza yerine de geçiyor. Bununla ilgili sorunlaraı çok yaygın kullanılmaması, Turkcell’in son kullanıcıdan her mobil imza kullanımı için ücret talep ediyor olması (öte yandan elektronik imza sertifikalarını sübvanse ediyorlar), özellikle diğer GSM operatörü tarafından verilen mobil imza hizmetinde kesintisiz hizmet verilmesi konusunda sorunlar yaşanması, mobil imza taleplerinin alınması ile müşterilerin mobil imzalı hale getirilmesine kadar geçen süreçte müşterinin konuya ilgisini kaybetmesi olarak sıralayabiliriz. Öte yandan tek kullanımlık şifre çok yaygınlaşacak ve tek bir mobil imza ile tüm bankalara giriş yapmak mümkün olacak. SMS kullanımı hariç diğer alternatiflerin her birinde, birden fazla bankanın internet şubesini kullanmanız durumunda, anahtarlığınızda veya cep telefonunuzda kullandığınız her bankaya ait bir fiziksel veya programsal token taşımanız gerekecektir.