17 January 2018 Wednesday

Omni, multi, falan

İstanbul Bilgi Üniversitesi MBA programında verdiğimiz Dijital Dönüşüm dersinin bu dönem sonu final sorularından biri “Omni-channel ile multi-channel arasındaki farkı anlatın” idi. Blogda bir örnek de var zaten.

😉

Final sınavına katılmış olan Umut Altun, bu sabah şu mesajı göndermiş:

Uğur Hocam günaydın,

Garanti Bankasının ticari müşterisiyiz. Geçtiğimiz cuma bir ödeme için garanti cep uygulamasına giriş yapmaya çalıştım fakat şifrematik kullanma zorunluluğu geldiğine dair bildirim aldım. 

Uygulama olarak hemen Garanti Şifrematik indirdim. İşe yaramadı. Müşteri hizmetlerine ulaşıp 15 dk sonrasında öğrendim ki şifrematik fiziki bir şeymiş. Ticari müşteriler bunları kullanmalıymış. 3 gün hesaba ulaşamadım. Şubeye giderek şifrematik almam gerektiği söylendi. 

Gittiğimdeyse manzara ekteki fotoğraf oldu.

Telefonumdan bankaya giriş yapabilmek için neredeyse kart büyüklüğünde bir şifrematik verdiler. Bir de ufak çanta gibi bir şeyi var. Anahtarlık yapabilmemiz için ucuna da halka takmışlar…

Artık bunu devamlı yanımda taşımak zorundayım.

Normalde 10 saniyede girebildiğim uygulamaya şu an bilmiyorum kaç dakikada girerim. Dijital dönüşüm dersi aldıktan sonra bu beni oldukça rahatsız etti. 

Uğur Hocam, bankacılıkla alakalı her şeye hakim olan biri olarak bu gerçekten gerekli bir şey miydi? Güvenlik için illaki böyle bir sistem mi olması gerekiyordu?

Umut

Mesajı yayınlamak için izin isteyince, şu mesajı aldım:

Hocam,

Kılıfını da göstermek isterim. 

Kemere falan da takmak için kullanışlı bir tasarım.

Umut

Umut’a bir yanıt veremedim.

Garanti Bankası’nı “zamanda geriye yolculuk” yaptırdığı için kutlamadan önce, haklı gerekçesini öğrenmek ve daha çağdaş bir çözüm olup olmadığını irdelemek isterim.

😉

Bu arada… Dijital dönüşüm dersinin en büyük faydası, mevcut yapıların müşteri odaklılığının ( MOST® ) sorgulanmasını sağlamasıdır.

.

Etiketler: , , , , , , , ,

Kategori: bilişim, CEM, CRM

“Omni, multi, falan” yazısına şu ana kadar 3 yorum yapılmış:

  1. Birisinin garanti banka authenticator diye seslenmesi lazım.

  2. Sercan ÖZGENER :
    18 January 2018
    9:06 am

    Merhaba
    Ben de ticari müşteriyim. Bu 1990’ların şifrematiğiyle giriş yaptıktan sonra cep telefonununuza indirdiğiniz garanticep şifrematiği aktif edip 2sini de kullanabiliyorsunuz. 90’ların şifrematiğini de kasadan çıkartmaya gerek kalmıyor. Sevgiler

  3. Uğur Özmen
    Bu ekipmanı haklı kılan gerekçeyi de merak ediyorum. Biri beni aydınlatabilir mi?
    .
    İlker Utlu
    Üçüncü parti 2FA uygulamalarını bir kenara bırakırsak alternatifi SMS sistemi. Kimlik kartı kopyalanması ve yeterince denetimsiz gsm bayilerinden çıkartılan sim kartlarla yapılan hırsızlıklardan koruyabilecek bir çözüm.
    Ayrıca tercih ediliyor. Örneğin ben başkasına ait 6 sıfırdan kalabalık hesaplarla ilgili bir sorumluluk taşıyor olsam tercih ederdim.
    Zorunluluk kısmını bilemeyeceğim. Dilleri çok yanmış, sorumluluğu paylaşmak istiyor olabilirler.
    .
    Bilgisayar başına geçtim, faydalarını şöyle toparlayayım:

    1. Offline bir cihaz, dış dünyadan tamamen izole.
    2. Enerji ihtiyacı düşük, çok uzun standby süresi var.
    3. Sadece tek bir işe yarıyor, kullanırken çağrı gelmiyor.
    4. Hesaba/kişiye özel
    5. Banka 3. parti cihaz/uygulama kullanmayarak sabit bir risk alıyor.
    .
    Çağatay Öztürk
    Fiziksel bir ekipman olmadan bu teknolojik yaklaşım hala kullanılır. Su an mobil uygulamalar düzeyinde olsa da Internet bağlantısı olmadan kullanılırlar hala üstelik.
    Bildiğimiz 2FA. Kişiye özel bir şifreyle sistem ve istemci arasında bir bağ kurulur, bu bağın sabiti saattir.
    Saat ve şifre sabitleri ile bir parola üretilir. Giriş yapılmak istenen sisteme bu parola girilir. Sistem, bu parolanın doğruluğunu (şu cihazın Internet erişimi olmadığı) için sabit verileri kullanarak doğrular. Her şey yolundaysa içeri alır.
    (Bu arada saat yerine counter’in olduğu da bir algoritma var. Ama sanki bunun çalısması için Internet erişimi gerekiyor olmalı. Bilgisayar bilimciler eqlesin)
    .
    Yukarida şifre diye bahsettigim değer, bu iki noktanın sahip olduğu ortak ve gizli bir değer aslında.
    .
    Uğur Özmen
    Ben de insanın zaten yanında taşıdığı GSM cihazı gibi bir alet varken, ek olarak fiziksel (ve pek de küçük olmayan) cihazı kullanmak zorunda bırakılmasını anlamıyorum.
    .
    Başak Purut
    Hocam, ben anlamadım, Garanti Bankası’nın “cep şifrematik” ve kendi uygulamaları (ios & android) üzerinden bildirimle (sms değil) 2FA sistemleri var.
    ben her gün ikisini de kullanıyorum, bu cihazı siz özellikle istemedikçe vermiyorlar diye biliyorum.
    Ben hem şirketlerimizde, hem de şahsi hesaplarımda yukarıda bahsettiklerimi kullanıyorum. Bu cihazı görmeyeli belki 7-8 yıl olmuştur.
    .
    Uğur Özmen
    @Başak Purut ,
    Maalesef zorunlu imiş.

    Garanti Bankası’ndan bir yönetici beni aradı.
    – Zamanınız var mı? Diye sordu.
    – Evet, buyrun” yanıtı alınca “önce kendimi tanıtayım” diye başladı.
    Bilgi güvenliği uzmanıymış, bilişim hukuku master’ı yapıyormuş, uluslararası şu ve bu güvenlik sertifikalarını almış… mış… mış…
    (Sanırım “sen benim kim olduğumu biliyor musun?” kavramının bilimseli oluyor.)
    Aslında bu cihazın maliyeti fazlaymış, banka sadece belli büyüklükte müşterilere veriyormuş.
    Uzun uzun anlattı. Sonuçta… ZORUNLU

    Başak Purut
    Uğur Özmen hocam
    kusura bakmayın da bir gariplik var o işte.
    bu şifrematik zorunlu filan değil, zorunlu olan iki adımlı doğrulama ve bu şifrematik bir app olan cep şifrematik ile aynı güvenliği sağlıyor, olan biten aşırı garip geldi. bu gayet eski bir teknoloji ve gerçekten bizim hesapların şifrematiklerini 7-8 senedir görmemişimdir, kimbilir neredeler.
    .
    Hamza Şamlıoğlu
    Bu cihazlar günümüzde yüksek güvenlik tercihi için kullanılmaya devam ediyor hocam. Cep telefonları bunlar kadar güvenli değil. Üzerlerindeki algoritma kod üretmesini sağlar ve böyle cihazların çaldırılmadığı sürece hacklenmesi mümkün değildir. (İnternet , BT, veya benzeri bir iletişim kullanmıyor) Ayrıca bir pin kodu ile de korunuyorlar.

    Bu cihazların benzerlerini BTC hesapları için 200-300 dolara satıyorlar.

    Bana sorarsanız Garanti’nin yerinde olsam USB UBIKEY verirdim. USB cihazı takmadan sisteme giriş yapılamaz. (Yine BTC gibi hesaplar için sıkça kullanılmaya başlandı.) Hem daha ufaklar hem de kullanışlı.
    .
    Ozan Eicher
    keşke
    .
    Uğur Özmen
    Bu dediğini kullananlar ABD’de hızla artıyor.
    .
    Hamza Şamlıoğlu
    Not: Bankaya başvurarak ya da Internet üzerinden bu cihaza alternatif olarak cep telefonu SMS’ini aktif edebilirler.
    .
    Serdar Basegmez
    Bankalar (en azından benim muhatap olduklarım) ticari kullanıcıyı halen 1960’ların manifaturacı esnafı sanıyor.
    Benim çalıştığım bankaya ticari kredi kartında sanal kart var mı diye soruyorum, o ne diyorlar.
    Internet şubeleri ayrı kafalarda; birçok işlem halen yalnızca şubeden ya da faks talimatıyla yapılıyor.
    .
    Hamza Şamlıoğlu
    Bu ayrı bir tartışma konusu

    .
    Serdar Basegmez
    Ticari kullanıcılara bakışı hakkında bana yeterince ipucu veriyor.

    .
    Pelin Colak
    En son daha geçen hafta bu zımbırtıyı iptal ettirmeye çalıştım iptal da etmiyorlar.
    Bunun yerine cepşifre matik aplikasyonu var onunla giriş yapın sürekli yanınızda taşıyamıyorsanız diyorlar..
    işin güzel tarafı Hollanda’da ki banka hesapları da bu yöntemi kullanıyor.
    .
    Cem Kofoglu
    hayatimda gordugum en dandik banka garanti bankasi.
    .
    Simto Alev
    Bu cihazın alternatifi SMS değil ki ama. 2 farklı cep telefonu çözümü daha var:
    1) Bu cihazın mobil uygulama varyasyonu. Bire bir aynı şekilde çalışıyor. Bir sabit pin giriyorsunuz, size ve o zaman aralığına özel tek kullanımlık bir giriş şifresi üretiyor.
    2) Bildirim onayı. Web’den mobil bankacılığa giriş yaparken bir bildirim geliyor. Bu bildirimde bir de o an üretilmiş, size de bildirilmiş bir parola kelime var. İki ekrandaki bir birini tutuyorsa onaylıyorsunuz.

    Bu iki yöntemin de açığı cep telefonunuzun çalınması ve telefon şifrenizin olmaması. Hatta birinci yöntem için şifre üretme pininizi bilmeleri gerekiyor bir de. En azından bugün için hack’lenmeye sebep olacak bir açık yok bu teknolojide.

    Bu cihaz için de aynı koşullar geçerli. Daha güvenli olduğunu düşünmüyorum.
    .
    Hamza Şamlıoğlu
    Telefonunu bir şekilde ele geçirdikleri takdirde pin koduna kadar maalesef ki alabiliyorlar. Akıllı telefonlardaki bu güvenlik sorunu sebebi ile birçok kişi USB veya bu tarz cihazları tercih ediyor.
    Satılan popüler cihazlardan biri de bu https://l.facebook.com/l.php?u=http%3A%2F%2Fwww.hepsiburada.com%2Fledger-nano-s-bitcoin-cuzdani-p-HBV000008F4DB
    .
    Simto Alev
    Abi coin cüzdanlarını biliyorum. Bu cihazların birden çok coin wallet’ı tutma, ekstra şifreleme, üstündeki tuşa basmadan transfer onayı vermeme gibi özellikleri de oluyor.
    “Şifrematik” değil bunlar.
    .
    Hamza Şamlıoğlu
    Mantık aynı diyorum. Hacklenme vakalarına karşı kullanılıyor. Banka da bu cihazı bu sebeple veriyor. Elbette telefona geçebilirsin.
    Ancak telefonlar eskisi kadar bu noktada güvenilir değil. Garanti’nin bu konudaki adımları doğru bence
    .
    Simto Alev
    Mantık da aynı değil.
    .
    Hamza Şamlıoğlu
    Adamlar cep telefonu SMS doğrulaması veya uygulama üzerinden onay yerine fiziksel cihaz veriyor.
    BTC hesaplarında da PC’ye güven yerine bu cihazlarla 2FA sağlanıyor.
    Bankanın yaptığı bence doğru, yalnız biraz eski kalmış bunların yerine USB cihazlar kullanılabilir daha ufak ve kullanışlı diyorum.
    Mantık bu şekilde benim kanaatimce doğru.
    .
    Simto Alev
    1) PC’de bir coin cüzdanı saklıyorsan, veri dosyaların çalınabilir en azından. Hatta private key’le, 12 sözcükle vs. Herhangi bir cüzdan uygulamasından kendi cüzdanına erişebilirsin. Yani bitcoin’in varsa, 100’lerce ayrı kaynaktan, birkaç farklı yöntemle onlara erişebilirsin. Banka gibi tek ve uzak nokta değil. Ufak bir virüs bile coin’lerini çalabilir.

    Eğer telefonunda bankanın official uygulaması varsa, telefonun çalınmadığı sürece sorun yok. Çalınırsa da var diyemeyiz çünkü bankanın da birinci aşama doğrulamaları var. Önce bankaya birinci parolanı giriyorsun. Şifrematik kullanacaksan cep telefonuna onun pinini giriyorsun. Telefonunda şifre varsa, onu da aşmak gerekiyor. Yani biri telefonunu çalsa dahi 3 farklı aşamayı aşması gerekiyor.

    Donanımsal coin cüzdanları 2FA için değil zaten. Şifrematik’inse tek amacı 2FA.

    2) USB olmaz. Şifrematik kullanımı mobil bankacılıkta da var. iPhone’una mı takacaksın USB’yi.
    .
    Hamza Şamlıoğlu
    1. Telefonun çalındığı takdirde veya browserine bir virüs yerleştiği takdirde tüm güvenlik önlemlerini atlatıyorlar. Bu yüzden işin içine para girince bu cihazları kurumsal müşterilere veriyorlar. Haklılarda isteyen normale geçebilir diyorum. Birinde btc saklarsın diğerinde 2FA kodlarını saklarsın. Olay sadece çalınma değil, telefonuna uzaktan erişim de var.

    2. USB desktop cihazlar için, zaten bankanın kendi APP’si var. Root’lu telefonda çalışmıyor. Yine de evet hack riski var. Mobil bankacılığıa da entegre edersin. Üzerinde key padli usb alınır pc’ye takılır telefondan sonra işlem yaplır.

    Kısacası bu cihazlar üst düzey güvenlik isteyen kurum veya kişiler için veriliyor. Versinler derim. Mobil app’lerden binlerce kat daha güvenli olur. Birince BTC saklarsın diğerinde 2fa kodların olur. Mantık bu şekilde.

    Garanti bu konuda biraz eski kalmış. Ancak yaptığı doğru bu eski kalmayı iyileştirmek için USB cihazı verilebilir diyorum. Bu da gayet mantıklı olur. Telefon bankacılığı için de PC’ye takıp onay vermezsen girişi yaptırmaz. Zaten kurumlar bu şekilde bir güvenliğe sıcak bakıyorlar. Kişiler için değil tabi ki ben kullanmıyorum telefon olsun yeter diyorum. Ancak herkes bu şekilde bakmıyor ve telefonuma bir zararlı bulaşırsa her halükarda alma ihtimalleri var.
    Ancak fiziksel bir güvenlik önlemi araya koyarsan alma ihtimallerini fiziksel cihaza bağladığın için engellemiş olursun.
    .
    Simto Alev
    Bankaya web’den şu şekilde giriyoruz:
    1) Login ekranına müşteri no ve harf-rakam karışık bir şifre giriyoruz.
    2) Telefonda şifrematik’i açıp onun 6 rakamlı kendi pinini giriyoruz.
    Eğer telefonu çalan bu iki aşamayı aşabiliyorsa, Şifrematik cihazını çalan da aşar.

    Bir de “isteyen normale geçebilir” demişsin. Geçemez. Bu cihaz zorunlu.
    .
    Hamza Şamlıoğlu
    Ben kullanıyorum nasıl geçemez
    Bana da verdiler yıllar önce yanımda taşımak yerine SMS’e geçtim. Evde hala duruyor cihaz. Şimdi mobil kullanıyorum. Kurumları diyorsan evet zorunlu olsun diyorum zaten birçok kurum bunu istiyor. İşin içine para girince banka fiziksel doğrulam istiyor.

    Evet bu adımları aşıyorlar. PC’de çok kolay androidlerde de yapılıyor. iPhone’da zor, ancak herkes iphone kullanmıyor.
    .
    Simto Alev
    Abi kurumsalda zorunlu işte zaten. Yazıyı okumadın mı?
    .
    Hamza Şamlıoğlu
    Evet okudum ve ben de bunu savunuyorum zaten. En başından beri yukarıda da yazdım. Kurumsal tarafta zorunlu olsun, fiziksel güvenlik koysunlar. Zaten çok para olan hesaplarda millet korkudan ne yapacağını bilemiyor kendileri istiyor. Bu aletler biraz eskidi yerine USB daha pratik cihazlar var kullanılabilir garanti bunlara geçebilir diyorum. Yukarıda BTC cihazını örnek olarak verdim. Benzeri birçok cihaz var diyorum. Başka bişiyi idda etmedim ki. Kurumlarda bu zorunluluğu kaldırırsan muhasebeciler sabah akşam hacklenir. Sonrası bankanın başına patlar.
    Adamlar da kendilerini ve hesap sahiplerini bu şekilde koruması çok doğal. Siz işin pratikliğine bakıyorsunuz. Ancak telefonlara güven olmaz.
    .
    Ömer Enis Şen
    Cep telefonunun çalınmasıyla bu usb’nin veya bu aletin çalınması arasında ne fark var Hamza Şamlıoğlu?

    Para transferleri için doğrulama seçenekleri çok fazla var. Girişte ayrı, transferde ayrı. Maille, telefonla, smsle uyarıyorlar.

    Limitler belirleniyor. Belli bir limitten sonra çağrı merkezi sizi arıyor.

    Hem banka bilgilerini hem de telefonu alsa bile parmak okuma ve yüz okuma geldi.

    İnanın nereyi kaçırıyorum anlamıyorum bu aletin gerekliliğinde?
    .
    Hamza Şamlıoğlu
    Cep telefonu çalınması ile bu cihazın çalınması aynı şey ancak cep telefonuna virüs bulaşıp tüm keylerinin alınması farklı bir durum.
    Bu yüzden fiziki güvenlik ekleniyor kurumlarda.
    .
    Ömer Enis Şen
    Hamza Şamlıoğlu anladım.
    Bu cihazlara virüs bulaşma olasılığı daha düşük.
    Telefon sonuçta kişisel bir şey.
    .
    Hamza Şamlıoğlu
    Evet, yani virüs bulaşmaz. bu cihazların internet bağlantısı yoktur. USB gibi girişleri yoktur. BT gibi bağlantıları yoktur. Bu sebeple güvenlidir. USB olan KEY’ler ise yukarıda bahsettiğim BTC cüzdanlarında falan kullananlar da içerideki veriyi Criptoladığı için güvenlidir. Kriptoyu çözmek için üzerinde keypad olanları tercih edilir ki PC’den bağımsız olur.
    .
    Umut Aydin
    BTC için kullanılan cihazlar hardware wallet’lar bildigim kadarıyla.
    Uzaktan Authentication veya 2FA özellikleri var mı emin değilim fakat Ledger BTC saklamak maksadıyla kullanılıyor daha çok.
    Bu ve benzeri aletlerin temel çıkış sebebi henüz SMS’in yasal bir authentication aracı sayılmadığı zamanlardan kalma. O vakitler mobil uygulamadan authentication hadisesi zaten yoktu.
    BDDK zaman açısından çok fazla diretmediği ve bizin bankaların fintech geliştirmelerinde hızlı davranması sebebiyle çok yaygınlaşmadı ama halen kurumsal kullanıcılara çok da anlamlı olmayan sebeplerle dayatıyorlar anladığım.
    Avrupa’da bu tarz OTP cihazları halen çok yaygın ve yanınızda olmadan işlem yapmak da güç.
    Bizdekilerin aksine fiziksel kartı OTP cihazina takıp kart içindeki uygulamadan şifre üretiyorsunuz vs.
    Bizim telefondaki karekodla atm’den para cekebildigimizi düşününce bayağı ilerideyiz.
    Sözün özü; bugünün şartlarında bu cihaza ihtiyaç yok, görünce benim de 10 sene evvelki anılarım depreşti. İhaleler vs. Tüylerim diken diken şu an

    .
    llker Utlu
    2FA olarak SMS kullanımı riskleri:
    http://t24.com.tr/haber/istanbul-merkezli-siber-dolandiricilik-sorusturmasi-22-tutuklama,538502
    .

Yorum Yazın