IndigoMarigold
Kayıtlı Kullanıcı
Hani o günler gelir ya, sistem çöker, telefon gider, şifren aklından uçar, işte o an dersin ki, "Neyse ki yedek kodlarım var, kurtarıcı meleklerim!" Ama gel gör ki, o son umut kırıntısı da avuçlarımızdan kayıp gitti, buz gibi bir gerçeklikle yüzleştik abi ya... O kâğıda yazdığımız ya da güvenli olduğunu düşündüğümüz bir not uygulamasına kaydettiğimiz altı haneli, sekiz haneli o kutsal rakamlar var ya, hani "Multi-Factor Authentication (MFA) kurtarıcıları" diye pazarlanan, işte onlar da çürük çıktı, ne yalan söyleyeyim. Sistem, o anki oturum ID'sini veya çerez verisini bile tanıyamazken, o statik kodların neden çalışmadığını anlamak imkansız gibiydi, sanki sunucunun hafızası silinmiş, bütün eski tokenlar geçersiz kılınmış gibi hissettik.
Oysa ne güvenirdik o iki adımlı doğrulamanın yedek anahtarlarına, dersin ki "Tamamdır, bende kopya var, dünya yansa ben girerim hesabıma..." Bir de bazı platformlar var, özellikle kripto cüzdanları tarafında, 12 veya 24 kelimelik o "seed phrase" denen tohum cümlelerini verdiler mi, sanırsın elinde kasanın anahtarı var, dünya dijital kaosa batsa sen yinede parana ulaşırsın. Ama o algoritma ne oldu peki, o anahtar türetme fonksiyonu (Key Derivation Function - KDF) nasıl bir hata verdi de, o sözde sağlam anahtarların türetildiği adreslere erişilemez oldu, o soğuk cüzdan, o Ledger, o Trezor, bildiğin sadece bir USB çubuk haline geldi... İçindeki değerler buhar oldu uçtu, elimiz kolumuz bağlandı, çaresiz bakakaldık.
Düşünsene, o kadar plan yapıyorsun, felaket senaryolarına karşı önlemler alıyorsun... İşte o "failover" dedikleri, sistemin otomatik olarak yedek sunucuya geçmesi, ya da veritabanının son sağlam noktaya dönmesi gibi senaryolar için yedek anahtarları kasana koyuyorsun. Ama sistem, o ikincil doğrulama sunucusuyla iletişim kuramıyorsa veya senin yerel cihazınla, o oturum belirteci (session token) ile bir türlü eşleşemiyorsa, ne anlamı kalıyor o yedeklerin? Hani o "salt" ve "pepper" eklenmiş, sağlam hashlenmiş şifreler, güya kırılmaz, çözülmez denilenler... Bir de bakıyorsun, o "brute-force" saldırısı dedikleri yöntemlerle değil de, bambaşka bir entegrasyon hatası yüzünden, içeriden bir bug yüzünden kilitli kalıyorsun, vallahi billahi insan aklını kaybedecek gibi oluyor.
Bir de şu var; bazen o yedek kodları alırkenki ruh halin, o anki sistemin kendisi bile etkili olabiliyor. Hani o anlık ağ kesintisi, sunucu tarafındaki minik bir senkronizasyon problemi, ya da senin o an kullandığın tarayıcının çerez politikası... Hepsi birden çökünce, o anlık geçerli olan tek kullanımlık kod (TOTP) bile bir anda anlamsızlaşıyor. Google Authenticator'ın ya da Authy'nin o küçük altı hanesi, sanki bir anda başka bir zaman dilimine aitmiş gibi, sistem saatleriyle uyuşmuyor da sen bir türlü giremiyorsun hesabına... İşte o an anlıyorsun ki, yazılımın o soyut dünyasında, o anlık bir "timestamp" bile her şeyi değiştirebiliyor, bütün o planlar altüst oluyor, insan kendini bir boşlukta hissediyor.
Peki ne yapacağız şimdi? O kadar özenle oluşturulmuş, şifrelenmiş, güya her şeyin son sigortası olan o yedek anahtarlar, o kurtarma kodları, birer fiyaskoya dönüştü mü, kime gideceğiz? Blockchain'in o değişmez defterine kaydedilmiş işlemler bile, cüzdanına erişemediğin sürece bir hiç. Diyorsun ki "Nereye gitti peki o 'private key'in yedeği, o 'public key' ile eşleşen anahtar çifti?" Belki de sorun o yedeklerin kendisinde değildi, belki de asıl sorun, o yedekleri doğrulayan, o doğrulama mekanizmasını çalıştıran sunucunun kendisiydi... Kim bilir? Bildiğimiz tek şey, o anda, o kritik anda, en güvendiğimiz ipin koptuğu... Ve biz öylece, dijital dünyanın ortasında, koca bir hiçle baş başa kaldık.
Oysa ne güvenirdik o iki adımlı doğrulamanın yedek anahtarlarına, dersin ki "Tamamdır, bende kopya var, dünya yansa ben girerim hesabıma..." Bir de bazı platformlar var, özellikle kripto cüzdanları tarafında, 12 veya 24 kelimelik o "seed phrase" denen tohum cümlelerini verdiler mi, sanırsın elinde kasanın anahtarı var, dünya dijital kaosa batsa sen yinede parana ulaşırsın. Ama o algoritma ne oldu peki, o anahtar türetme fonksiyonu (Key Derivation Function - KDF) nasıl bir hata verdi de, o sözde sağlam anahtarların türetildiği adreslere erişilemez oldu, o soğuk cüzdan, o Ledger, o Trezor, bildiğin sadece bir USB çubuk haline geldi... İçindeki değerler buhar oldu uçtu, elimiz kolumuz bağlandı, çaresiz bakakaldık.
Düşünsene, o kadar plan yapıyorsun, felaket senaryolarına karşı önlemler alıyorsun... İşte o "failover" dedikleri, sistemin otomatik olarak yedek sunucuya geçmesi, ya da veritabanının son sağlam noktaya dönmesi gibi senaryolar için yedek anahtarları kasana koyuyorsun. Ama sistem, o ikincil doğrulama sunucusuyla iletişim kuramıyorsa veya senin yerel cihazınla, o oturum belirteci (session token) ile bir türlü eşleşemiyorsa, ne anlamı kalıyor o yedeklerin? Hani o "salt" ve "pepper" eklenmiş, sağlam hashlenmiş şifreler, güya kırılmaz, çözülmez denilenler... Bir de bakıyorsun, o "brute-force" saldırısı dedikleri yöntemlerle değil de, bambaşka bir entegrasyon hatası yüzünden, içeriden bir bug yüzünden kilitli kalıyorsun, vallahi billahi insan aklını kaybedecek gibi oluyor.
Bir de şu var; bazen o yedek kodları alırkenki ruh halin, o anki sistemin kendisi bile etkili olabiliyor. Hani o anlık ağ kesintisi, sunucu tarafındaki minik bir senkronizasyon problemi, ya da senin o an kullandığın tarayıcının çerez politikası... Hepsi birden çökünce, o anlık geçerli olan tek kullanımlık kod (TOTP) bile bir anda anlamsızlaşıyor. Google Authenticator'ın ya da Authy'nin o küçük altı hanesi, sanki bir anda başka bir zaman dilimine aitmiş gibi, sistem saatleriyle uyuşmuyor da sen bir türlü giremiyorsun hesabına... İşte o an anlıyorsun ki, yazılımın o soyut dünyasında, o anlık bir "timestamp" bile her şeyi değiştirebiliyor, bütün o planlar altüst oluyor, insan kendini bir boşlukta hissediyor.
Peki ne yapacağız şimdi? O kadar özenle oluşturulmuş, şifrelenmiş, güya her şeyin son sigortası olan o yedek anahtarlar, o kurtarma kodları, birer fiyaskoya dönüştü mü, kime gideceğiz? Blockchain'in o değişmez defterine kaydedilmiş işlemler bile, cüzdanına erişemediğin sürece bir hiç. Diyorsun ki "Nereye gitti peki o 'private key'in yedeği, o 'public key' ile eşleşen anahtar çifti?" Belki de sorun o yedeklerin kendisinde değildi, belki de asıl sorun, o yedekleri doğrulayan, o doğrulama mekanizmasını çalıştıran sunucunun kendisiydi... Kim bilir? Bildiğimiz tek şey, o anda, o kritik anda, en güvendiğimiz ipin koptuğu... Ve biz öylece, dijital dünyanın ortasında, koca bir hiçle baş başa kaldık.
