Bankaya gidip yeni bir kart aldığınızda ya size kapalı bir zarf verilir ya da SMS yoluyla şifrenizi belirlersiniz. Peki, o andan itibaren ATM şifresi nasıl doğrulanır hiç düşündünüz mü? Sonuçta bu şifreyi banka kendi veri tabanında "1234" gibi açık bir şekilde saklasa, yaşanacak ilk siber saldırıda milyonlarca insanın hesabı saniyeler içinde boşaltılabilirdi.
İşin aslı, ATM'ye girdiğiniz o 4 haneli sayı, sandığınız gibi bankanın bilgisayarlarında yazılı olarak durmuyor. Matematiksel bir sihirbazlık diyebileceğimiz yöntemlerle şifreniz bambaşka bir şeye dönüşüyor. Gelin siz parayı çekerken saniyeler içinde gerçekleşen o "gizli" teknolojik doğrulamaya ve sistemin arkasındaki mühendisliğe yakından bakalım.
Güvenlik dünyasında "Hashing" (Özetleme) adı verilen bir yöntem kullanılır. Siz şifrenizi ilk belirlediğinizde, sistem bu rakamları (örneğin 1234) alır ve kriptografik bir algoritmadan geçirir. Bu işlem sonucunda ortaya "Hash" adı verilen, karmaşık harf ve rakamlardan oluşan anlamsız bir dize çıkar.
Örneğin şifreniz "1234" ise, sistem bunu "e10adc3949ba59abbe56e057f20f883e" gibi bir değere dönüştürüp saklar. Bu işlemin en kritik noktası tek yönlü olmasıdır. Yani elinizde bu uzun karmaşık kod olsa bile, geriye dönük işlem yaparak "1234" sonucuna ulaşamazsınız. Banka çalışanları dahil kimsenin şifrenizi bilememesinin sebebi budur; çünkü ellerinde sadece bu karmaşık özet değer bulunur.
Siz ATM'nin tuşlarına bastığınızda sistem, girdiğiniz rakamları anında aynı algoritmadan geçirir. Eğer girdiğiniz rakamlar doğruysa ATM'nin o an ürettiği hash kodu ile bankanın veri tabanında saklanan hash kodu birebir aynı olacaktır.
Basitçe anlatmak gerekirse; ATM bankaya "Kullanıcı bana 1234 dedi" diye sormaz. Bunun yerine "Kullanıcının girdiği verinin özeti X kodu çıktı, sende kayıtlı olan özet de X mi?" diye sorar. İki kod eşleşirse sistem kapıları açar ve paranızı verir. Eşleşmezse, "Hatalı şifre" uyarısını alırsınız. Bu sayede şifreniz internet hattı üzerinde asla çıplak hâlde dolaşmamış olur.
Eskiden sadece manyetik şeritler varken kopyalama olayları çok yaygındı. Günümüzde kartların üzerinde gördüğünüz o altın sarısı veya gümüş renkli küçük çipler (EMV teknolojisi), güvenliği bir kat daha artırıyor. Bu çipler, aslında minik birer bilgisayardır.
Bazı durumlarda, özellikle internet bağlantısının yavaş veya kesik olduğu anlarda, "Offline PIN" doğrulaması devreye girebilir. Şifrenizin hash'lenmiş hâli güvenli bir şekilde bu çipin içinde de saklanır. Siz şifreyi girdiğinizde doğrulama işlemi bankaya gitmeden, doğrudan kartın üzerindeki çip ile ATM arasında gerçekleşir. Bu da siber korsanların araya girip veriyi çalmasını neredeyse imkânsız hâle getirir.
