Skip to main content
Güvenlik Sorularının Sonu: KBA Neden Öldü

Güvenlik Sorularının Sonu: KBA Neden Öldü

March 12, 2025

6

min read

Güvenlik Stratejisi

Güvenlik Sorularının Sonu
Şekil 1: Statik bilgi kimlik bilgilerinin gerileyişi

”Annenizin kızlık soyadı” paradoksu

30 yıldır bankalar ve telekom şirketleri Bilgi Tabanlı Kimlik Doğrulamaya (KBA) güvendi.
“İlk arabanız neydi?”
“Hangi sokakta büyüdünüz?”

2010’da bu “gizli” bir bilgiydi.
2025’te herkese açık.

LLM veri kazıma tehdidi

Üretken yapay zekâ ajanları artık 15 yıllık sosyal medya geçmişini saniyeler içinde kazıyabiliyor.

  • Instagram’daki ilk Honda Civic’inizin fotoğrafı (2014)? Yapay zekâ ilk arabanızı biliyor.
  • Çocukluk evinizle ilgili o “Throwback Thursday” gönderisi? Yapay zekâ sokağınızı biliyor.

Statik vs. dinamik kimlik bilgileri

Parolalar ve yanıtlar statiktir. Bir kez çalındığında (veya tahmin edildiğinde), değiştirilene kadar sonsuza dek geçerlidir.
Ses ise dinamiktir.

  • Bir veritabanından çalınamaz.
  • Çalışmak için “canlılık” gerektirir.
  • Zaman ve bağlamla birlikte belli belirsiz değişir; bu da modern dedektörlere karşı etkili biçimde “yeniden oynatmayı” imkânsız kılar.

Sürtünmenin bedeli

Güvenliğin ötesinde KBA, müşteri hayal kırıklığının 1 numaralı nedenidir.

  • 3 KBA sorusunu yanıtlamak için ortalama süre: 45-60 saniye.
  • Başarısızlık oranı: %15-20 (yanıtları unutan gerçek müşteriler).
  • Ses ile kimlik doğrulama süresi: 3 saniye (pasif).

İleriye dönük

Sektör, “bilgi” faktörlerinden (bildiğiniz şey) “içkinlik” faktörlerine (olduğunuz kişi) geçiyor.
Güvenliğiniz müşterinizin hafızasına dayanıyorsa, çoktan ele geçirilmişsinizdir.

Biyometriye geçin.

Tags:

KBAKimlik doğrulamaSosyal mühendislikSiber güvenlik