Virtual Phone Numbers for SMS Verification

Features

Her gün dünya çapında milyarlarca SMS doğrulama kodu gönderiliyor. Muhtemelen yüzlercesini kendiniz girdiniz - bir hizmete kaydolduğunuzda, yeni bir cihazdan giriş yaptığınızda veya bir işlemi yetkilendirdiğinizde telefonunuza gelen altı haneli kodlar.

Peki hiç perde arkasında neler olduğunu merak ettiniz mi? Bir web sitesi size nasıl bir kısa mesaj gönderir? Kod nasıl oluşturulur? Sistem gerçekten siz olduğunuzu nasıl anlar?

Bu teknik açıklamada, kod oluşturmadan teslimata kadar tüm SMS doğrulama sürecini ayrıntılarıyla açıklayacak ve bu teknolojiyi anlamanın gizliliğiniz ve güvenliğiniz için neden önemli olduğunu açıklayacağız.

SMS Doğrulama Sürecine Genel Bakış

Yüksek seviyede, SMS doğrulama şu adımları izler:

1. Kullanıcı doğrulamayı gerektiren bir eylem başlatır
2. Sunucu tek kullanımlık bir şifre (OTP) oluşturur
3. Sunucu OTP'yi bir SMS ağ geçidi aracılığıyla gönderir
4. SMS ağ geçidi mesajı operatör ağları üzerinden yönlendirir
5. Mesaj kullanıcının telefonuna ulaşır
6. Kullanıcı OTP'yi uygulamaya geri girer
7. Sunucu OTP'yi doğrular
8. Eylem yetkilendirilir veya reddedilir

Her adımı ayrıntılı olarak inceleyelim.

Adım 1: Doğrulamayı Tetikleme

SMS doğrulama, kimlik onayı gerektiren belirli kullanıcı eylemleri tarafından tetiklenir:

• Hesap oluşturma: Kayıt sırasında bir telefon numarasını onaylama
• Yeni cihazdan giriş: Tanınmayan bir cihazdan veya konumdan erişim sağlandığında kimliği doğrulama
• Şifre sıfırlama: Şifre değişikliğine izin vermeden önce hesap sahibini onaylama
• İşlem yetkilendirme: Yüksek değerli veya olağandışı finansal işlemleri doğrulama
• Profil değişiklikleri: Hassas hesap ayarlarını değiştirmeden önce kimliği onaylama

Uygulamanın backend mantığı, doğrulamanın ne zaman gerekli olduğunu belirler. Bu genellikle IP adresi, cihaz parmak izi, coğrafi konum ve davranış kalıpları gibi faktörleri değerlendiren risk değerlendirme algoritmalarına dayanır.

Risk Tabanlı Tetikleme

Modern platformlar her eylemi doğrulamaz. Bunun yerine, uyarlanabilir risk puanlaması kullanırlar:

• Düşük risk (tanınan cihaz, alışılmış konum): Doğrulama gerekmez
• Orta risk (yeni cihaz, aynı ülke): E-posta doğrulaması yeterli olabilir
• Yüksek risk (yeni cihaz, farklı ülke, VPN algılandı): SMS doğrulaması tetiklenir
• Kritik risk (finansal işlem, şifre değişikliği): SMS doğrulaması zorunludur

Bu risk tabanlı yaklaşım, gereksiz sürtünmeyi azaltırken korumayı sürdürerek güvenliği kullanıcı deneyimiyle dengeler.

Adım 2: OTP Oluşturma

Doğrulama tetiklendiğinde, sunucu tek kullanımlık bir şifre oluşturur. İşte bu noktada kriptografi devreye girer.

OTP'ler Nasıl Oluşturulur

OTP oluşturmak için iki temel yöntem vardır:

HOTP (HMAC tabanlı Tek Kullanımlık Şifre)

RFC 4226'da tanımlanan HOTP, bir sayaç değerine dayalı şifreler oluşturur:

1. Sunucuda gizli bir anahtar saklanır
2. Bir sayaç değeri tutulur (her OTP isteğinde artar)
3. HMAC-SHA1 algoritması gizli anahtarı ve sayacı birleştirir
4. Sonuç, insanlar tarafından okunabilir bir kod (genellikle 4-8 haneli) üretmek için kısaltılır

Formül: HOTP(K, C) = Truncate(HMAC-SHA1(K, C))

Burada K gizli anahtar ve C sayaç değeridir.

TOTP (Zaman tabanlı Tek Kullanımlık Şifre)

RFC 6238'de tanımlanan TOTP, SMS doğrulaması için daha yaygın olarak kullanılır. Sayacın yerini zaman tabanlı bir değerle alır:

1. Mevcut Unix zaman damgası bir zaman adımına (genellikle 30 saniye) bölünür
2. Bu zamandan türetilmiş değer, HOTP algoritmasındaki sayacın yerini alır
3. Ortaya çıkan kod yalnızca geçerli zaman adımı sırasında geçerlidir

Formül: TOTP(K) = HOTP(K, floor(T/X))

Burada T mevcut zaman ve X zaman adımıdır (örneğin, 30 saniye).

Rastgele Sayı Üretimi

Birçok uygulama HOTP/TOTP'yi tamamen atlar ve bunun yerine kod üretmek için kriptografik olarak güvenli rastgele sayı üreteçleri (CSPRNG) kullanır:

1. Sunucu, güvenli bir entropi kaynağı kullanarak rastgele bir sayı üretir
2. Sayı 4-8 haneli bir kod olarak biçimlendirilir
3. Kod, sunucunun veritabanında bir son kullanma zaman damgasıyla saklanır
4. Kullanıcı bir kod gönderdiğinde, bu kod saklanan değerle karşılaştırılır

Bu yaklaşımın uygulanması daha basittir ve birçok web uygulaması tarafından kullanılır.

OTP Özellikleri

Üretim yönteminden bağımsız olarak, iyi tasarlanmış bir OTP şu özelliklere sahiptir:

• Benzersiz: Her kod öncekilerden farklı olmalıdır
• Tahmin Edilemez: Önceki kodları bilmek gelecekteki kodları tahmin etmeye yardımcı olmamalıdır
• Sınırlı Süreli: Kodlar kısa bir süre sonra (genellikle 60-300 saniye) geçerliliğini yitirir
• Tek Kullanımlık: Her kod yalnızca bir kez kullanılabilir
• Yeterli Entropi: Kaba kuvvetle tahmin etmeyi önleyecek kadar uzun (6 hane = 1.000.000 olası kombinasyon)

Adım 3: SMS Ağ Geçidi İletişimi

OTP'yi oluşturduktan sonra, sunucunun bunu SMS yoluyla teslim etmesi gerekir. İşte bu noktada SMS ağ geçitleri devreye girer.

SMS Ağ Geçidi Nedir?

Bir SMS ağ geçidi, internet ile mobil operatör ağları arasında köprü kuran bir hizmettir. API'ler aracılığıyla uygulamalardan mesajları kabul eder ve bunları operatör altyapısı aracılığıyla SMS mesajları olarak teslim eder.

Sunucu Ağ Geçidi ile Nasıl İletişim Kurar

Uygulama sunucusu, SMS ağ geçidinin API'sine bir istek gönderir. Tipik bir API isteği şuna benzer:

POST /api/v1/messages
{
  "to": "+1234567890",
  "from": "VERIFY",
  "body": "Doğrulama kodunuz: 847293. 5 dakika geçerlidir.",
  "callback_url": "https://app.example.com/sms/status"
}

Ağ geçidi bir mesaj kimliği ve durum ile yanıt verir:

{
  "message_id": "msg_abc123",
  "status": "queued",
  "price": 0.0075
}

Başlıca SMS Ağ Geçidi Sağlayıcıları

Birçok şirket büyük ölçekte SMS ağ geçidi hizmetleri sunmaktadır:

• Twilio: Milyarlarca mesajı işleyen en popüler olanı
• Vonage (Nexmo): Güçlü uluslararası kapsama alanı
• Sinch: Mesajlaşma ve sese odaklanma
• MessageBird: Avrupa merkezli sağlayıcı
• AWS SNS: Amazon'un SMS hizmeti
• Plivo: Uygun maliyetli bir alternatif

Bu sağlayıcılar, dünya çapında yüzlerce mobil operatörle ilişki sürdürerek, gezegendeki neredeyse her telefon numarasına mesaj teslimatını sağlar.

Adım 4: Mesaj Yönlendirme

SMS ağ geçidi mesajı aldığında, bunu doğru operatör ağına yönlendirmesi gerekir. Bu, sürecin en karmaşık kısımlarından biridir.

SS7 Ağı

Sinyalizasyon Sistemi No. 7 (SS7), dünyadaki telefon ağlarının çoğunu kontrol eden protokol paketidir. Bir SMS gönderildiğinde, SS7 ağı üzerinden birkaç bileşenden geçer:

SMSC (Kısa Mesaj Servis Merkezi): SMS mesajlarını depolayan ve ileten merkezi merkez. Her operatör bir veya daha fazla SMSC işletir.

HLR (Ana Konum Kaydı): Bir telefon numarasının hangi ağa ait olduğunu ve abonenin o anda nerede bulunduğunu bilen bir veritabanı.

MSC (Mobil Anahtarlama Merkezi): Aramaları ve mesajları abonenin mevcut konumuna hizmet veren doğru baz istasyonuna yönlendirir.

Yönlendirme Süreci

1. SMS ağ geçidi, mesajı toplayıcısına veya doğrudan operatör bağlantısına gönderir
2. Toplayıcı, hedef operatörü belirlemek için HLR'yi sorgular
3. Mesaj, hedef operatörün SMSC'sine yönlendirilir
4. SMSC, abonenin mevcut konumunu bulmak için kendi HLR'sini sorgular
5. SMSC, mesajı uygun MSC'ye iletir
6. MSC, mesajı aboneye hizmet veren baz istasyonuna teslim eder
7. Baz istasyonu, mesajı radyo frekansı aracılığıyla telefona iletir

Uluslararası Yönlendirme

Uluslararası mesajlar için süreç daha karmaşıktır. Mesajlar, hedefe ulaşmadan önce birden fazla operatör, toplayıcı ve uluslararası ağ geçidinden geçebilir. Her atlama, potansiyel gecikme ve arıza noktaları ekler.

Bu yüzden SMS teslimat süreleri, hedef ülkeye ve operatöre bağlı olarak bir saniyenin altından birkaç dakikaya kadar değişebilir.

Sanal Numara Yönlendirme

VerifySMS.app gibi servisler tarafından sağlanan sanal bir telefon numarasına bir mesaj gönderildiğinde, yönlendirme biraz farklı bir yol izler:

1. Mesaj her zamanki gibi operatör ağına girer
2. Sanal numara sağlayıcısı, mesajı operatör veya toplayıcı seviyesinde yakalar
3. Fiziksel bir cihaza teslim etmek yerine, mesaj sağlayıcının sunucularına yönlendirilir
4. Sağlayıcı, mesajı web panosunda gösterir veya API aracılığıyla teslim eder

Bu yakalama, sanal telefon numaralarını mümkün kılan şeydir — mesajların asla fiziksel bir SIM karta ulaşması gerekmez.

Adım 5: Mesaj Teslimatı

Yönlendirildikten sonra, mesajın son cihaza (veya sanal numara platformuna) teslim edilmesi gerekir.

Fiziksel Telefona Teslimat

Fiziksel bir telefona geleneksel teslimat için:

1. Baz istasyonu telefonu çağırır ve gelen bir mesaj olduğu konusunda uyarır
2. Telefon çağrıyı onaylar
3. Mesaj, özel bir sinyalizasyon kanalı üzerinden iletilir
4. Telefon mesajı saklar ve kullanıcıyı bilgilendirir
5. Telefon, SMSC'ye bir teslimat bilgisi geri gönderir

Sanal Numaraya Teslimat

Sanal numaralar için:

1. Mesaj, sanal numara sağlayıcısının sunucularına ulaşır
2. Sağlayıcının sistemi mesajı işler (gönderen, içerik, zaman damgası çıkarılır)
3. Mesaj, sağlayıcının veritabanında saklanır
4. Kullanıcı, panosu, API webhook'u veya anlık bildirim yoluyla bilgilendirilir
5. Mesaj, kullanıcının okuması için görüntülenir

VerifySMS.app gibi hizmetler, bu süreci hız için optimize eder ve genellikle mesajları alındıktan sonra 1-5 saniye içinde kullanıcılara teslim eder.

Adım 6: Kullanıcı Kodu Girer

Kullanıcı, doğrulama kodunu telefonundan veya sanal numara panosundan okur ve uygulamaya girer. Bu adım basit görünse de, ilginç teknik hususlar vardır:

Otomatik Doldurma ve Otomatik Okuma

Modern mobil işletim sistemleri, gelen doğrulama kodlarını otomatik olarak algılayabilir:

• Android: SMS Retriever API, uygulamaların tam SMS izinleri istemeden doğrulama kodlarını otomatik olarak okumasını sağlar
• iOS: Doğrulama kodları için Otomatik Doldurma, mesajlardaki OTP'leri algılar ve klavyede önerir

Bu özellikler, belirli mesaj biçimlendirmesine dayanır. Mesaj, kodu tanınabilir bir desende içermeli ve bazı uygulamalar ek güvenlik için alana bağlı bir karma içerir.

Web OTP API

Web uygulamaları için Web OTP API, tarayıcıların (kullanıcı izniyle) gelen SMS mesajlarından doğrulama kodlarını otomatik olarak çıkarmasına olanak tanır. Bu, doğrulama sürecini daha da kolaylaştırır.

Adım 7: Sunucu Doğrulaması

Kullanıcı kodu gönderdiğinde, sunucu bunu doğrular:

Doğrulama Kontrolleri

1. Kod eşleşmesi: Gönderilen kod, oluşturulan OTP ile eşleşiyor mu?
2. Süre sonu: Kodun süresi doldu mu? (Genellikle 60-300 saniye)
3. Kullanım: Bu kod daha önce kullanıldı mı? (Tekrar saldırılarını önler)
4. Deneme limiti: Kullanıcı maksimum deneme sayısını aştı mı? (Kaba kuvvet saldırılarını önler)
5. Telefon numarası eşleşmesi: Kod doğru telefon numarasına mı karşılık geliyor?

Hız Sınırlama

Sunucular, kötüye kullanımı önlemek için hız sınırlaması uygular:

• Saat başına telefon numarası başına maksimum doğrulama isteği sayısı
• Oturum başına maksimum kod gönderme denemesi sayısı
• İstekler arasında bekleme süreleri
• Dağıtılmış saldırıları önlemek için IP tabanlı hız sınırlaması

Başarısızlık Durumunda Ne Olur

Doğrulama başarısız olursa:

• Kullanıcıdan tekrar denemesi istenir (kalan deneme sayısı gösterilir)
• Çok fazla başarısızlıktan sonra oturum geçici olarak kilitlenir
• Telefon numarası yeni kod almaktan geçici olarak engellenebilir
• Aşırı durumlarda, hesap inceleme için işaretlenebilir

Adım 8: Yetkilendirme

Başarılı doğrulama üzerine:

1. Sunucu, telefon numarasını doğrulanmış olarak işaretler
2. Kullanıcının oturumu doğrulanmış durumla güncellenir
3. Orijinal eylem (hesap oluşturma, giriş yapma, işlem) yetkilendirilir
4. Kullanıcıya bir onay gönderilir
5. Güvenlik izlemesi için denetim günlükleri güncellenir

SMS Doğrulamanın Güvenlik Güçlü ve Zayıf Yönleri

Güçlü Yönleri

Yaygınlık: SMS, temel özellikli telefonlardan en yeni akıllı telefonlara kadar her telefonda çalışır. Uygulama yüklemesi gerekmez.

Basitlik: Kullanıcılar SMS'i anlar. Süreç sezgiseldir ve minimum teknik bilgi gerektirir.

Sahiplik Faktörü: SMS doğrulaması, kullanıcının belirli bir telefon numarasına sahip olduğunu (veya erişimi olduğunu) onaylar ve şifrelerin ötesinde ikinci bir faktör ekler.

Küresel Erişim: SMS, dünyadaki neredeyse her telefon numarasına ulaşabilir.

Zayıf Yönleri

SS7 Güvenlik Açıkları: 1970'lerde tasarlanan SS7 protokolü, saldırganların SMS mesajlarını yakalamasına olanak tanıyan bilinen güvenlik açıklarına sahiptir. Sofistike saldırganlar, doğrulama kodlarını ele geçirmek için bunları istismar edebilir.

SIM Değiştirme (SIM Swapping): Saldırganlar, bir mobil operatörü bir kurbanın telefon numarasını yeni bir SIM karta aktarmaya ikna edebilir. Bu, doğrulama kodları da dahil olmak üzere kurbanın SMS mesajlarını almalarını sağlar.

Kötü Amaçlı Yazılım (Malware): Mobil kötü amaçlı yazılımlar, virüslü cihazlardaki SMS mesajlarını yakalayabilir ve kullanıcı görmeden önce doğrulama kodlarını ele geçirebilir.

Sosyal Mühendislik: Saldırganlar, kullanıcıları doğrulama kodlarını ifşa etmeleri için kandırmak amacıyla kimlik avı (phishing) veya sosyal mühendislik kullanabilir.

Teslimat Güvenilirliği: SMS teslimatı garanti edilmez. Mesajlar operatörler tarafından geciktirilebilir, kaybolabilir veya engellenebilir, bu da kötü bir kullanıcı deneyimine neden olur.

Şifreleme Yok: Standart SMS mesajları uçtan uca şifreli değildir. Teslimat zincirinin çeşitli noktalarında potansiyel olarak ele geçirilebilirler.

SMS Doğrulamasına Modern Alternatifler

SMS'in güvenlik zayıflıkları göz önüne alındığında, birkaç alternatif ortaya çıkmıştır:

TOTP Kimlik Doğrulayıcı Uygulamaları

Google Authenticator ve Authy gibi uygulamalar, cihazda yerel olarak zaman tabanlı kodlar üretir. Bu kodlar asla ağ üzerinden geçmez, bu da onları yakalanmaya karşı bağışık kılar.

Anlık Bildirimler

Hizmetler, doğrulanmış bir cihaza bir anlık bildirim gönderir ve kullanıcı isteği bir dokunuşla onaylar veya reddeder. Kod girmekten daha kullanıcı dostudur.

FIDO2/WebAuthn

Donanım güvenlik anahtarları ve biyometrik kimlik doğrulama, en güçlü doğrulamayı sağlar. Bunlar kimlik avına karşı dayanıklıdır ve telefon numaralarına hiç dayanmaz.

E-posta Tabanlı Doğrulama

Kusurlu olmasına rağmen, e-posta doğrulaması SMS'in belirli güvenlik açıklarından (SS7, SIM değiştirme) farklı ödünler vererek kaçınır.

SMS Doğrulama Neden Israrla Kullanılıyor

Zayıflıklarına rağmen, SMS doğrulaması evrensel erişimi nedeniyle baskın olmaya devam ediyor. Herkesin bir akıllı telefon uygulaması yok. Herkesin bir güvenlik anahtarı yok. Ama neredeyse herkesin SMS alabilen bir telefonu var. Bu nedenle, SMS doğrulaması gelecek yıllarda en yaygın olarak kullanılan ikinci faktör olmaya devam edecektir.

Sanal Numaralar Resmin Neresinde

VerifySMS.app gibi hizmetlerden alınan sanal telefon numaraları, SMS doğrulama sistemiyle operatör yönlendirme seviyesinde etkileşime girer. SMS mesajlarını alabilen meşru telefon numaraları olarak işlev görürler — fark, mesajların fiziksel bir cihaz yerine bir web panosuna teslim edilmesidir.

Gönderen uygulama ve SMS ağ geçidi açısından bakıldığında, bir sanal numara geleneksel bir operatör numarasından ayırt edilemez (sağlayıcının yüksek kaliteli, operatör sınıfı numaralar kullandığı varsayılarak). Doğrulama kodu, tam olarak aynı altyapı üzerinden oluşturulur, gönderilir, yönlendirilir ve teslim edilir.

Sanal numaraların SMS doğrulaması için çalışmasının nedeni budur — onlar aynı telekomünikasyon ekosistemine katılan gerçek telefon numaralarıdır. Tek fark uç noktadır: bir SIM kart yerine bir sunucu.

Sıkça Sorulan Sorular

SMS doğrulaması ne kadar sürer?

Tüm süreç genellikle kod talebinden teslimata kadar 5-30 saniye sürer. Ancak, operatör yoğunluğu, uluslararası yönlendirme veya ağ geçidi işlemleri nedeniyle gecikmeler olabilir.

Bazı SMS kodlarının gelmesi neden daha uzun sürer?

Gecikmeler genellikle operatör yoğunluğu, birden fazla operatör üzerinden uluslararası yönlendirme, gönderen hizmet tarafından hız sınırlaması veya geçici ağ sorunlarından kaynaklanır.

SMS doğrulama kodları ele geçirilebilir mi?

Evet, SS7 istismarları, SIM değiştirme veya cihazdaki kötü amaçlı yazılımlar aracılığıyla. Bu yüzden güvenlik uzmanları, hassas hesaplar için uygulama tabanlı 2FA önermektedir.

SMS kodları neden genellikle 6 hanelidir?

Altı hane, kodun kısa geçerlilik süresi içinde kaba kuvvet saldırılarını önlemek için yeterli olan 1.000.000 olası kombinasyon sağlar. Hız sınırlaması ile birleştiğinde, bu yeterli güvenlik sağlar.

Sanal numaralar SMS'i gerçek telefonlarla aynı şekilde mi alır?

Sanal numaralar SMS'i aynı operatör altyapısı üzerinden alır. Fark, mesajın fiziksel bir cihaz yerine bir sunucuya teslim edilmesidir. Gönderen açısından bir fark yoktur.

Sonuç

SMS doğrulaması, kriptografi, telekomünikasyon ve kullanıcı deneyimi tasarımının büyüleyici bir kesişimidir. Bilinen güvenlik sınırlamaları olsa da, en evrensel olarak erişilebilir iki faktörlü kimlik doğrulama biçimi olmaya devam etmektedir.

SMS doğrulamanın teknik olarak nasıl çalıştığını anlamak, kendi güvenliğiniz hakkında bilinçli kararlar vermenize yardımcı olur. Kişisel telefon numaranızı ifşa etmeden SMS doğrulamasına ihtiyaç duyduğunuz durumlar için, VerifySMS.app gibi sanal numara hizmetleri, aynı teknik çerçevede çalışan güvenilir, gizliliği koruyan bir alternatif sunar.

İster SMS doğrulaması uygulayan bir geliştirici, ister kimlik doğrulama seçeneklerini değerlendiren bir güvenlik uzmanı, ister sadece o altı haneli kodların arkasındaki teknolojiyi anlamak isteyen bir kullanıcı olun, bu bilgi dijital dünyada daha güvenli ve etkili bir şekilde gezinmenizi sağlar.

---

İlgili Makaleler

• En İyi 10 SMS Doğrulama Hizmetinin Karşılaştırması
• VerifySMS Nasıl Kullanılır — Adım Adım
• Online SMS Nasıl Alınır
• Ucuz Sanal Telefon Numaraları İçin En İyi Ülkeler
• 2026'da Geçici Telefon Numarası Nasıl Alınır

FAQ

Frequently Asked Questions