Dijital cüzdanlar artık günlük hayatın sıradan bir parçası.
– telefonla ödeme, – QR ile transfer, – tek dokunuşla para gönderme.
Kullanıcıların büyük bölümü şu varsayımla hareket eder:
“Cüzdanım kilitliyse güvendeyim.”
İşte çoğu kişinin bilmediği kritik nokta tam olarak burasıdır.
Asıl Güvenlik Açığı Kilitte Değil, Bağlamdadır
Dijital cüzdanlarda güvenlik genellikle şu unsurlarla eşleştirilir:
– PIN, – biyometrik doğrulama, – uygulama kilidi.
Bu önlemler önemlidir.
Ama sınırlıdır.
Çünkü bu önlemler şunu doğrular:
“Cüzdanı açan kişi kim?”
Şunu doğrulamaz:
“Bu işlem neden yapılıyor?”
En Büyük Kör Nokta: Meşru Kullanıcı Varsayımı
Dijital cüzdan sistemleri temel olarak şu varsayımla çalışır:
“Doğru kişi giriş yaptıysa, yaptığı işlem de doğrudur.”
Bu varsayım teknik olarak pratiktir.
Ama güvenlik açısından risklidir.
Çünkü güncel dolandırıcılıkların büyük bölümü:
– cüzdanı ele geçirerek değil, – cüzdan sahibini işlemi kendisi yapmaya ikna ederek
gerçekleşir.
Bu noktada kilitler devre dışı kalır.
Biyometrik Doğrulama Güvenliği Değil, Erişimi Sağlar
Parmak izi ya da yüz tanıma, güçlü bir güvenlik önlemi gibi algılanır.
Oysa işlevi şudur:
– erişimi hızlandırmak, – şifre kullanımını azaltmak.
Biyometrik doğrulama:
– işlemin mantığını, – tutarlılığını, – olağanlığını
kontrol etmez.
Sadece “kim” sorusuna cevap verir.
“Neden” sorusu boşta kalır.
Tanıdık İşlem, En Riskli İşlemdir
Dijital cüzdanlarda en az kontrol edilen işlemler:
– daha önce yapılmış transferler, – kayıtlı alıcılar, – sık kullanılan tutarlar
olur.
Çünkü sistem şunu varsayar:
“Bu davranış normal.”
Dolandırıcılık ise tam burada çalışır.
– tanıdık senaryo, – tanıdık dil, – tanıdık tutar.
Kullanıcı durmaz.
Sistem de durdurmaz.
“Sorunsuz Geçmiş” Güvenlik Değil, Alışkanlıktır
Birçok kullanıcı şu cümleyi kurar:
“Yıllardır kullanıyorum, hiç sorun yaşamadım.”
Bu ifade güvenliği değil;
henüz test edilmemiş bir alışkanlığı anlatır.
Sorun çıkmaması, risk olmadığı anlamına gelmez.
Sadece riskin henüz görünür olmadığı anlamına gelir.
Asıl Güvenlik Detayı: İşlem Anında Durabilme
Dijital cüzdan güvenliğinde asıl kritik detay şudur:
Kullanıcının işlem anında durabilmesini sağlayan mekanizmalar.
Bu mekanizmalar teknikten çok davranışsaldır:
– alışılmadık bir anda yapılan işlem, – normalden farklı bir gerekçe, – “hemen yap” baskısı.
Sistem bunları her zaman ayırt edemez.
Bu yüzden son savunma hattı kullanıcıdır.
Neden Bu Detay Pek Konuşulmaz?
Çünkü dijital cüzdan güvenliği genellikle şu şekilde pazarlanır:
– güçlü teknoloji, – gelişmiş doğrulama, – askeri seviye şifreleme.
Davranışsal risklerden bahsetmek, bu algıyı zayıflatır.
Ama gerçeği değiştirmez.
Gerçek Güvenlik Nerede Başlar?
Dijital cüzdanlarda gerçek güvenlik;
– kilidin varlığında değil, – hızda değil, – kolaylıkta değil
başlar.
İşlemin nedenini sorgulayabildiğin o kısa durakta başlar.
En Büyük Yanılgı
“Cüzdanım kilitli, bana bir şey olmaz.”
Dijital cüzdanlarda en büyük risk;
yetkisiz erişim değil, yetkili ama yönlendirilmiş işlemdir.
Dijital cüzdan kullananların çoğunun bilmediği güvenlik detayı şudur:
Güvenlik, cüzdan açılırken değil; işlem yapılırken sınanır.
Gerçek finansal güvenlik;
uygulamanın ne kadar kilitli olduğunda değil, kullanıcının ne zaman duracağını bilmesinde yatar.
Sessiz güç, net etki tam da burada ortaya çıkar:
“güvendeyim” demekte değil, o güven hissinin nereden geldiğini sorgulayabilmekte.
