TL;DR: OTP (One-Time Password / Tek Kullanımlık Şifre), yalnızca bir kez kullanılabilen ve kısa sürede geçerliliğini yitiren bir doğrulama kodudur. WhatsApp, bankalar ve platformlar bu kodu SMS ile gönderir. Sanal numara, bu kodları güvenli biçimde almanın gizlilik dostu yoludur. SMSCode ile 200+ ülkeden OTP alabilirsiniz.
Her gün onlarca kez kullandığınız ama tam olarak nasıl çalıştığını belki hiç sormadığınız bir kavram: OTP. Bankadan transfer yaparken, yeni platforma kayıt olurken veya şifrenizi sıfırlarken gelen o 4–8 haneli kod, aslında çok katmanlı bir güvenlik mekanizmasının parçasıdır.
Bu rehberde OTP’nin tam olarak ne olduğunu, teknik mekanizmasını, güvenlik risklerini ve sanal numara ile nasıl birleştiğini kapsamlı biçimde ele alıyoruz. Güvenli OTP kullanımı için pratik öneriler de dahil.
OTP Nedir?
OTP, “One-Time Password” ifadesinin kısaltmasıdır. Türkçe karşılığı “Tek Kullanımlık Şifre” veya daha yaygın kullanımıyla “Doğrulama Kodu”dur. Adından da anlaşılacağı üzere, yalnızca bir kez kullanılabilen ve genellikle birkaç dakika içinde geçerliliğini yitiren kısa bir koddur.
Normal şifrelerden farkı belirgindir: Normal şifreniz uzun vadeli, sabit ve siz değiştirene kadar geçerliliğini koruyan bir kimlik doğrulayıcıdır. OTP ise anlık, kısa ömürlü ve tek seferlik. Bu iki özelliğin birleşimi, OTP’yi birçok güvenlik senaryosunda vazgeçilmez kılar.
OTP’ler genellikle şu formatlarda gelir:
- 4 haneli kod: Eski banka sistemleri ve bazı yerel uygulamalar
- 6 haneli kod: En yaygın format — WhatsApp, Telegram, Google, Instagram
- 8 haneli kod: Yüksek güvenlikli fintech ve kripto platformlar
- Alfanumerik kod: Bazı özel sistemlerde harf+rakam kombinasyonu
OTP Neden Kullanılır?
İkinci Doğrulama Katmanı (2FA)
En yaygın kullanım senaryosu budur. Şifreniz doğruysa bile hesabınıza girmek için ek bir adım — OTP — gerekir. Bu iki faktörlü doğrulama (2FA), hesap güvenliğini dramatik biçimde artırır.
Gerçek bir senaryo: Şifreniz kimlik avı (phishing) ile çalındı. Saldırgan şifrenizi biliyor. Hesabınıza giriş deniyor. Ancak OTP için telefon numaranıza erişemiyor. Hesabınız güvende kalıyor.
Microsoft’un yayımladığı araştırmaya göre 2FA kullanan hesapların saldırıya uğrama oranı, 2FA kullanmayan hesaplara kıyasla %99,9 oranında daha düşük.
Kimlik Doğrulama
Yeni bir hesap açarken, şifrenizi sıfırlarken veya önemli bir değişiklik yaparken platform “Bu gerçekten sen misin?” diye sormak ister. OTP bunu doğrular. Özellikle hesaba yeni cihazdan giriş yapıldığında bu doğrulama katmanı kritik önem taşır.
İşlem Onayı
Bankalar, büyük miktarda para transferi veya yeni bir alıcı eklerken OTP ile onay ister. Bir saldırgan şifrenizi bilse bile OTP’ye erişemeden işlemi tamamlayamaz. Türk bankacılık sisteminde bu doğrulama katmanı zorunludur.
Şifresiz Giriş (Passwordless Authentication)
Bazı modern uygulamalar şifre kullanmak yerine her giriş için OTP gönderir. Bu “passwordless” yaklaşım, şifre yönetiminin getirdiği zayıflıkları — zayıf şifre, şifre tekrarı, kimlik avı — ortadan kaldırır. WhatsApp ve Telegram’ın bağlantı yöntemi bu yaklaşıma örnek gösterilebilir.
OTP Nasıl Çalışır? Teknik Mekanizma
OTP üretimi için iki temel algoritma kullanılır. Bu algoritmaları anlamak, neden bu kadar güvenli olduklarını kavramanızı sağlar.
HOTP (HMAC-based OTP)
RFC 4226 standardında tanımlanmıştır. Her OTP isteğinde bir sayaç artırılır. Sunucu ve istemci (telefon veya uygulama) aynı sayacı takip eder. HMAC-SHA1 algoritmasıyla gizli anahtar ve sayaçtan bir kod üretilir.
Avantaj: İnternet bağlantısı gerektirmez; sayaç artışı yerel olarak hesaplanır. Dezavantaj: Sunucu ve istemci sayacı senkronize kalmazsa kimlik doğrulama başarısız olur.
TOTP (Time-based OTP)
RFC 6238 standardında tanımlanmıştır. Zaman damgası temellidir. Her 30 veya 60 saniyede yeni bir kod üretilir. Sunucu ve istemci, aynı gizli anahtarı ve mevcut zaman dilimini kullanarak aynı kodu hesaplar — birbirlerini bilmeden, ağ üzerinden iletişim kurmadan.
Google Authenticator, Authy ve Microsoft Authenticator uygulamaları TOTP algoritmasi kullanır. Bu nedenle bu uygulamalar çevrimdışı modda bile çalışır.
Avantaj: Zaman tabanlı olduğundan kullanılmış kod birkaç saniye sonra geçersiz olur; yeniden kullanılamaz. Dezavantaj: Cihaz saatinin doğru olması gerekir; birkaç dakika kayma kimlik doğrulamayı bozabilir.
SMS OTP
Bankalar ve çoğu platformun kullandığı yöntemdir. Sunucu, rastgele bir kod üretir ve bu kodu kullanıcının kayıtlı telefon numarasına SMS ile gönderir. Kullanıcı kodu girer; sunucu doğrular ve kodu geçersiz hale getirir.
SMS OTP’nin teknik akışı şöyledir:
- Platform bir OTP oluşturur (genellikle 6 haneli rastgele sayı)
- OTP bir süre (30 saniye–10 dakika) için veritabanında saklanır
- SMS, telekom altyapısı (SS7 ağı) üzerinden alıcı telefona iletilir
- Kullanıcı kodu platforma girer
- Platform kodu veritabanındaki ile karşılaştırır
- Eşleşirse kimlik doğrulama başarılı; kod hemen geçersiz kılınır
Avantaj: Kullanıcı ek uygulama kurmaz; her telefon SMS alabilir. Dezavantaj: SS7 ağ açıkları ve SIM swap saldırılarına karşı savunmasız. Güvenliği telekomünikasyon altyapısına bağımlıdır.
SMS OTP vs Uygulama OTP: Hangisi Daha Güvenli?
Bu soru güvenlik uzmanları arasında tartışılmaya devam ediyor. Net bir yanıt vermek gerekirse: uygulama tabanlı OTP çok daha güvenlidir. İşte nedenleri:
SMS OTP Güvenlik Riskleri
SIM Swap: Saldırgan, operatöre başvurarak numaranızı kendi SIM’ine aktartır. Bundan sonra tüm SMS’ler saldırgana gider. FBI 2023 verilerine göre ABD’de SIM swap saldırıları 48 milyon dolar kayba yol açtı. Türkiye’de de bu saldırılar giderek yaygınlaşmaktadır.
SS7 Protokol Açıkları: Küresel telekomünikasyon altyapısı, 1970’lerde tasarlanan SS7 protokolünü kullanır. Bu protokolde tespit edilen açıklar sayesinde yetenekli bir saldırgan teorik olarak SMS’leri dinleyebilir. Pratik uygulaması karmaşık ve maliyetli olsa da devlet düzeyindeki aktörler için gerçek bir tehdittir.
Phishing ve Real-Time Relay: Sahte platform sitesi gerçek zamanlı olarak sizin girdiğiniz OTP’yi gerçek platforma iletir. Siz sahte siteye kodu girdiğinizde saldırgan milisaniyeler içinde gerçek sitede kullanır.
Kötü Amaçlı Uygulama: Telefonunuzdaki zararlı yazılım, gelen SMS’i okuyabilir ve saldırgana iletebilir. Android’de bu açık iOS’a kıyasla daha yaygındır.
Uygulama OTP (TOTP) Avantajları
- Ağ üzerinden iletilmez, dolayısıyla SS7 dinleme saldırılarına karşı bağışıktır
- SIM swap saldırısı bu korumayı aşamaz — kod telefonda üretilir
- Her 30 saniyede değişen kod, potansiyel saldırı penceresini minimize eder
- Phishing saldırısında bile saldırganın 30 saniye içinde kodu kullanması gerekir
- İnternet bağlantısı gerektirmez; çevrimdışı üretilir
Öneri: Banka hesabınız için SMS 2FA zorunluysa operatörünüzden SIM kilidi ve ek doğrulama PIN’i isteyin. Kripto borsa, e-posta ve sosyal medya için Google Authenticator veya Authy kullanın.
OTP Güvenliği İçin En İyi Pratikler
Kodu Asla Paylaşmayın
Gerçek bankalar, devlet kurumları ve meşru şirketler sizden telefon veya mesaj yoluyla OTP kodu istemez. OTP talep eden bir çağrı veya mesaj alırsanız bu kesinlikle dolandırıcılıktır. Türkiye’de “bankanızı arıyorum, şüpheli işlem var” ile başlayan dolandırıcılık aramaları OTP hırsızlığı için en yaygın yöntemdir.
Kodun Geçerlilik Süresine Dikkat Edin
OTP’lerin çoğu 1–10 dakika geçerlidir. Platform kayıt sayfasını hazır tutun; numarayı girdiğinizde hemen SMS panelini açın. Süre bitmeden kodu girin. Süresi geçmiş kod çalışmaz ve yeni kod talep etmeniz gerekir.
Phishing Sitelerine Dikkat Edin
URL’nin doğru olduğundan her zaman emin olun. Gerçek site ile aynı görünen sahte bankacılık sitesi OTP isteyebilir. Adres çubuğundaki kilidi ve domain adını kontrol edin. Şüpheliyseniz URL’yi elle yazın; bağlantıya tıklamayın.
Önemli Hesaplarda Uygulama 2FA Kullanın
Mümkün olan her yerde SMS 2FA yerine uygulama tabanlı 2FA tercih edin. Google Authenticator ücretsiz ve güvenilirdir. Authy ise cihaz yedekleme özelliğiyle telefon kaybında hesaplara erişimi kolaylaştırır.
Yedek Kodları Güvenli Saklayın
Authenticator uygulaması kurulurken pek çok platform tek kullanımlık yedek kodlar sunar. Bu kodları çevrimiçi olmayan bir yerde (kağıda yazılmış, güvenli bir kasada) saklayın. Telefonunuzu kaybederseniz bu kodlarla hesabınıza erişebilirsiniz.
OTP İçin Güçlü Altyapı Seçin
Platform kayıtlarında OTP almanız gerekiyorsa, kullandığınız telefon numarasının güvenliğine dikkat edin. Kişisel numaranız için SIM kilidi aktif edin. Platform kayıtlarında sanal numara kullanarak gerçek numaranızın riskini azaltın.
Sanal Numara ile OTP Alma
SMS OTP’nin sanal numara bağlamındaki kullanımı son derece pratiktir.
Neden sanal numara?
- Kişisel numaranızı platforma vermeden hesap açabilirsiniz
- Farklı ülke numaralarından OTP alabilirsiniz
- Birden fazla hesap için farklı numara kullanabilirsiniz
- Kara listede olmayan, temiz numara garantisi
SMSCode ile nasıl çalışır:
- SMSCode’dan ilgili platform için numara alın (20 dakika geçerli)
- Platform kayıt sayfasında o numarayı girin
- Platform, numaraya SMS ile OTP gönderir
- SMSCode bu SMS’i alır ve panelde birkaç saniye içinde gösterir
- Kodu platforma girin — doğrulama tamamlanır
Bu süreç, normal SMS OTP ile teknik olarak tamamen aynıdır. Tek fark, SMS’in gerçek SIM karttan SMSCode’un SIM tabanlı altyapısına, oradan internet üzerinden size iletilmesidir.
Başarı oranları: SMSCode, yalnızca SIM tabanlı numara kullandığından platformlar bu numaraları gerçek bir mobil cihaz numarasından ayırt edemez. WhatsApp için %94, Telegram için %96, Instagram için %89 başarı oranı sağlanmaktadır.
OTP Almak İçin Sanal Numara vs Gerçek Numara
| Özellik | Gerçek SIM | Sanal Numara (SMSCode) |
|---|---|---|
| OTP alma | Var | Var |
| Gizlilik | Düşük (numara platforma bağlı) | Yüksek (geçici, özel) |
| Platform uyumluluğu | Yüksek | Yüksek (SIM tabanlı) |
| Maliyet | SIM kart + aylık hat ücreti | 4,50₺‘den tek seferlik |
| Farklı ülke seçeneği | Yok (tek ülke) | 200+ ülke |
| Anonimlik | Yok | Var |
| SIM swap riski | Var | Yok (fiziksel SIM yok) |
| Çoklu platform | Sınırlı (bir numara, bir platform) | Her platform için ayrı numara |
Farklı Sektörlerde OTP Kullanımı
Bankacılık ve Finans: İşlem onayı, yeni cihazdan giriş doğrulaması, yeni alıcı ekleme, büyük para transferleri. Türk bankacılığında OTP zorunludur; BDDK bu gereksinimi yasal düzenlemeyle güvence altına almıştır.
E-ticaret: Hesap doğrulama, önemli sipariş onayları, iade işlemleri, adres değişikliği. Trendyol, Hepsiburada ve Amazon gibi platformlar OTP kullanır.
Sosyal Medya: Kayıt, yeni cihazdan giriş, şifre sıfırlama, hesap kurtarma. Instagram, Twitter, TikTok — hepsi OTP tabanlı doğrulama kullanır.
Kripto ve Web3: İşlem onayı, çekim doğrulaması, KYC süreçleri. Binance, Coinbase ve diğer borsalar hem e-posta hem SMS OTP kullanır.
Sağlık Hizmetleri: MHRS randevu sistemi, e-Devlet girişleri, hastane hasta portalları. Kamu hizmetlerinde OTP ile kimlik doğrulama yaygınlaşmaktadır.
Oyun ve Eğlence: Steam, Epic Games, PlayStation Network, Discord. Hesap güvenliği için OTP kullanımı artmaktadır.
Eğitim: Üniversite portal girişleri, öğrenci bilgi sistemleri, sınav platformları. Özellikle sınav güvenliği için OTP önem kazanmaktadır.
OTP Gelmiyor: Ne Yapmalı?
Bu durum sık yaşanır ve birkaç nedeni olabilir. Önce bekleyin, sonra adım adım sorun giderin:
60 saniye bekleyin: SMS ağı zaman zaman gecikmeli çalışır. Özellikle yoğun saatlerde 30–60 saniyelik gecikme normal karşılanabilir.
Spam klasörünü kontrol edin: Bazı telefonlar veya operatörler OTP içerikli SMS’leri spam olarak sınıflandırabilir. Mesajlar klasörünü ve operatör spam filtrelerini kontrol edin.
“Kodu Yeniden Gönder” seçeneğini kullanın: Çoğu platform 30–60 saniye bekledikten sonra bu seçeneği sunar. Tıklayıp yeni kodu bekleyin.
Sesli arama seçeneğini deneyin: WhatsApp ve bazı platformlar OTP’yi sesli arama yoluyla da iletebilir. Bu seçenek mevcutsa deneyin.
Farklı numara alın (SMSCode kullanıyorsanız): Mevcut numarayı iptal edin (otomatik iade yapılır) ve farklı numara alın. Türkiye numarası çalışmıyorsa Polonya veya Ukrayna deneyin.
Platforma 5 dakika bekleyin: Çok hızlı ardarda OTP istekleri platformun geçici engel koymasına neden olabilir. 5 dakika bekleyip yeniden deneyin.
OTP Güvenliğinin Geleceği
OTP teknolojisi gelişmeye devam etmektedir. Gelecekteki yönelimler şöyle öngörülmektedir:
Passkeys (FIDO2): Apple, Google ve Microsoft, şifre ve OTP gerektirmeyen biyometrik giriş sistemini hayata geçirmeye çalışmaktadır. Parmak izi veya yüz tanıma, telefonu doğrudan kimlik doğrulayıcıya dönüştürür.
Davranışsal Doğrulama: Kullanıcının yazma hızı, fare hareketi ve cihaz özelliklerine göre “bu gerçekten sen misin?” sorusu pasif olarak yanıtlanabilir.
E2E Şifreli OTP: Telekomünikasyon zafiyetlerini aşmak için uçtan uca şifrelenmiş OTP kanalları geliştirilmektedir.
Bununla birlikte SMS OTP, 2026 ve öngörülebilir gelecekte yaygın kullanımını koruyacaktır. Mevcut altyapının değiştirilmesi büyük ölçekli bir geçiş gerektirir ve bu geçiş yavaş ilerlemelidir.
FAQ
OTP kodu kaç dakika geçerlidir?
Platforma göre değişir. Bankalar genellikle 3–5 dakika, sosyal medya ve uygulama platformları 10 dakika, bazı kripto platformlar ise 2 dakika sınırı koyar. Güvenlik açısından kısa süreli OTP daha güvenlidir.
OTP’mi bilen biri hesabıma girebilir mi?
Yalnızca OTP ile giriş yapılamaz — şifre de gerekir (çoğu sistemde). Ancak phishing saldırılarında OTP gerçek zamanlı olarak saldırgana iletilebilir. Bu yüzden OTP’yi yalnızca gerçek platformda ve doğrulandığından emin olduğunuz bir URL’de kullanın.
Sanal numara ile banka OTP’si alınabilir mi?
Türk bankaları, yasal gereklilikler nedeniyle hesap açarken resmi kimlik doğrulama (e-Devlet, yüz yüze doğrulama) yapar. Banka 2FA için kişisel numaranızı kullanmaya devam edin. Sanal numara banka işlemleri için değil, sosyal medya ve platform kayıtları için uygundur.
Uygulama OTP SMS OTP’den neden daha güvenli?
SMS ağı (SS7) üzerinden iletilmediğinden dinleme saldırısına karşı korunaklıdır. SIM swap saldırısından etkilenmez çünkü kod telefonda lokal olarak üretilir. Her 30 saniyede değişen kod, saldırganın kullanabileceği zamanı minimize eder.
OTP kodu çalınırsa ne yapmalıyım?
Hemen o platforma başka bir cihaz veya ağdan giriş yapın ve şifreyi değiştirin. 2FA yöntemini güncelleyin — SMS yerine uygulama tabanlı 2FA kurun. Şüpheli aktivite varsa hesabı geçici olarak kilitleyin veya platform desteğiyle iletişime geçin. Banka hesabı etkilendiyse derhal bankanızı arayın.
6 haneli ve 4 haneli OTP arasındaki güvenlik farkı nedir?
6 haneli OTP, 4 haneli OTP’ye kıyasla 100 kat daha fazla olası kombinasyon sunar. 4 haneli OTP 10.000, 6 haneli OTP 1.000.000 kombinasyona sahiptir. Kısa geçerlilik süresiyle birleşince her ikisi de pratik olarak kırılması son derece zor olsa da 6 haneli format daha güvenlidir ve modern platformların standardı haline gelmiştir.