Şifre Güvenliği 101

İnternette adımımızı attığımız neredeyse her site hesap oluşturmamızı isterken, dijital hesaplar içinde boğulmamız kaçınılmaz oldu. Çoğumuz açtığımız hesapların sayısını bilmiyor. Durum böyle olunca bir çok kişi işin kolayına kaçıp hatırlaması kolay bir şifreyi tüm hesapları için kullanıyor.

Fakat internet Vahşi Batı’dan farksız bir yer. Nasıl evlerimizin kapılarını sıkıca kilitliyor, yetmiyor çelik kapı, alarm, hatta kamera taktırıyorsak, aynı özeni dijital evlerimiz sayılabilecek hesaplarımıza da göstermeliyiz. Zira 2019'da yapılan bir araştırma veri ihlallerinin yaklaşık% 80'inin şifre zayıflığından kaynaklandığını ortaya koydu.

Güvenli bir şifrenin reçetesi şöyle:

• En az 12–16 karakter, ne kadar uzun o kadar iyi
• Rakamları, sembolleri, büyük ve küçük harfleri dahil edin
• Yaygın değişikliklere başvurmayın (O harfi yerine 0 rakamını kullanmak gibi)
• Kişisel bilgileri kullanmayın (Doğum tarihiniz, tuttuğunuz takım vb.)
• Eski bir şifreyi tekrar kullanmayın
• Şifrelerinizi sıklıkla değiştirin
• Farklı hesaplar için farklı şifreler kullanın
• Şifre ne kadar karmaşık ve rastgele, o kadar iyi ( ör: Tc!sio12BSa10gcAosf$20)
• Biraz daha okunabilir ve akılda kalması kolay birşeyin peşindeyseniz 6 ila 8 arası, yan yana geldiklerinde anlam ifade etmeyecek kelimeleri de seçebilirsiniz

Her bir hesabınız için böylesine karmaşık bir şifre yaratıp, aklınızda tutup bir de sıklıkla değiştirmek zorunda olma fikri siber saldırıya uğramaktan daha korkutucu gelmiş olabilir. Gelmesin. Çaresi var. Hem de bolca.

Çare 1: Şifre Yöneticileri

Şifre yöneticileri kişisel şifrelerin depolanmasına, oluşturulmasına ve saklanmasına olanak tanıyan bilgisayar programlarıdır. Sizler için oldukça komplike ve uzun şifreler oluşturup yine sizler için bu şifreleri hatırlarlar. Size sadece tek bir şifre hatırlamak düşer, o da şifre yöneticinizin şifresidir. Fakat dikkatli olun! O tek hatırlamanız gereken şifre yukarıdaki reçeteye uymalıdır. Yoksa tüm yumurtaları aynı sepete koyup siber saldırganların eline vermiş olursunuz. Çünkü şifre yöneticileri sıklıkla siber saldırganların hedefine girerler. Ve şifre yöneticinizin şifresini unutmamaya çalışın. Tek bir şifreyi unutmanız tüm şifrelere veda etmeniz anlamına gelir. Şifre yöneticilerinin iki çeşidi mevcuttur: internet üzerinden (bulut bazlı) kullanılan veya bilgisayarınıza kuracağınız bir program (lokal) şekilde kullanılan. İnternet üzerinden kullanılanlar internet bağlantısının olduğu her yerde herhangi bir cihazdan hesaplarınıza girmenizi sağlar. Program şeklinde bilgisayarınıza kurulanlar, kurulum yapılmış cihazın sizinle olması zorunluluğundan dolayı biraz daha limitleyicidirler.

Çare 2: Kağıda Yazmak

Evet! Şaka yapmıyorum! Tabiki kastım şifrelerinizi bir yapışkanlı kağıda yazıp bilgisayarınızın kenarına iliştirmeniz değil. Tam şifrenizi asla açık bir şekilde hiç bir yere yazmayın. Bunun yerine hatırlatıcı ipuçlarını kullanın ve bu ipuçlarını çok güvenli bir yerde saklayın. Oluşturduğunuz ipuçlarının kolayca çözülebilecek olmadığından emin olun. Mümkünse iki katmanlı bir ipucu oluşturun ve katmanları farklı lokasyonlarda saklayın. Teknoloji ile alakalı bir probleme böylesi ilkel bir çözümle yaklaşmak bazılarınıza şaşırtıcı gelmiş olabilir. Fakat unutmamak gerekir ki kağıt siber saldırıya uğrayamaz.

Çare 3: Hesapları En Aza İndirgemek

Kendinize sahip olduğunuz tüm hesapları aktif bir şekilde kullanıp kullanmadığınızı sorun. Kullanmadıklarınızı silin! Ne kadar az hesap, o kadar az şifre demek.

Çare 4: Çok Faktörlü Kimlik Doğrulama

Bu yöntemde hesabınınıza erişebilmeniz için sadece şifrenizi girmeniz yetmez. Kimliğinizi doğrulamanız için en az iki kanıt sunabilmeniz beklenir. Sunmanız beklenen bu kanıtlara faktörler denir. Dört farklı faktör çeşidi vardır:

• Sahip olduğunuz bir şey: banka kartı ve dijital anahtar gibi kullanıcının sahip olduğu bazı fiziksel nesneler.
• Bildiğiniz bir şey: şifre ve pin numarası gibi yalnızca kullanıcının bildiği bilgiler.
• Olduğunuz bir şey: parmak izi, göz irisi, ses, yazma hızı gibi kullanıcının bazı fiziksel özellikleri (biyometrik veri).
• Bulunduğunuz bir yer: Lokasyonunuzu belirlemek için GPS sinyali kullanılması gibi.

Aslında çok faktörlü kimlik doğrulama yöntemine aşikarsınız. ATM’ler bunun en iyi ve yaygın örneklerinden. ATM’den para çekerken hem kartınız gerekir (sahip olduğunuz bir şey) hem de şifre istenir (bildiğiniz bir şey).

Çok faktörlü kimlik doğrulama yöntemi ile siber saldırılara karşı duble korunmuş olursunuz. Fakat önemli bir detayın altını çizmek gerekir. Çok faktörlü kimlik doğrulamada faktör kombinasyonları aynı olmamalıdır. Mesela bir hesaba girmeniz için sizden iki farklı şifre isteniyorsa ( ikisi de bildiğiniz bir şey) veya hem parmak izinizi alıp, hem de göz irisi taraması yapılıyor ise (ikisi de olduğunuz bir şey) bu çok faktörlü kimlik doğrulama olmaz. Çünkü yumurtalar tekrar tek sepete girmiştir. Burada amaç farklı faktör kombinasyonları oluşturarak, faktörlerden biri çökse bile, diğerinin hesabınızı güvende tutacağı beklentisidir.

En İyisi & En Güvenlisi

Yukarıdaki çarelerden hangisinin en güvenli veya iyisi olduğunu söylemek zor. Bu biraz da kişisel bir durum. Kişi kendi tehdit modelini çıkarıp, uygun önlemleri almalıdır. Örneğin evinize veya iş yerinize girip çıkan ve size zarar verme ihtimali olan kişiler olduğunu düşünüyorsanız çare 2 pek de size göre değil demektir. Veya çok sık seyahat ediyor ve sıklıkla telefon numarası değiştiriyor iseniz çare 4 sizi zorlayabilir.

Farklı hesap türleri için farklı çareler kullanabilirsiniz. Öreğin sosyal hesaplarınız için şifre yöneticileri kullanırken, e-mail hesaplarınız için çok faktörlü kimlik doğrulamayı tercih edebilirsiniz.

Çareleri Uyguladım, Artık Güvendeyim!

Muhtemelen evet ama başka dikkat etmeniz gereken konular da var. Keylogger gibi. Keylogger yani anahtar-kaydediciler bir çeşit kötü amaçlı yazılımdır. Daha yaygın tabirle bir bilgisayar virüsüdür. Bu virüs sizin tuş basışlarınızı kaydeder ve siber saldırganlara yollar. Çok faktörlü kimlik doğrulama yöntemi keylogger lara karşı etkili bir yöntemdir. Saldırganlar şifrelerinizin ne olduğunu öğrense bile aşmaları gereken ikinci bir faktör ile yüz yüze gelirler. Yinede en güzeli bu virüs ile hiç karşılaşmamaktır.

Genel olarak virüslerden korunmak için:

• bilgisayar ve telefon yazılımlarınzı güncel tutun
• kırılmış yani resmi olmayan yazılımlar kullanmayın
• başkalarının cd/usb’lerini kendi bilgisayarınızda kullanmayın
• bilmediğiniz kişilerden gelen e-maillere tıklamayın
• şüpheli görünen, bilmediğiniz linklere/adreslere tıklamayın

Tüm İpler Bizim Elimizde Değil

Çok dikkatli bir kullanıcı olup, hesap güvenliğinize on numara beş yıldız özen gösteriyor olabilirsiniz. Fakat bazen bu da yetmez. Ne yazık ki en büyük firmalar bile saldırılara uğrayıp veri sızdırabiliyorlar. Sizin alabileceğiniz en güzen önlem aynı şifreyi sadece bir kere, tek bir hesap için kullanmaktır. Öyle ki bir hesabınızın şifresi elinizde olmayan nedenlerden dolayı sızmış olsa bile diğer hesaplarınız güvende olabilsin.

Şifre Kırmak İçin Kullanılan Saldırı Yöntemleri

• Sözlük Saldırısı (Dictionary Attack): Sıklıkla kullanılan sözcüklerin otomasyon sağlayan bir yazılım yardımı ile hesaba uygulanması.
• Kaba Kuvvet Saldırısı (Brute Foce): Bir yazılım yardımı ile rastgele üretilen şifrelerin hesaba uygulanması.
• Keylogger: Kullanıcının bastığı tuşları kaydeden zararlı yazılım.
• Ortadaki Adam Saldırısı (Man-in-the-Middle): Güvenilir bir internet sitesini veya uygulamayı taklit ederek kullanıcının bilgilerini çalmak
• Sosyal Mühendislik: psikolojik manipülasyon teknikleri ile kişiyi güvenlik açığı bıraktıracak bir takım eylemlere sevk etmek veya kişinin ağzından gizli bilgileri almak.

Son olarak bu güne kadar hesabınızın bulunduğu sitelerden herhangi birinin siber saldırı kurbanı olup olmadığını ve bunun sizi etkileyip etkilemediğini merak ediyorsanız haveibeenpwned adlı siteyi ziyaret etmenizi öneririm.