Günlükhayatımızın artık birer parçası olan parola veya şifreler, dijitalgüvenliğimizin birer anahtarı konumunda. Zayıf şifreler, gizliliğimizi ve sibergüvenliğimizi tehlikeye atıyor. Özellikle de aynı parolanın, birden çok hesapveya serviste kullanılması, siber suçluların işini hayli kolaylaştırıyor. Parola kullanımını mercek altına alan ESET Güvenlik Araştırmacısı Tomas Foltyn, “Her yerde aynı parolayı kullanmayın“ uyarısında bulundu.
Herhangi bir web sitesine veya mail hesabına, yalnızcasizin bildiğiniz kullanıcı adınız ve parolanızla kayıt oluyorsunuz ve artıkhazırsınız. Tekrar oturum açmak için yalnızca kullanıcı bilgilerinizihatırlayarak giriş yapmanız yeterli. Kendinizce bazı önlemler alarak,hesabınızı hatırlaması kolay bir şifreyle oluşturuyorsunuz. ESET Güvenlik Araştırmacısı Tomas Foltyn’egöre, sorun işte burada başlıyor.
“Hatırlaması kolay”, genelde kısa ve basit demek olduğugibi, aynı zamanda kolay tahmin edilebilir anlamına da geliyor. Bu, özelliklehesabınıza kaba kuvvet saldırısı (brute force attack) uygulayarak giriş yapmayaçalışan parola kırma yazılımları için doğru bir ifadedir. Bu tip yazılımlar,bazı hazinelerin kapağını açabilirler.
Zor parola,zor hatırlanıyor
Diğertaraftan; uzun, karışık ve rastgele bir parolanın kırılması zor olduğu gibi,hatırlanması da aynı zamanda zordur. Ve sorun burada devam ediyor. Tahminedilmesi neredeyse imkansız parolaları ve bunların her birinin hangi çevrimiçiservise ait olduğunu hatırlamak, eğer çok güçlü bir hafızaya sahip değilsenizepey uzun bir liste oluşturacaktır. Ayrıca tüm kullanıcılardan her onlinehesaba ait ayrı bir anahtar kelime veya parolayı hatırlamalarını beklemekmantıklı mı?
Kötü parolaylahuzurlu hayat olabilir mi?
Çoğu kişinin yaptığı şey, "123456" gibi kullanıphayatlarına mutlu mesut devam etmektir. Ta ki hesapları ele geçirilerekçevrimiçi kimlikleri ifşa edilinceye veya daha da kötüsü, kimlik bilgileri veparaları çalınıncaya kadar.
Aynı parolayıkullanma hatası
Sibersuç örgütlerinin dişlilerini yağlayan çok önemli bir başka hata ise; aynıparolanın tekrar tekrar kullanımı. Ne yazık ki bu, çok yaygın yapılıyor. Sıklıklatercih edilen bir diğer hata ise, her hesabın parolasının hafifçedeğiştirilerek kullanılması. Bu yaklaşım da, parolanın kolay kırılabilirliğiniengellemiyor.
Neden aynı parola kullanımı bukadar riskli?
“Her yerde aynı parolayı kullanmayın“ uyarısında bulunanESET Güvenlik Araştırmacısı TomasFoltyn, aynı parolayı kullanmanın riskleri hakkında şunları söylüyor: “Farklıhesaplarda aynı parola kullanımı, siber suçluların işini hayli kolaylaştırıyor.Kimlik bilgisi depolama/doldurma olarak bilinen saldırılarda, birden fazlahesapta kullanılan giriş detayları suistimal ediliyor. Siber saldırgan,çalınmış veya sızdırılmış ni kullanarak genelde daha değerli farklı bir hesabı elegeçirmeyi hedefliyor. Yani örneğin ele geçirdiği mail hesabı parolasını, bu kezbanka giriş hesaplarında deneyerek kazanç elde etmeyi amaçlıyor. Sık kullanılanparola yığınları sayesinde, kullanıcı/parola kombinasyonlarını elde etmek neyazık ki oldukça kolay. Parolanın birden fazla online servise erişim amacıylakullanılması durumunda, bir sızıntı meydana geldiğinde, güçlü bir parola, hattabir anahtar kelime dahi hesabın ele geçirilmesini önlemek için yeterliolmayacaktır.”
Ne yapılabilir?
ESET GüvenlikAraştırmacısı Tomas Foltyn’e göre birçok hesap elegeçirme girişimi, (2FA) ile engellenebilir. Eklenen doğrulama birimi, basitbir kod/parola/anahtar kelime dışında ekstra bir koruma katmanı oluşturarak,suistimale set çekebilir. Sorun şu ki, birçok çevrimiçi hizmet sağlayıcı,kimlik doğrulama planlarına henüz 2FA uygulamamıştır. Ek olarak, aktif Googlehesaplarında 2FA kullanımını benimsenme oranı son araştırmalara göre %10'un altında. Yıllardır böyle bir seçenek mevcut olsa bile, çoğu kullanıcıbundan habersiz ya da ilgili değil.
Elbette başka de bulunuyor. Parmak izi ya da retina algılama gibibiyometrik yöntemler veya yazı yazma ritmi gibi davranışsal tespitleri ölçenalgoritmalar da var. Bununla birlikte, bunların kullanılabilirliği ve bunabağlı olarak benimsenmeleri yaygınlaşmamıştır.
Peki başka bir yolu var mı?
Yapılması en kolay şeyin, tüm şifrelerinizi güçlü veeşsiz bir tür dijital kasaya koymak olduğu ortaya çıkıyor. Özel bir parolayönetim yazılımı (Password Manager) olan bu kasa, tüm parolalarınızı yerel veçevrimdışı olarak şifreler ve saklar. Gerçekten de parola yöneticileri, parolagüvenliğinin zirvesidir. Global antivirüs yazılım kuruluşu ESET’in üst seviyeürünü olan ESET Smart Security Premium’da böyle bir parola yönetimözelliği yer alıyor. ESET Parola Yöneticisi, dünyanın önde gelen ordu standardı olan AES‑256 ile çalışıyor. Sadecekullanıcı tarafından bilinen bir ana parola, diğer parolalara erişimiyönlendiriyor. Senkronize veri tabanı sayesinde parola talep eden web siteleriveya hesaplar otomatik olarak açılabiliyor.
