Güvenlik, hepimiz için dikkat edilmesi gereken bir konu. Her gün evden çıkarken kapınızı kilitliyorsunuz, değil mi? Konu şifre güvenliği olunca da aynı özeni göstermeniz gerekiyor. Bir yazar, pazarlamacı, muhasebeci, avukat veya bilgisayar programcısı olmanız fark etmez, mesleğiniz ne olursa olsun, sağlam bir şifre korumasına ihtiyacınız var.
Ancak özellikle bir web profesyoneli iseniz, korumanız gereken birçok önemli bilgiye sahip oluyorsunuz. Bu yüzden kırılması son derece zor bir parola kullanmak hem kendiniz için hem de müşterilerinize karşı sorumlu olduğunuz bir konu.
Bir blogun, web sitesinin, sosyal ağın, şirket sunucusunun ve hatta kendi kişisel bilgisayarınızın güvenliği ilk olarak koyduğunuz şifreyle başlar. Ve elinizde ne gibi bilgiler olduğunu görmek ve bunları ele geçirmek için her yöntemi deneyecek olan bilgisayar korsanları bulunur.
Bu yüzden, mesleğiniz ne olursa olsun temel şifre güvenliği ilkelerini uyguladığınızdan emin olmak için almanız gereken bazı önlemler var. İşte hatırlamanız gereken birkaç şey.
İlgili yazı: Güçlü şifre oluşturmak ve şifreleri güvence altına almak için 10 yöntem
Şifreler nasıl kırılıyor?
Şifre güvenliği sorununun ilk zamanlarını, bilgisayar korsanlığının Savaş Oyunları filmindeki karmaşıklık düzeyinde yapıldığı zamanları hatırlıyorum. Hollywood’un 1980’lerin başında bilgisayarlar hakkında ne bildiğini görmek istiyorsanız, o filmi izleyin. Filmde Matthew Broderick, bir şifrenin nereye not edildiğini bularak ya da bir programcının kişisel hayatını sosyal mühendislik yoluyla inceleyerek şifresini tahmin edip bilgisayar sistemlerini hack’leyebiliyor.
O zamanlar şifre seçenekleri “KALEM” gibi basit kelimeler ya da bilgisayar programcısının oğlunun adı gibi kişisel bilgilerden oluşuyordu. Doğru tahminde bulunabildiğiniz ya da okul sekreterinin okulun tek bilgisayarının şifresini nereye sakladığını bildiğiniz sürece işiniz kolaydı.
Bugünlerde böyle şifreler, bilgisayar korsanlarının kullandığı gelişmiş yazılımlar sayesinde saniyeler içinde kırılabilir.
Aslında, bilgisayar korsanlarının şifre güvenliği adımlarını geçmesini sağlayan birkaç şifre kırma yöntemi vardır:
Sözlük
Bu yöntem, temel olarak sözlükteki her kelimeyi dener; yani KALEM ya da KARBURATOR gibi bir şifre kullanırsanız, yazılım eninde sonunda şifrenizi kıracaktır. Ayrıca, harfleri özel karakterlerle değiştirmenin (K@RBUR@TOR yazmak gibi) sorunu çözdüğünü düşünmeyin, çünkü bilgisayar korsanları bunu çoktan düşünmüşlerdir.
Kaba kuvvet saldırısı
Kaba kuvvet saldırısı, bir hacker'ın aaaa0 ve zzz99 arası tüm kombinasyonları tek tek denemesi anlamına gelir. Sonuçta şifrenize ulaşırlar ama bu biraz zaman alabilir. (Nedenini birazdan açıklayacağım.)
Sosyal mühendislik
Bu, birinin şifrenizi tahmin etmek için hakkınızda sosyal bir araştırma yapmasına denir; bu yüzden asla evcil hayvanınızın ya da aile üyelerinizin adını şifre olarak kullanmayın. Bir Sözlük saldırısının şifrenize ulaşmak için yüzbinlerce kelimeyi denemesi gerekir, ama hacker’lar kişisel hayatınızı biliyorlarsa deneme yapacakları kelime havuzu çok daha küçük olur ve bir sözlük saldırısından çok daha kısa bir zamanda şifrenize ulaşabilirler.
Oltalama
Oltalama ya da phishing dolandırıcılığı, web sitenizde, sosyal ağınızda, banka hesabınızda ya da kullandığınız herhangi başka bir platformda bir sorun olduğu ve sorunu çözmek için “bu bağlantıya tıklamak” gibi bir aksiyon almanız gerektiğini söyleyen e-postalar almanıza denir. Bağlantıya tıkladığınızda, gerçek bir siteyle (örneğin bankanızın ara yüzüyle) neredeyse birebir olan bir web sitesine yönlendirilirsiniz, ilgili alanlara şifrenizi girersiniz ve hacker’lara tam da istedikleri şeyi vermiş olursunuz.
İlişkilendirme
İşletmeler çoğu zaman yaptıkları şeylerle ilgili şifreler kullanır. Örneğin bir lastik üreticisi otolastik, kislastiği gibi şifreler kullanabilir; bu da bilgisayar korsanlarının daha az kelime denemeleri ve şifrenizi daha kısa zamanda kırmaları anlamına gelir. Bu nedenle işiniz, sektörünüz ya da yazdığınız şeyler ile ilgili şifreler kullanmayın.
Bu şifre oluşturma formülünü uygulayın
İyi bir şifre güvenliği için, anlaşılması zor, çok fazla karakter içeren ancak hatırlaması kolay bir şifreye ihtiyacınız var.
Bu, *8)R83CRD[$3cuZGq gibi hatırlaması mümkün olmayan karmaşık şifreler oluşturmayı bırakabileceğiniz anlamına geliyor. Bu tarz şifreleri yaratan adam şimdi bunu yaparken büyük bir hata yaptığını ve çoğu IT profesyonelinin onlara ihtiyacı kalmadığını söylüyor.
Onun yerine, HeddyLamarFutboluSeviyor gibi ifadeler ya da daha iyisi insangucu-lite-isik-pasifik gibi birbirleriyle alakasız 3-4 kelimelik şifreler kullanabilirsiniz. Bunlar aslında çok daha iyi şifrelerdir çünkü kırılmaları daha uzun zaman alır ama hatırlanmaları daha kolaydır.
Şimdi, şifrenizin ne kadar güçlü olduğunu belirlemek için, bir bilgisayar korsanının saniyede 1000 tahminde bulunabilen bir yazılım kullandığını hayal edin. Bu orana dayanarak, kaba kuvvet saldırısı ile bilgisayar korsanının şifrenizi kırması ne kadar sürer?
GRC.com’un Haystack aracı “aa0” ile başlayan ve “zzzzzzzzzzzzzzzzzzzz99”a kadar giden kombinasyonlar arasında saniyede 1000 tahmin yürüten bir yazılımın şifrenizi kırmasının ne kadar süreceğini söyleyebiliyor. Buna göre, şimdi yukarıda bahsettiğim üç örneğe bir göz atalım.
HeddyLamarFutboluSeviyor’u tahmin etmek “2.65 milyon trilyon trilyon yüzyıl” alıyor. (Hayır, bu bir yazım hatası değil.)
insangucu-lite-isik-pasifik’i tahmin etmek “7.32 yüz trilyon trilyon yüzyıl” alıyor.
*8)R83CRD[$3cuZGq’u tahmin etmek 1.34 milyar trilyon yüzyıl alıyor.
Ve sonuna sadece 7 eklenen, HeddyLamarFutboluSeviyor7’yi tahmin etmek “45.54 milyar trilyon trilyon yüzyıl” alıyor.
3’üncü seçenek olan “karmaşık parola” 1.34 milyar trilyon yüzyıl ile en düşük performans gösteren seçenek. Yani tamam, bu iyi bir şifre ama diğer iki seçeneğin kırılması daha uzun sürdüğünden, bu kadar karmaşık şifreler kullanarak kendinizi zora sokmanıza gerek yok.
Ayrıca zaten işletim sisteminizi büyük olasılıkla bundan daha önce güncellemiş olursunuz.
Bir şifre güvenliği aracı kullanın
Şifrelerinizi gerçekten korumak istiyor ama hepsini hatırlamak zorunda kalmak istemiyorsanız, şifrelerinizi oluşturmak, saklamak ve senkronize etmek için kullanabileceğiniz, şifre kasaları olarak da bilinen şifre yöneticilerinden yararlanabilirsiniz.
Bunlar, şifrelerinizi, kredi kartı numaralarınızı, yazılımlarınızın seri numaralarını vb. saklayan yazılım uygulamalarıdır. Tek bir ana şifre ile açılırlar (bu şifreyi hatırlaması kolay ama kırılması zor yaptığınızdan emin olun), bu nedenle sadece tek bir şifre hatırlamanız yeterlidir.
Ayrıca, her işletim sisteminde, her cihazda – dizüstü bilgisayar, cep telefonu, tablet – ve her web tarayıcısında çalışıyorlar. Böylece, benden şifre isteyen bir web sitesine girdiğimde ana şifremi yazıyorum ve kasa gerisini benim için hallediyor. Asla tüm şifrelerimi hatırlamam gerekmiyor ve istediğim her türlü şifreyi kullanabiliyorum.
Her kasanın bir şifre üreticisi bulunuyor, ister rastgele karakterleri olan bir şifre, ister çoklu-kelimeli bir şifre seçebiliyorsunuz ve kasanız sizin için bunları saklıyor. Yani ne zaman yeni bir internet hizmetine üye olmam gerekse, tek yapmam gereken kasanın benim için bir şifre üretmesini sağlamak oluyor.
Ben 1Password’ü kullanıyorum ama LastPass ve KeePass gibi seçenekleriniz de var.
Aslında hangi kasayı kullandığınız o kadar önemli değil, yeter ki birini kullanın.
Bilgisayarınız, web siteniz ve içlerindeki veriler yalnızca onları korumak için seçtiğiniz şifre kadar güvenlidir.
Bu yüzden p@ssword1 ya da Kerem1986 gibi şifrelerin bilgisayar korsanlarını durdurmak için yeterli olduğunu düşünüyorsanız, tekrar düşünün.
Şifre güvenliği konusunu ciddiye alın, bir şifre kasası kullanın ve farklı web hizmetleriniz veya bilgisayarlarınızda hiçbir zaman aynı ya da benzer şifreleri kullanmayın.