Çağımızda hemen herkes internet kullanıyor ve sosyal medya, e-mail vb. kişisel kullanıma yönelik verilerini muhafaza etmek için şifre kullanıyor. Bu şifreler de bir şekilde kayıtlı olmak durumunda, ya bir yere yazıyoruz ya da bilgisayarımızın hafızasına ya da servis sağlayıcının veri tabanına kaydediyoruz. Kaydedilen bu dijital envanter ise güvenlik açıkları ve güçlü olmayan şifrelemeler ile her zaman tehdit altında. İstatistikler ve veri güvenliğine ilişkin gözlemlerde bunu doğruluyor, hemen her gün yaşanan hacklenme sorunları ise bize şifre güvenliğine yeterince dikkat etmediğimizi gösteriyor. Peki bu sorunu nasıl çözebiliriz ve web de şifre güvenliğimizi nasıl arttırabiliriz?
- Şifre Güvenliğini Artırmak İçin Bazı Tavsiyeler:
Şifre için sadece harf değil özel karakterler, sayılar kullanmak: Örneğin bir Wi-Fi şifresi kırmak için girdi olarak bazı karakterler yazılır ve bunlar şifre haline getirilip denenir. Mesela şifreniz “password” ise girdi olarak 29 harf yazıldığında ve bunun kombinasyonları (birleşimleri) denendiğinde şifre hızlı kırılabilir. Şifre “a-2/Q&1i” gibi karakter, sayı, küçük ve büyük harften oluşuyorsa girdi olarak sayıları, karakterleri de ayrıca yazmak gerekir. Böylece şifrenin kırılması bilgisayarın gücüne göre uzun saatler hatta günler sürebilir, ağınız daha güvenli olur.
Şifre Uzunluğunu Artırmak ve Her Yerde Aynı Şifreyi Kullanmamak: Birçok insan hesaplarında aynı şifreyi kullanıyor. Bir araştırmaya göre en çok kullanılan şifrelerden birisinin “password” olduğu söyleniyor. Ayrıca 12 haneli bir şifrenin 6 haneli bir şifreden tam 62 trilyon kat daha uzun sürede çözülebildiği biliniyor.
Tamamen anlamlı kelimeler, doğum tarihi gibi bilinen sayılar kullanmamak: Hackerlar bazı şifre kütüphanelerinden yararlanır. Bu şifreler arasında tahmin edebileceğiniz gibi 123456, admin, password gibi klasik şifreler en çok denenen şifreler arasında yer alıyor. İllaki İngilizce ya da sayısal şifreler kullanmanıza gerek yok. Bunlar mehmet123, mehmetali, ayse123 gibi Türkçe şifreler de olabilir.
Bunun dışında hackerlar yalnızca otomatik yollarla şifrelerinizi çalmaya çalışmaz. Gözüne kestirdiği birinin şifresini de çalabilir. Mesela ismi Mehmet olan birinin Instagram şifresi için Mehmet123, mhmt123 vs. ifadeleri deneyebilir. Bu tarz şifre çalmanın son zamanlardaki en bariz örneği eski Amerikan Başkanı Donald Trump’ın Twitter hesabının Hollandalı siber güvenlik araştırmacısı Victor Gevers tarafından ele geçirilmesiydi. Gevers şifreyi birkaç tahmin sonucunda ele geçirdiğini ve şifrenin “maga2020!” olduğunu söyledi.
“maga2020!”, Donald Trump’ın seçim kampanyasında kullandığı sloganın kısaltması olduğu biliniyor (Make America Great Again). Donald Trump’ın Twitter hesabı dâhil olmak üzere diğer hesaplarının da güvenliğinin güçlendiği söylense de bu olay güçlendirme çalışmalarının yeterli düzeyde olmadığını gösteriyor.
İki Adımlı / Faktörlü Doğrulama Sistemini (2FA) Etkinleştirmek: İki faktörlü doğrulama, bir sisteme şifre girdikten sonra siteden/uygulamadan siteye giriş için SMS, e-mail gibi yollarla ikinci bir şifre üretilmesidir. Bu yolla şifreniz başkaları tarafından ele geçirilse bile telefonunuza doğrulama kodu geleceğinden hesabınız daha güvende olacaktır. Nadiren bu yolun da pek güvenli olmadığı söylense de[3] siber güvenlik alanında çalışanların çoğunluğu iki adımlı doğrulama sisteminin güvenliği yüksek seviyeye çıkaracağını söylüyor.
Oltalama (Phishing) Saldırılarına Karşı Dikkatli Olmak: “Kimlik avı” olarak da bilinen bu yöntemde saldırganlar genelde kurumsal bir şirketten mail atıyormuş gibi görünerek kurbandan önemli bilgilerini yazmalarını, gönderdikleri bağlantıya tıklamalarını vb. isterler. Hedefteki kişi bunları yaparsa bilgisayarına sızan saldırganlar diğer şifrelere ve hesaplara erişim sağlayabilir. Burada iki adımlı doğrulama sistemi gibi önlemler bizi koruyabilir ayrıca şüpheli alan adı (ziraat.conn, garanti.org), toplu mail izlenimi veren maillerde gayriresmî dil kullanımı, daha önce istenmemiş kişisel bilgi talebi vs. dikkatimizi çekerse[5] oltalama saldırısına maruz kalmayız.
Microsoft’un 2019’da 13 milyar şüpheli e-maili engellemesinden ve bunların 1 milyardan fazlasında belirli amaçlar için konmuş linkler olduğunu açıklamasından sonra[6] phishing saldırılarının önemini bir kez daha gördük.
Kullanıcısı Olduğunuz Site Hakkında Veri İhlali Haberi Gördüğünüzde Oraya Ait Şifreyi Değiştirmek: Günümüzde birçok şirketin veri tabanına girilip şifreler, kişisel bilgiler çalınabiliyor. Bu tip veri ihlallerini gördüğümüzde o sitedeki şifreyi değiştirmenin yanı sıra aynı şifreyi başka yerlerde kullanıyorsak oralardaki giriş bilgilerini de değiştirmemiz gerekir.
Ortak Ağlara Bağlıyken İnternetteki Davranışlarınızın Kolaylıkla İzlenebildiğini Göz Önünde Bulundurmak: Kafe, belediye interneti, havaalanı interneti gibi halka açık ağlarda saldırganlar kolaylıkla diğer kullanıcıların hareketlerini görebilir ve şifre güvenliği tehlikeye girebilir. Bunun önüne geçmek için kaliteli VPN araçları kullanılabilir.
Rastgele Şifre Üreten Uygulamaları (Random Password Generator) Kullanmak: Rastgele şifre üretimi, otomatik olarak girdilerden rastgele şifreler üretme işlemine denir.[7] Bu yolla şifrelerin tahmin edilebilirliği azalır.
Ayrıca şifre yöneticisi (password manager) uygulamalarını kullanarak da kırılması zor şifreler elde edip şifrelerinizi farklı siteler ve cihazlara senkronize edebilirsiniz.
Üye Olduğumuz Sitelerin Şifre Koruma Yollarına Bakmak: Bazı siteler üyelerinin şifrelerini normal bir şekilde depolarken bazıları da şifre güvenliği için ayrı protokoller kullanıyor. Örneğin 2021 Mart ayındaki Yemek Sepeti veri ihlalinde kullanıcıların birçok bilgisinin ele geçmesine rağmen şifreler korunmuştu. Çünkü şirket SHA-256 algoritması kullanıyordu ve bu algoritmaya göre şifreler maskelendiği için güvenlik seviyes
i artmıştı[8].
SHA-256 ile kriptolanmış 123456 şifresinin görünümü ;
Şifrelerimizi Elektronik Ortamlara Kaydetmemek: Birçok insan şifresini ulaşması kolay olsun diye telefona ya da bilgisayara kaydediyor. Fakat şifrenizi elektronik ortamlara kaydederseniz bir güvenlik açığında saldırganlar diğer tüm hesaplarınıza şifre aracılığıyla erişebilir.
- Şifrenizin Ele Geçirilip Geçirilmediğini Anlamak:
Hesabınızda şüpheli değişiklikler oluyorsa (sosyal medya hesabında farklı beğeniler, bilgisayarınızın özelliklerinin değiştirilmesi vb.) oraya ait şifreniz büyük ihtimalle ele geçirilmiştir. Bunun dışında bazı uygulamalar şifrenizin güvende olup olmadığını size söyleyebilir.
Have I Been Pwned?
Data / password leak checker (Veri / şifre sızıntısı denetleyici) olarak da bilinen haveibeenpwned.com, cybernews.com/password-leak-check gibi sitelerden mail adresinizi ya da telefon numaranızı girerek hesabınızın güvende olup olmadığını test edebilirsiniz.[9] Burada dikkati çeken nokta sitenin size ele geçirilen hesap sayısının çok yüksek olduğunu söylemesidir, buraya bakarak veri ihlalinin küçümsenmeyecek seviyede olduğunu bir kez daha anlayabiliriz.
Sonuç Olarak
İçinde bulunduğumuz dijital çağda şifre güvenliğine gereken önemi her zaman vermeyebiliyoruz. “Benim şifremi kim ne yapsın?” gibi bakış açılarının doğru olmadığını, hackerların genelde büyük saldırılar yaparak geniş çaplı veri toplama amacında olduğunu gördükten sonra her birimizin potansiyel bir kurban olabileceğini fark ettik. Saldırılardan tamamen korunmak elbette mümkün değil fakat yazıda bahsedilen tedbirleri almak bizi güvenlik konusunda daha ileri seviyeye taşıyacak ve hesaplarımızı daha güvenli hale getirecektir.