Yeni Bir Teknoloji Çağı Hastalığı: Güvenlik Yorgunluğu!

Yeni Bir Teknoloji Çağı Hastalığı: Güvenlik Yorgunluğu!

10257
0
PAYLAŞ
Güvenlik Yorgunluğu

Çok sık “Şifre Değiştirme” Talepleri Güvenliğinize Zarar Verebilir!

ABD’de insan davranışı üzerine araştırmalar yapan bilim adamları ve bilgisayar güvenliği uzmanlarının birlikte üzerinde çalıştıkları bir araştırma; kullanıcıların birçoğunun “Güvenlik Yorgunluğu” yaşadığı gerçeğini ortaya koydu. Çalışmaya göre, kullanıcıların dörtte üçü nasıl güçlü şifreler üretebileceklerini biliyor olmalarına rağmen pratikte güçlü şifreler yerine yine de kolay şifreler kullanmayı tercih ediyorlar.

“Güvenlik Yorgunluğu” (Security Fatique) adlı bu araştırmada[1] kullanıcıların yeterli güvenlik şartlarını sağlamakta zorlandıkları görülmüştür. Tabi netice de ortaya bir takım güvenlik zafiyetleri çıkmaktadır.

Bir şifre güvenliği yönetimi firması olan LastPass tarafından yayınlanan başka bir rapora göre, 2016 yılına kadar dünya genelinde 500 milyon şifre kırılmış veya sistemlerden sızdırılmış. LastPass yönetcisi olan Joe Siegrist ise bunun “ABD’de her kullanıcının en az bir şifresinin kötü amaçlı kimseler tarafından bilindiği” anlamına geldiğini belirtiyor…

Asıl problem, kullanıcıların bilgisi dışında çalınan bu şifrelerin, kullanıcılar tarafından tekrar birçok yerde kullanıldığında ortaya çıkmaktadır. Bu nedenle aynı basit şifreleri sosyal medya hesaplarında veya online bankacılık işlemleri gibi önemli yerlerde kullanan kullanıcıların çok büyük bir risk altında olduğunu söylemek için kahin olmaya gerek yok.

Hackerlar tarafından sızdırılmış bu şifre havuzu listeleri (wordlist), “brute force” adı verilen yöntemle daha sonra hedefe koydukları diğer kişilerin hesaplarına ilişkin şifrelerin kırılmasında da kullanılmaktadır. Giderek zenginleşen bu şifre havuzu listelerinde, popüler olarak kullanılan ve insanların aklına en önce gelebilecek şifrelerin nerede ise tamamı yer almaktadır.

Diğer taraftan araştırma sonuçları, insanlar için sıklıkla kullandıkları şifrelerin uzun olmasının, oldukça sıkıcı hale gelmekte olduğu gerçeğini ortaya çıkarmıştır. Dahası bankalar gibi riskin sıfırlanmaya çalışıldığı yerlerde, insanların, 3 ay 6 ay gibi periyotlarla şifrelerin değiştirilmesi istendiğinde yeniden eski kullandıkları şifrelere döndükleri gözlenmiştir.

Güvenlik Uzmanlara göre her sitede farklı bir şifre kullanmak şart. Fakat bu sefer de yüzlerce şifre karıştırılarak işin içinden çıkılamaz bir hale gelmesi söz konusu olmaktadır. Uzmanlar bu duruma en iyi çözüm olarak, kişilerin sadece kendilerinin bildikleri ve her kullanım yerine göre değişen kişiye özel şifre algoritmaları kullanılmasını önermektedirler.

Bir örnekle açıklamak gerekirse;

Mesela; kişiye özel bir spot cümlenin baş harflerine, şifrenin kullanılacağı sitenin harflerinin eklenmesi gibi bir algoritmanın üretildiğini farz edelim (örnek olduğu için basit seçtim). Spot cümlemiz “Yokuş Yukarı Çıkarken Akmayan Ter Yokuş Aşağı Gözyaşına Dönüşür.” olsun. Burada elde ettiğimiz YYCATYAGD harflerinin aralarına şifrenin kullanılacağı sitenin adının harfleri serpiştirilebilir. Mesela “teknopusula” sitesi için şifremiz bu durumda YtYeCkAnToYpAuGsDula olmuş olur. İsteğe göre aralara noktalama işaretleri veya sayılar yerleştirilerek şifreler daha da güçlendirilebilir.

Burada ayrıca, artık birçok uygulama tarafından kullanılan iki aşamalı doğrulama özellikleri kullanımının da güvenliğimizi oldukça üst bir noktaya taşıyacağını hatırlatmakta fayda var. İki aşamalı doğrulamada, şifreler doğru yazılmış olsa bile belirlediğimiz bir cep telefonuna veya mail hesabımıza gelen kodu girmemiz istenecektir. Dolayısı ile kötü niyetli kişiler, şifremizi bir şekilde kırsa bile mailimizi veya cep telefonumuzu da ele geçirmeleri gerekecektir. Bu ise hiçte kolay bir iş değildir.

Sonuç olarak, her ne kadar üst seviyede güvenlik uygulasak da unutmamamız gereken temel bilgi %100 güvenliğin hiçbir zaman mümkün olmadığı ve her ne kadar tedbir alınsa da temkinli olmanın gerekliliğidir.

Şifre Değiştirme

[1] http://www.saukvalley.com/2016/10/17/asking-you-to-change-passwords-makes-it-easier-to-hack-the-system/aq7dtde/

BİR CEVAP BIRAK