Başkaları tarafından kolay tahmin edilebilir internet şifreleri, yani şifre avı çağımızın en önemli sorunlarından birisi. Ancak bilmelisiniz ki, hatırlaması kolay olduğu kadar başkaları tarafından da kırılması oldukça zor şifreler üretmenin de yolları var.
Richard Salinas
Geçtiğimiz yıl yaşanmış olmasına rağmen Heartbleed yankısını sürdürüyor. Yaşanan siber güvenlik olayının yarattığı problemlerle ilgili aslında son kullanıcıların söyleyebileceği çok fazla şey yok. Ancak gelecekte yaşanabilecek bu tarz açıklarla ilgili kendimizi genel anlamda nasıl koruyabileceğimizle ilgili bir şeyler söyleyebiliriz. Şirketlerin sanal güvenliğinde de insanın ana unsur olduğunu göz önünde bulundurduğunuzda bu iyi bir başlangıç noktası.
IT uzmanlarının bir araya gelerek oluşturduğu ABD merkezli Sistem Denetim ve Kontrol Birliği, (Systems Audit and Control Association – ISACA) Heartbleed açığını gerçekten anlayabilmemiz için öncelikle güvenlik açığının ne olduğunu net bir şekilde ortaya koymamız gerektiğini söylüyor. ISACA güvenlik açığını “Tasarımda, uygulamada, işletmede ya da süreçlerin iç kontrolünde, sistemsel bir tehdit doğurabilecek zayıflık” olarak açıklıyor. Daha anlaşılabilecek bir ifadeyle güvenlik açığı, bazı süreçlerde olumsuzlukların yaşanmasına neden olan temelde yer alan bir zayıflığı anlamına geliyor.
Buraya kadarki tanımlar kafanızda netleştiyse Heartbleed’in ne olduğuyla devam edelim. Heartbleed, 7 Nisan’da, Güvenlik Anahtarları Katmanı (Secure Sockets Layer – SSL) protokolünün – buna OpenSSL de deniyor- bazı uygulamalarında belirlenen bir güvenlik açığı. SSL protokolü, web sunucusu ile sizin internet tarayıcınız arasında kriptolu bir link yaratır. Bu kripto sadece sizin kullanıcı adınızı ve buna kullanıcı adınıza bağlı olarak hesap şifresini korumakla kalmaz, aynı zamanda onaylı bir web sitesine bağlanıyor olduğunuzdan emin olmanıza yardımcı olur.
Bu durumda neden Heartbleed konusunda endişelenmeniz gerekiyor? Heartbleed (İngilizce kalpten kanama anlamına geliyor) adının bile öncelikle oldukça korkutucu olduğunu kabul etmek gerekiyor. Heartbleed güvenlik açığı nedeniyle bir hacker herhangi bir sitenin web sunucusuna bağlanıp siteyi kullanan kişilerin kullanıcı adları ve şifreleri gibi oldukça hassas bilgileri ele geçirebilir. Hackerlar aynı bilgileri kullanarak başka sitelerdeki hesaplara erişmeyi de deneyebilirler, ki daha kötü senaryo bunun üzerine kurulu zaten. Bu noktada da sorunun önemli bir kısmını son kullanıcılar olarak kendimizde aramamız gerekiyor. Çünkü ortalama bir internet kullanıcısı doğası gereği zayıf şifreler seçme eğiliminde. Çünkü kişilerin en önemli önceliği bu şifreleri hatırlayabilmek. Bunun için de en çok başvurdukları yöntem eşleri, çocukları, kardeşleri, ebeveynleri, doğum günleri, yıl dönümleri ya da kendileri için favori olan şeylerle bağlantılı kelimeleri veya simgeleri kendilerine şifre olarak seçmek oluyor. Bu durumda da Facebook gibi online profiller üzerinden şifrelerin tahmin edilmesi oldukça kolaylaşıyor.
Tabii genel kullanıcılar olarak sadece zayıf şifreler belirlemeye eğilimli değiliz. Aynı zamanda belirdiğimiz bir şifreyi, aynı kullanıcı adına sahip olduğumuz başka hesaplarımızda kullanmaya da oldukça eğilimliyiz. Böyle olunca da aslında Heartbleed gibi bir saldırı bizim için ana problem olmaktan çıkıyor. Biz kullanıcılar olarak zaten anahtarları kapıda bırakmış oluyoruz ve geriye kalan sadece içeri girmek isteyenlerin bu anahtarı çevirmesi oluyor.
2012’de Yahoo Voices ve SonyPictures.com sitelerinde yaşanan veri sızıntılarıyla ilgili yapılan incelemeler, kullanıcıların yüzde 59’unun her iki sitede de tam olarak aynı şifreleri kullandıklarını ortaya koyuyor.
Heartbleed son dönemde oldukça ses getirdi. Birçok kişi tarafından internette yaşanan en kötü şey olarak anılıyor. Ancak ondan önce de kötü saldırılar oldu ve belki daha kötü şeyler bizi bekliyor.
Siber suçlar zamanla değişim geçiriyor ve ne yazık ki online güvenlik önemleriyle uyumlu değil bu dönüşüm. Heartbleed’in yaşanmasında bir hayır varsa, o da her bir online platformu için farklı kullanıcı adları ve güçlü şifre kullanmanın ne kadar önemli olduğunu hatırlatmasında aranabilir.
Şifre yaratırken düşünmeniz gereken 4 şey
Heartbleed saldırısı mağduru olup olmadığınızı anlamak için öncelikle yapmanız gereken https://lastpass.com/heartbleed sitesini ziyaret etmek ve daha önce ziyaret ettiğiniz ve bir hesaba sahip olduğunuz web sitesinin Heartbleed’den etkilenip etkilenmediğini kontrol etmek. Böylece saldırıdan etkilenen sitelerin ne kadar yaygın olduğunu göreceksiniz. Etkilenmiş olabilecek siteler arasında Facebook ve Gmail’in de yer alıyor olması bu konuda size bir fikir verebilir.
Bir sonraki adımınız ise hesabınız bulunan web siteleri için yeni şifreler yaratmak olmalı. Web siteleri aslında sıklıkla özel karakterler içeren karmaşık şifreler yaratmanızı sizden ister. Aşağıda sunduğumuz dört adımı şifrelerinizi seçerken uygulamayı isteyebileceğinizi düşünüyoruz. Şifrenizi yaratırken amacınız güçlü olduğu kadar hatırlaması da kolay olanları belirleyebilmeniz olmalı. İşte bu dört adım:
