TAYGUN DELİOĞLU Herkes, her yerde, hep benzer ve kolay parolalar kullanıyor. Oysa kırılması zor, birkaç yöntemle birleştirildiğinde kullanımı kolay ve güvenli parola oluşturmak mümkün. Böylece örneğin bir parola yöneticisi kullanılırsa o parola yönetici uygulamasının hack'lenmesi durumunda dahi parolanın gitmemesi sağlanabiliyor.
Farkındaysanız dünya, yavaş yavaş parolasız bir oluşuma doğru gidiyor. Parola kullanmak yerine daha ziyadesiyle parmak izi okuyucu, yüz tanıma sistemi gibi bir takım ekstra metotlarla parolayı direkt kullanmak yerine birtakım eklentiler kullanma gibi durumlar içerisindeyiz. Önce birkaç konuya açıklık getirmek istiyorum, birkaç kavram anlatacağım.
Çoklu faktör doğrulama dediğimiz kavram yani cep telefonuna SMS gelmesi neden var? Neden ihtiyaç duyuluyor, hiç düşündünüz mü? Çoğu kişi ek güvenlik, diyor ancak bir şeyin ek güvenlik olduğunu nasıl anlayacağız?
Siber güvenlik temelleri dersleri içerisinde öğretilen, anlatılan birtakım temeller var. Sizin bir siteye, uygulamaya veya sisteme girmeniz kimlik doğrulama ile gerçekleşiyor. Yani kullanıcı adınız ve parolanız bir kimlik doğrulama sistemidir. Kimlik doğrulama sisteminin güvenli olabilmesi için üç bileşenden en az ikisine sahip olmanız gerekiyor. Nedir bu üç bileşen?
İlki; size ait fiziksel olan bir şey (göz, parmak izi, yüz).
İkincisi sadece sizin bildiğiniz bir şey (parola)
Üçüncüsü fiziksel olarak yanınızda bulundurabildiğiniz bir şey (telefon).
Bunlardan herhangi ikisine sahip olan sistem, güvenli kimlik doğrulama sistemi olarak geçiyor. Yani bu üç bileşenden ikisine sahip olmanız gerekiyor. Bu üç bileşen içerisinden parolayı çıkartırsanız eğer parolasızlaştırma olmuş oluyor. Şimdi gelelim bu parola oluşturma kısmına...
Öncelikle sizlere parolanızı oluşturma kısmını sonra saklama bölümünü sonrasında ise saklama kısmında bir önerim var, bir parola oluşturma metodu, onu anlatacağım. Bu metot ile oluşturduğunuz parolanın kırılması zor, birkaç yöntem ile birleştirdiğiniz zaman kullanımı ise çok kolay. Mesela bir parola yöneticisi kullanırsanız o parola yönetici uygulamasının hack'lenmesi durumunda dahi parolanızın gitmemesini sağlayabilecek birkaç tüyo vereceğim.
HEP AYNI PAROLALAR OLUŞTURUYORUZ
Herkesin yeni bir parola oluştururken düşüncesi aynı; ben bu parolayı hatırlayacağım, yok her siteye ayrı parola yapacağım vs, vs, kimse uğraşmak istemiyor, zaten günümüz tarayıcıları veya akıllı telefonlarımız bizim yerimize bu parolayı kaydettiğimiz sürece hatırlıyor. Yeni bir parola oluştururken hepimiz genellikle aynı/kolay hatırlanabilir parola oluşturuyoruz. Bir kelime öbeği mesela "qwerty" sonuna özel karakter, sonuna rakam. (qwerty@1234) Veya bir küçük bir büyük harf bir sürü sayı, onun sonuna özel karakter. (Qwerty12345.!) Çünkü herkes kolaya kaçıyor.
Öncelikle yapmamız gereken karmaşık bir parola oluşturmak, bunu güvenli bir şekilde saklamak ve kolay hatırlamak.
Parola yöneticisi olan yazılımlar var; Last Pass, One Password, Key Pass gibi. İnanın çok net konuşacağım, hangisini kullanmak istiyorsanız onu kullanın. Çoğu forumlarda siber güvenlikçiler bir gün birini diğer gün birini önerir, aslında hiçbirinin bir diğerinden farkı yok. Sadece bir parola yöneticisine sahip olun.
PAROLA YÖNETİCİSİ NE İŞE YARIYOR?
Bu uygulamalar sizin uzun ve karmaşık parolalarınızı bir kasa içerisinde encrypted (kriptolanmış) şekilde saklıyor ve bunlara herhangi bir şekilde parola yöneticisi yazılımın kendisi de erişemiyor. Yani parola yöneticisi uygulaması hack'lenirse, sizin master parolanız yani kasayı açan parolanız gitmediği sürece kolay kolay başınıza bir şey gelmiyor. Ama bunu da iki farktörlü kimlik doğrulamasıyla kilitleyebilirsiniz yine problem olmuyor. Bunu bir kenara kolayım. Diyelim ki bu parola yöneticisi hack'lendi sizin şifreniz de gitti, 'master parola' dahil açığa çıksa güvende olacaksınız.
Velev ki hack'lendi bu parola yöneticisi, velev ki bu veriler alındı, hani farzı misal dedim sizin şifre de gitti, sonrasında 'master password' de gitti, buna rağmen güvende olacaksınız.
Şimdi siz bir siteye gittiğinizde üyelik oluşturuyorsunuz, kullanıcı adınızı ve parolanızı yazıyorsunuz örnek olarak kullanıcı adımız 'ParaDergisi', parolamız da '1234'. Siz bu formu kullandığınız anda parola yöneticisi uygulaması size diyecek ki parola girdiniz ben bunu isterseniz hatırlarım diyor, tabii ki hatırla diyeceksiniz.
Normal şartlarda bu parola yöneticisi ve tarayıcı ayarlarınız ile oynamazsanız siz www.paradergi.com.tr adresine girdiğiniz anda otomatik olarak giriş formuna kullanıcı adı ParaDergisi, şifresine de '1234' olarak doldurur ve siz de 'enter'a basarak girersiniz.
YÖNTEM ÇOK BASİT
Şimdi ilk formu doldururken parola yöneticisi uygulamasına kullanıcı adımı ve şifremi hatırla demiştim, parola yöneticisi uygulamasındaki (mesela Last Pass) ayarlardan 'formları doldur ama giriş yapma' seçeneğini seçiyorum. Yani parola yöneticisi formu dolduracak, ancak siteye 'login' yapmayacak.
Şimdi siteye tekrar girip 'login' olacağız, profil ayarlarımızdan şifremizi güncelleyeceğiz. Şifremiz neydi '1234', bu '1234'ten sonra canınız ne istiyorsa ekleyin sonuna mesela 'abc*' yazıp güncelleyin.
Parola yöneticisi hemen sizi uyaracak parolanız değişti hatırlamamı ister misiniz? diyecek. Burada da 'hayır' veya 'güncelleme' seçeneğini işaretleyeceğiz.
Yani parola yöneticisi sitedeki şifreyi '1234' olarak hatırlayacak, ancak sizin şifreniz '1234abc*'.
Bu sayede parola yöneticisi hack'lense bile sizin şifreniz güvende olmuş olacak.
Parolalarınızın güvende olduğundan emin olmak için yapmanız gereken, sizin hali hazırda iki faktörlü kimlik veya üç faktörlü kimlik doğrulamasına sahip olmanızdır. Eğer ki şifrenizin kayıtlı olduğu web site hack'lenirse de iki faktörlü kimlik doğrulaması sayesinde yine güvende olacaksınız, çünkü yeni nesil veri tabanları sizin parolalarınızı genellikle "md5(md5())" veya "sha1(md5())" veya her iki şifreleme algoritması ile veri tabanında saklıyor ve bu sayede parolalarınız yine güvende oluyor.