güvenli parola etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
güvenli parola etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

28 Nisan 2020

Doğru Parola Oluşturma

Dijital dünyaya geçişimizle birlikte, gerçek yaşamda sahip olduğumuz birçok yapıyı, dijital ortama uyarladık, hayatımızın bir parçası olan bu unsurların giriş kapılarını parolalar ile koruyoruz. 


Doğru ve Güçlü Parola Oluşturma


Zaman ilerledikçe daha fazla hesabımız, daha fazla uygulamamız, daha fazla parola oluşturmamız gereken mecra doğuyor ve tüm bu alanları en iyi şekilde güvenilir halde tutmak ve korumak zorundayız.

Bunu başarabilmemizin altın yolu ise, güçlü bir parola oluşturmaktan geçiyor.


Parolam Nasıl Çalınır?

Güçlü bir parola nasıl oluşturulur buna geçmeden önce, parolalarınız nasıl çalınır, bir saldırgan parolanızı ele geçirmek için en çok hangi yolları dener bunları bilmemiz çok daha önemli.

Takip ettiğiniz siber güvenlik haberleri veya bloglar bulunuyorsa her ay kesinlikle binlerce milyonlarca kişiyi etkileyen veri ihlali haberleri ile karşılaşıyorsunuzdur. Saldırganlar ele geçirdikleri parola dosyalarını (hash'lerini) inceleyerek basit şekilde oluşturulmuş parolaları çözüyor (düz yazı (text) haline dönüştürüyor) ve aynı parolaları kullanıcıya ait çeşitli hesaplarda da deneyerek diğer hesaplarını da ele geçiriyor.

Brute Force Saldırısı 

Bu saldırı türünde, saldırgan taraf mümkün olduğunca kısa sürede en fazla ve en hızlı şekilde kombinasyonları denemek için otomatize araçlar kullanır. 2012 yılında 25 GPU’luk bir sistem ile, içinde büyük küçük harf, rakam ve özel sembol içeren 8 karakterli Windows parolalarını kırmaya çalışan bir hacker saniyede 350 milyar tahmin hızı elde etmişti. 


Sözlük Saldırısı

Sözlük saldırısı, sözlükte bulabileceğiniz kelimeleri parola alanlarında deneyerek parolanızı bulmaya ve ele geçirmeye çalışan bir saldırı türüdür. Eğer parolanız normal kelimelerden oluşuyorsa, bu tarzda oluşturulan bir saldırıda yara almadan kurtulmanız  bir mucize olacaktır. 
 

Oltamala Saldırısı

Siber saldırganların en yaygın olarak kullandığı bu yöntem, saldırganların agresif bir sosyal mühendislik yöntemi kullanarak sizinle iletişime geçtiği ve parolayı ele geçirdiği senaryolardan oluşuyor.

Mevcut Listelerden Saldırı

Saldırganların ellerinde hali hazırda bulunan e-posta listelerinin yanı sıra, yaşanan veri ihlalleri sonucunda çalınan parolalar da darkweb'de satışta bulunuyor. Saldırganların ellerine geçmiş olan bu parola kombinasyonlarına benzer parolalar oluşturduğunuzda, farklı parola kullanılan hesaplarınızın da çalınması çok mümkün hale geliyor.



GÜÇLÜ PAROLA NASIL OLMALI?

Güçlü Parola

YÜKSEK KARAKTER SAYISI

Parolanızın bir Brute Force atağına karşı dayanaklı olması için izleyeceğiniz en önemli adım uzun karakter sayısına sahip olmasıdır. Belirleyeceğiniz parola 15 karakterden az olmamalıdır

KARAKTER KOMBİNASYONU

Büyük ve küçük harf kombinasyonun yanında rakam ve simgeleri ne kadar çok kullanırsanız parolanızın kırılması o kadar zor olur.  Kısacası, oluşturduğunuz parolanız kişisel ve entropisi yüksek olacak yani anlam ahengi taşımayacak. ANAHTAR yerine 4N4H+4R yazsanız da saldırganlar bu tür parolaları otomatik olarak deneyecektir. 

KOLAY HATIRLAYABİLME

Parolanızı kolay hatırlayabileceğiniz sözlerin, şiirlerin, film repliklerinin baş harflerini kullanarak oluşturmanız en hatırlanabilecek yöntemdir. Rakam ve semboller ile karıştırdığınızda güçlü bir parolaya sahip olacaksınız.

ETKİLİ VE YÜKSEK STANDART ÖRNEĞİ

Askeri standartlara göre bir parolanın "güçlü" kabul edilebilmesi için aşağıdaki özelliklere sahip olmalıdır,
  • Yetki düzeyi fark etmeksizin tüm parolalar az 15 karakterden oluşmalıdır. 
  • En az iki büyük ve iki küçük harf ile birlikte, rakam da kullanılmalıdır.
  • Oluşturacağınız parola "?, @, !, #, %, +, -, *, %" gibi semboller içermelidir.
    • Girilen semboller parolanızın arasında ve en az iki adet olmalıdır.
  • Yanlış parola girişi maksimum 3 olmalıdır. Hesap kilidini açmak için sistem yöneticisi iznine ihtiyaç duyulmalıdır.
  • Başarılı ve başarısız oturum açma bildirimleri etkinleştirilerek tutarsızlıklar tespit edilmelidir.
  • Parolalar 60 günde bir değiştirilmelidir.


BU HATALARA DİKKAT:

Artan parola kullanım ihtiyacından dolayı parola güvenliğinde aşağıda listelendiği gibi başlıca hatalar yapılmaktadır;

Doğru Parola

  1. Hesap oluşturulan internet sayfalarında https bağlantısını kontrol etmemek
  2. Tüm hesapları ve parolaları, bir dosyada (.txt, Word, Excel) PC’de masaüstünde /defterde tutmak
  3. Parolaların çalışma ortamında herhangi bir yere etiketler ile yapıştırılması
  4. Aynı parolanın farklı yerlerde kullanılması
  5. Daha önce kullandığınız parolaları tekrar kullanılması
  6. Parola oluştururken hatırlaması kolay olduğundan, kişinin hayattaki önemli tarihleri kullanması, (Örnek: doğum tarihi, araç plakaları, vs.) 
  7. Tek bir “güçlü parola” oluşturup bu parolayı her hesapta kullanmak
  8. Web tarayıcılarınızın parolalarınızı saklamasına izin vermek
  9. Parolaların belirli aralıklarla (4-6 Ay) değiştirilmemesi
  10. İki adımlı doğrulamanın aktif edilmemesi
  11. Güvenlik soruları için seçilen soruların cevaplarının, küçük bir araştırma ile bulunabilecek kadar kolay seçilmesi (Annenizin kızlık soy ismi, doğduğunuz köy, vs.)
  12. Başkalarının bilgisayarında ve halka açık Wi-Fi noktalarına bağlı ile bu tür ortamların takip edilmeyeceği varsayılarak, oturum açılması
  13. Önemli web sitelerinin tarayıcı yer imlerine kaydedilmemesi ve sosyal mühendislik riski

22 Şubat 2017

Kobi'ler İçin Siber Güvenlik Önlemleri

Bilgisayarın ve internetin yaygınlaşması, küçük işletmelere de büyük kolaylıklar getirerek üretkenlik ve iletişim yeteneklerini arttırdı. Bilişim teknolojileri; sipariş verme, stok yapma, satıcı araştırma, teslimat gibi üretimden satışa kadar artık her aşamada kullanılmaya başlandı. 

Büyüyen ve kendini geliştiren işletmeler için bilgi saklama, veri aktarma, dosya paylaşımı gibi konular büyük önem arzetmektedir. İçinde bulundukları rekabet ortamına baktığımızda, bilgi sistemlerini ve teknolojilerini kullanmak zorunda olan fakat büyük işletmelere nazaran, daha kısıtlı finansal kaynağa ve uzmana sahip olan KOBİ’ler için ağ güvenliği neden önemlidir ve basitçe hangi önlemler alınabilir bunu anlatacağız.

Günümüzde, işletmelerin yaptığı en büyük hata, saldırganların dikkatini çekmeyecek kadar küçük ve hiç kimsenin ilgisini çekecek birşeyleri olmadığına inanmalarıdır. Oysa ki, kaybedilen her bilgi hem işiniz hem de prestijiniz açısından büyük önem arzetmektedir.





İşi bilen birilerinden yardım alın
Kobi’ler, internete bağlı oldukları her an risk ile karşı karşıyadır. IT için personel almak, finansal olarak çok mümkün olmayabilir. Bu yüzden alınabilecek en iyi önlem, özel bir firma ile anlaşarak dışardan destek almaktır.





Ağ güvenliği
Eğer bir yerde açık olan geniş bant bağlantısı varsa, orası saldırıya uğramak için açık bir hedeftir. Açık hedef olmamak ve saldırıları engellemek için güvenlik duvarları kullanılmaktadır. Ağ güvenliğini sağlamak için kullanılmayan ve gereksiz ağ bağlantı noktaları mutlaka kapatılmalıdır. Kablosuz ağlarda, güvenlik ve gizlilik seçenekleri mutlaka arttırılmalıdır. 



Zararlı yazılımlara karşı korunma
Kötü amaçlı yazılımlara karşı alınabilecek en kolay yöntem, bilgisayarlara antivirüs programları kurmaktır. Kötü amaçlı kişiler sürekli yeni zararlı yazılımlar üretir. Bu yüzden kullandığımız antivirüsleri hem yeni zararlı yazılımlara karşı hem de antivirüslerin kendilerinde çıkan bazı zafiyetlere karşı her zaman güncel tutmalıyız



Parola yönetimi
Hesaplarımızı ve verilerimizi korumak için alacağımız en büyük önlemlerden birisi de kuşkusuz belirleyeceğimiz parolalar olacaktır. Parolalarda mutlaka büyük-küçük harfler, özel karakterler ve rakamların hepsi bir arada bulunmalı, kişisel bilgileriniz (doğum tarihi, isim-soyisim, cep telefonu numarası vb.) ve sözlükte bulunabilen kelimeler kesinlikle kullanılmamalıdır. 


Ayrıca, aynı parolayı farklı hesaplar için kullanmak güvenlik zafiyetine sebep olabilir. Çalışanlara mutlaka güvenli parola oluşturma konusunda bilgi verilmelidir.





Çoklu adımlı doğrulama

Kurumsal yapılarda mutlaka alınması gereken bir diğer güvenlik önlemi ise iki adımlı doğrulama sistemidir. Son yıllardaki veri sızıntısı vakalarının çoğunda, ele geçirilen kullanıcı bilgileri büyük rol oynamıştır. Hesabınıza giriş yaparken şifrenizi girdikten sonra, telefonunuza gelecek olan ikinci bir şifreyi girerek hesabınıza erişim sağlayabilirsiniz. Bu yöntem ile hesabınız daha güvenli bir hal alacaktır.




Disk şifreleme
Windows işletim sistemlerinde veri güvenliği ve tüm dosyaların saklanması için sunulan Bitlocker veya benzeri tüm disk şifreleme ile güvenliğinizi bir seviye daha arttırabilirsiniz. Ayrı ayrı dosyalarınızı şifrelemenizi sağlayan sistemden farklı olarak sürücünün tamamını şifreler.

Tüm disk şifrelemenin en büyük özelliği, korsanlar parolanızı öğrenmek için sistem dosyalarına girdiğinde ya da sürücünüz bilgisayarınızdan çıkarılıp başka bir bilgisayara takıldığında sürücünüze erişim engellenmiş duruma gelir.  Ayrıca yeni dosyalar eklediğinizde, bu tür yazılımlar bu dosyaları da otomatik olarak şifreler ve saklar.



Parolasız cihazınız kalmasın
Şirket içindeki çalışanların, kullandığı bilgisayar, tablet, cep telefonu gibi cihazlara parola koyduğundan ve  tüm cihazların 5 dakika gibi kısa bir süre sonra hatta kullanıcılarınız cihazların başından kalkarken otomatik veya manuel olarak kilitlendiğinden emin olun. Başkaları, size ait olan cihazlardan istenilmeyen şeyler yapabilir. 



Periyodik olarak yedekleme yapın
Günümüzde bir şirket için dikkat etmesi ve mutlaka alması gereken en önemli önlemlerden birisi de kesinlikle yedekleme yapmaktır. Bilinçsiz şirket çalışanları, e-posta eklerinde gönderilen sahte faturalar ile kandırılıp Ransomware ismi verilen zararlı fidye yazılımları ile tüm dosyaların şifrelenmesine sebep oluyor. 

Eğer yedeğiniz yoksa, şifrelenen dosyalar için yapmanız gereken tek şey, dosyalarınızı şifreleyen kişiye istediği meblağı ödemek olacaktır, bu da her zaman sonuç vermemektedir.



Süreç yönetimi belirleyin
Ağınızda neler olduğunu, kimlerin nerelere erişim hakkı olduğunu bilmeniz ve kötü bir senaryo ile karşılaştığınızda neler yapmanız gerektiği hakkında acil durum planınız olması gerekmektedir. 

Fiziksel ortamların sıcaklıkları, temiz masa prosedürleri (masalarda parola kullanıcı adı bulunmaması), şirketinizden birisi ayrıldığında o kişiye ait kullanıcı hesaplarını kaldırma ve kurumunuz içindeki Wi-Fi parolalarını belli aralıklarla değiştirme gibi prosedürleri mutlak suretle uygulamalısınız.




Farkındalık kazandırın
Çalışanlarınıza mutlaka bilgi güvenliğinin önemini, hangi bilgilerin korunması gerektiğini, avlanmaktan nasıl kurtulacaklarını anlatmanız gerekmektedir. Sahiplik ve sorumluluk hissinin yanı sıra şirketin güvenliğinin onların omzunda olduğunu hissettirmeniz gerekmektedir.

Popüler Yayınlar