Dijital dünyaya geçişimizle birlikte, gerçek yaşamda sahip olduğumuz birçok yapıyı, dijital ortama uyarladık, hayatımızın bir parçası olan bu unsurların giriş kapılarını parolalar ile koruyoruz.
Zaman ilerledikçe daha fazla hesabımız, daha fazla uygulamamız, daha fazla parola oluşturmamız gereken mecra doğuyor ve tüm bu alanları en iyi şekilde güvenilir halde tutmak ve korumak zorundayız.
Bunu başarabilmemizin altın yolu ise, güçlü bir parola oluşturmaktan geçiyor.
Parolam Nasıl Çalınır?
Güçlü bir parola nasıl oluşturulur buna geçmeden önce, parolalarınız nasıl çalınır, bir saldırgan parolanızı ele geçirmek için en çok hangi yolları dener bunları bilmemiz çok daha önemli.
Takip ettiğiniz siber güvenlik haberleri veya bloglar bulunuyorsa her ay kesinlikle binlerce milyonlarca kişiyi etkileyen veri ihlali haberleri ile karşılaşıyorsunuzdur. Saldırganlar ele geçirdikleri parola dosyalarını (hash'lerini) inceleyerek basit şekilde oluşturulmuş parolaları çözüyor (düz yazı (text) haline dönüştürüyor) ve aynı parolaları kullanıcıya ait çeşitli hesaplarda da deneyerek diğer hesaplarını da ele geçiriyor.
Brute Force Saldırısı
Bu saldırı türünde, saldırgan taraf mümkün olduğunca kısa sürede en fazla ve en hızlı şekilde kombinasyonları denemek için otomatize araçlar kullanır. 2012 yılında 25 GPU’luk bir sistem ile, içinde büyük küçük harf, rakam ve özel sembol içeren 8 karakterli Windows parolalarını kırmaya çalışan bir hacker saniyede 350 milyar tahmin hızı elde etmişti.
Sözlük Saldırısı
Sözlük saldırısı, sözlükte bulabileceğiniz kelimeleri parola alanlarında deneyerek parolanızı bulmaya ve ele geçirmeye çalışan bir saldırı türüdür. Eğer parolanız normal kelimelerden oluşuyorsa, bu tarzda oluşturulan bir saldırıda yara almadan kurtulmanız bir mucize olacaktır.
Oltamala Saldırısı
Siber saldırganların en yaygın olarak kullandığı bu yöntem, saldırganların agresif bir sosyal mühendislik yöntemi kullanarak sizinle iletişime geçtiği ve parolayı ele geçirdiği senaryolardan oluşuyor.
Mevcut Listelerden Saldırı
Saldırganların ellerinde hali hazırda bulunan e-posta listelerinin yanı sıra, yaşanan veri ihlalleri sonucunda çalınan parolalar da darkweb'de satışta bulunuyor. Saldırganların ellerine geçmiş olan bu parola kombinasyonlarına benzer parolalar oluşturduğunuzda, farklı parola kullanılan hesaplarınızın da çalınması çok mümkün hale geliyor.
GÜÇLÜ PAROLA NASIL OLMALI?
YÜKSEK KARAKTER SAYISI
Parolanızın bir Brute Force atağına karşı dayanaklı olması için izleyeceğiniz en önemli adım uzun karakter sayısına sahip olmasıdır. Belirleyeceğiniz parola 15 karakterden az olmamalıdır.
KARAKTER KOMBİNASYONU
Büyük ve küçük harf kombinasyonun yanında rakam ve simgeleri ne kadar çok kullanırsanız parolanızın kırılması o kadar zor olur. Kısacası, oluşturduğunuz parolanız kişisel ve entropisi yüksek olacak yani anlam ahengi taşımayacak. ANAHTAR yerine 4N4H+4R yazsanız da saldırganlar bu tür parolaları otomatik olarak deneyecektir.
KOLAY HATIRLAYABİLME
Parolanızı kolay hatırlayabileceğiniz sözlerin, şiirlerin, film repliklerinin baş harflerini kullanarak oluşturmanız en hatırlanabilecek yöntemdir. Rakam ve semboller ile karıştırdığınızda güçlü bir parolaya sahip olacaksınız.
ETKİLİ VE YÜKSEK STANDART ÖRNEĞİ
Askeri standartlara göre bir parolanın "güçlü" kabul edilebilmesi için aşağıdaki özelliklere sahip olmalıdır,
- Yetki düzeyi fark etmeksizin tüm parolalar az 15 karakterden oluşmalıdır.
- En az iki büyük ve iki küçük harf ile birlikte, rakam da kullanılmalıdır.
- Oluşturacağınız parola "?, @, !, #, %, +, -, *, %" gibi semboller içermelidir.
- Girilen semboller parolanızın arasında ve en az iki adet olmalıdır.
- Yanlış parola girişi maksimum 3 olmalıdır. Hesap kilidini açmak için sistem yöneticisi iznine ihtiyaç duyulmalıdır.
- Başarılı ve başarısız oturum açma bildirimleri etkinleştirilerek tutarsızlıklar tespit edilmelidir.
- Parolalar 60 günde bir değiştirilmelidir.
BU HATALARA DİKKAT:
Artan parola kullanım ihtiyacından dolayı parola güvenliğinde aşağıda listelendiği gibi başlıca hatalar yapılmaktadır;
- Hesap oluşturulan internet sayfalarında https bağlantısını kontrol etmemek
- Tüm hesapları ve parolaları, bir dosyada (.txt, Word, Excel) PC’de masaüstünde /defterde tutmak
- Parolaların çalışma ortamında herhangi bir yere etiketler ile yapıştırılması
- Aynı parolanın farklı yerlerde kullanılması
- Daha önce kullandığınız parolaları tekrar kullanılması
- Parola oluştururken hatırlaması kolay olduğundan, kişinin hayattaki önemli tarihleri kullanması, (Örnek: doğum tarihi, araç plakaları, vs.)
- Tek bir “güçlü parola” oluşturup bu parolayı her hesapta kullanmak
- Web tarayıcılarınızın parolalarınızı saklamasına izin vermek
- Parolaların belirli aralıklarla (4-6 Ay) değiştirilmemesi
- İki adımlı doğrulamanın aktif edilmemesi
- Güvenlik soruları için seçilen soruların cevaplarının, küçük bir araştırma ile bulunabilecek kadar kolay seçilmesi (Annenizin kızlık soy ismi, doğduğunuz köy, vs.)
- Başkalarının bilgisayarında ve halka açık Wi-Fi noktalarına bağlı ile bu tür ortamların takip edilmeyeceği varsayılarak, oturum açılması
- Önemli web sitelerinin tarayıcı yer imlerine kaydedilmemesi ve sosyal mühendislik riski