Open in app

Sign in

Write

Sign in

Mastodon

Parola Güvenliği Farkındalığı ve Güçlü Parola Oluşturma Rehberi

Safa PAKSU

--

Günümüzde siber uzayda “Parola Güvenliği” konusu kurum, kuruluşların ve bireysel kullanıcıların ciddiye alması gereken en önemli meseledir. Bu nedenle gerçek anlamda bu konudaki en temel tedbirleri almamız şarttır. Ama uygulamada maalesef kimse parola güvenliği konusunda uygulanabilirliği çok basit olan kurallara uymuyor ve her yerde sürekli olarak bahsedilen bu basit tedbirleri almıyorlar.

Başkasına ait bir parolayı çözmenin en basit yöntemi kaba kuvvet (brute force) yöntemiyle var olan parola listeleri sayesinde deneme yanılma yaparak çözmektir. Yeni yayımlanan bu habere göre şuanda var olan en büyük, kapsamlı parola listesinde yaklaşık 8,45 milyar adet kullanımda olan parolalar bulunuyor. Bu tip parola listeleri, sosyal ağların ve diğer büyük firmaların önceki veri sızıntıları ve ihlalleri nedeniyle ortaya çıkan parola bilgilerinin bileştirilmesi sonucunda oluşturuluyor ve korsanlar tarafından büyütülerek aktif olarak parola çözümlemelerinde kullanılıyor.

Sizin aktif olarak kullandığınız parolanızın bu listede olup olmadığını buradaki siteden kontrol edebilirsiniz.

Peki buradaki potansiyel etki nedir?

Bu 8,45 milyar benzersiz parola varyasyonu ile diğer kullanıcı adlarını ve e-posta adreslerini içeren ihlal derlemeleriyle birleştirilmesi ile tehdit aktörleri (hackerlar), sayısız çevrimiçi hesaba karşı bazı saldırılar yapıp hesaplara el koyulabilir.

Ve maalesef çoğu kişi parolalarını birden fazla uygulama ve web sitesinde tekrardan kullandıkları için, bu sızıntının ardından saldırılardan etkilenen hesap sayısı milyarlarca olmasa da potansiyel olarak milyonlara ulaşabilir.

Parolanız sızdırılırsa ne yapmalısınız?

Parolalarınızın bu ve bunun gibi listelere dahil edilmiş olabileceğinden şüpheleniyorsanız, bilgilerinizin güvenliğini sağlamak ve tehdit aktörlerinin olası size ve kurumunuza karşı zararlarını önlemek için aşağıdaki adımları vakit kaybetmeden atmanızı öneriyorum:

  • Bu veya diğer ihlallerde bilgilerinizin sızdırılıp sızdırılmadığını görmek için kişisel veri sızıntısı denetleyicisini ve sızdırılan parola denetleyicisini kullanın.
  • Bilgi güvenliğiniz ihlal edilmişse, çevrimiçi hesaplarınızda parolalarınızı daha güçlü parolalar ile değiştirdiğinizden emin olun.
  • Tüm çevrimiçi hesaplarınızda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin.
  • Gelen spam e-postalara, istenmeyen metinlere ve kimlik avı (phishing) mesajlarına dikkat edin. Tanımadığınız göndericilerden gelen e-postalar ve metinler de dahil olmak üzere şüpheli görünen hiçbir şeye tıklamayın.

Güçlü parola nedir?

Güçlü bir parola, kaba kuvvet (brute force) saldırısı kullanarak kırılması mümkün olmayan veya kolayca tahmin edilemeyen parolalardır. Bilgisayar korsanları, doğru parolayı bulmak adına çeşitli harf, sayı ve sembol kombinasyonlarını denemek için bilgisayarları kullanır. Modern bilgisayarlar sadece harflerden ve rakamlardan oluşan kısa parolaları çok kısa sürede çözebilir.

Bu nedenle güçlü parolalar, büyük ve küçük harfler, sayılar ve noktalama işaretleri gibi özel simgelerin birleşiminden oluşur. En az 12 karakter uzunluğunda olmalıdırlar, ancak daha uzun bir karakter sayısını da seçebilirsiniz sonuçta ne kadar çok karakter sayısına sahip olursa kırılması o kadar imkansız hale gelir.

Güçlü parolanın ana özellikleri nelerdir?

  • En az 12 karakter uzunluğundadır. Parolanız ne kadar uzunsa o kadar iyidir.
  • Büyük ve küçük harfler, sayılar ve özel simgeler kullanır. Karışık karakterlerden oluşan parolaların kırılması daha zordur.
  • Unutulmaz klavye yolları içermez. Parola içeriğinde yanyana gelen karakterler aynı ve sıralı olmamalıdır.
  • Kişisel bilgilerinize dayalı değildir. Herkesçe bilinen veya kısa bir sosyal araştırma sonucu bulunabilen kişisel bilgiler içermemelidir.
  • Parola sahip olduğunuz her hesap için benzersizdir. Her hesabınız için farklı parolalar kullanmalısınız.

Çevrimiçi bir hesap oluştururken, çoğu sistemlerde oluşturacağınız parolanızın genellikle sayıları veya belirli sayıda karakter barındırmasını hatırlatan yapılar olacaktır. Bu durumda, genellikle tahmin edilmesi kolay bir kelime veya sayı kombinasyonundan oluşan “zayıf bir parola” belirlemeniz sistem tarafından zaten engellenecektir.

Ancak, güçlü bir parola belirlemeniz size hatırlatılmasa bile, yeni bir çevrimiçi hesap oluştururken veya mevcut herhangi bir hesap için parola değiştirirken güçlü bir parola belirlemenizsizin güvenliğiniz açısından gerçekten önemlidir.

Uzun bir parola, iyi bir paroladır

Parola güvenliği söz konusu olduğunda, uzunluk gerçekten önemlidir. En az 12 karakter uzunluğunda, hatta mümkünse daha uzun bir parola seçmenizi öneriyorum.

Parolanıza ekleyeceğiniz her bir sembol, olası kombinasyonların sayısını katlanarak artırır. Tabi ki bu durum, genel ifadeler kullanmadığınızı varsayarsak, belirli bir uzunluktaki parolaları esasen kırılamaz hale getirmektedir.

Güçlü bir parola belli / bilinen değildir

İyi bir parola, bir başkasının tahmin etmesi veya kırması gerçekten zor olan bir parola olmalıdır, bu nedenle “parola” veya “12345” gibi gerçekten genel bir şey kesinlikle seçmemelisiniz. Fakat maalesef bu parolalar hala dünyadaki en popüler parolalar arasında ve aynı zamanda en az kullanışlı olanlar arasındadır.

İyi parolalar akılda kalıcı klavye yolları içermez

Bilgisayar korsanlarının bunları kırması muhtemel olduğundan, “qwerty” gibi sıralı klavye yolları kullanmayın. İyi bir parola düşünmek için hiç çaba harcamadıysanız, büyük olasılıkla bilgisayar korsanlarının parolayı kırmak için fazla çabaya ihtiyacı olmayacaktır. Aynı zamanda parola içeriğinde “123, abc” gibi sıralı olan karakterleri yan yana kullanmayınız.

Güçlü parola kişisel değildir

Takma ad, doğum tarihiniz veya evcil hayvanınızın adı gibi size özel hiçbir şeyi kullanmamanız gerçekten önemlidir. Bu, bir bilgisayar korsanının yalnızca sosyal ağlarınıza bakarak, çevrimiçi iş profilinizi bularak veya hatta başka biriyle yaptığınız bir konuşmayı dinleyerek öğrenmesi gerçekten kolay olan bilgilerdir.

İyi bir parola benzersiz olmalıdır

Güçlü bir parola oluşturduktan sonra, tüm çevrimiçi hesaplarınız için bu parolayı kullanmak isteyebilirsiniz. Ancak bunu yaparsanız, sizi birden fazla saldırıya karşı daha savunmasız bırakır.

Sonuçta, bir bilgisayar korsanı parolanızı keşfetmeyi başarırsa, e-postalarınız, sosyal medyanız ve iş hesaplarınız dahil olmak üzere bu parolayı kullandığınız her hesaba tek bir parola ile giriş yapabilir. Kurumsal çalışanlar özellikle bu konuya dikkat etmelidir. Kurumsal hesaplarınızda kişisel parolalarınızı kullanmamalısınız.

Birçok kişi, hatırlaması daha kolay olduğu için her hesabı için aynı parolayı kullanır. Ancak endişelenmeyin çünkü birden fazla parolayı yönetmenize yardımcı olacak bir sürü ipucu ve püf noktayı yazının devamında vereceğim.

Geçmiş parolalardan kaçının

Parolalarınızı, özellikle daha önce saldırıya uğramışsa, aynı parolayı tekrar kullanmadığınızdan emin olmak da gerçekten önemlidir. Bu bariz görünebilir ancak bir kez bir parolayı kullandıktan sonra onu tekrar kullanmamalısınız. Yıllardır kullanmamış olsanız bile, yeni bir tane bulmak en iyisidir. Özellikle geçmişte bir parolanın saldırıya uğramasıyla ilgili sorunlarınız varsa.

Parolalardaki özel karakterler

Parolalarınızda özel karakterler kullanmak, onları ekstra güvenli hale getirmenin gerçekten iyi bir yolu olsa da, tüm çevrimiçi hesaplar istediğiniz herhangi bir sembolü kullanmanıza izin vermeyebilir. Ancak çoğu, aşağıdaki özel karakterleri kullanmanıza izin verecektir:

Güçlü parola örnekleri

İşte güçlü parolaların bazı örnekleri:

  • X5j13$#eCM1cG@Kdc
  • %j8kr^Zfpr!Kf#ZjnGb$
  • PkxgbEM%@hdBnub4T
  • vUUN7E@!2v5TtJSyZ

Hepsi de, görünüşte rastgele, uzun (15 karakterden fazla) büyük ve küçük harfler, sayılar ve özel karakterlerden oluşmaktadır. Bu parolalar genel değildir ve bilgisayar korsanlarının kullanabileceği akılda kalıcı anahtar yolları veya kişisel bilgiler içermez.

Güçlü bir parola oluşturmak için fikirler

Neyse ki, çevrimiçi hesaplarınızın her biri için benzersiz ve güçlü parolalar oluşturmak için yapabileceğiniz birçok şey var. Benzersiz ve kırılması neredeyse imkansız parolalar üreten hazır bir parola üreticisi araçları var. Alternatif olarak, iyi bir parolanın nasıl oluşturulacağına ilişkin en iyi ipuçlarına ve aşağıdaki fikirlere göz atabilirsiniz:

Bir parola üreticisi kullanın

Kendi güçlü parolalarınızı bulmak için zamanınız yoksa, parola oluşturucu benzersiz ve güçlü bir parola elde etmenin gerçekten hızlı ve kolay bir yoludur. Kendi güvenli parola oluşturucumuz bir dizi rastgele karakter yaratacaktır. Cihazınız, e-postanız, sosyal medya hesabınız veya özel erişim gerektiren herhangi bir şey için parola olarak kopyalayın ve kullanın. Görselde Google Chrome kullanılarak üyelik formuna nasıl güçlü parola oluşturulduğunu görebilirsiniz.

Bazı güçlü parola üreticilerine örnekler;

Parola yerine parola cümleleri kullanın

Parola cümleleri (passphrase), parolalardan çok daha güvenlidir ve hatırlaması kolaydır, çünkü genellikle daha uzundurlar ve bu da onları tahmin etmeyi veya kaba kuvvet saldırıları ile çözülmelerini çok daha zorlaştırır. Bu nedenle, bir kelime seçmek yerine, bir kelime öbeği seçin ve görünüşte rastgele bir karakter kombinasyonu oluşturmak için bu ifadeden ilk harfleri, sayıları ve noktalama işaretlerini alın. Hatta daha güvenli hale getirmek için bir kelimenin ilk harfini bir sayı veya sembolle değiştirebilirsiniz.

Güçlü parolalar oluşturmak için bu parola cümlesi yöntemini nasıl kullanabileceğinize ilişkin bazı örnekler:

Not: Yaygın ifadeler kullanmayın, çünkü bunlar sözlük saldırılarına açıktır — istediğiniz şey rastgele kombinasyonlardır.

Sözlük yönteminin daha güvenli bir halini kullanalım

Parola seçmenin popüler diğer bir yöntemi, bir sözlük veya kitap açıp rastgele bir kelime seçmektir. Ancak, size ne kadar rastgele görünse de, bir bilgisayar korsanının tek bir kelimeyi tahmin etmesi oldukça kolaydır.

Bu nedenle, sözlükten sadece bir kelime seçmek yerine, birkaçını seçin ve birisinin anlamasını çok daha zor hale getirmek için onları sayılar ve sembollerle bir araya getirin.

İşte bu yöntemle oluşturulmuş bazı iyi parola örnekleri:

İfadeler ve alıntılarla oynayın

Başkalarının tahmin etmesi zor, ancak sizin için hatırlaması kolay bir parola istiyorsanız, anlamlı bir kelime öbeği veya alıntı üzerinde bir varyasyon kullanmak iyi bir fikir olabilir. Sadece hatırlayacağınız bir cümle bulun ve bazı harfleri sayılar ve sembollerle değiştirin.

Bu yöntemle oluşturulan güçlü parola fikirlerine ilişkin bazı örnekler:

İfadeleri kullanabilirsiniz

Parolalarınıza hatırlamayı zorlaştırmadan simgeler eklemek istiyorsanız her zaman bu tip ifadeleri kullanabilirsiniz. Emojilerin atası olan bu ifadeler, genellikle noktalama işaretleri, harfler ve/veya rakamlardan oluşan, kodlanmış versiyonları diyebiliriz.

Parolalarınızda kullanabileceğiniz bazı ifadeler şunlardır:

Belirli hesaplar için parolanızı özelleştirin

Hatırlayabileceğiniz güçlü bir parola bulduktan sonra, yine de çevrimiçi hesaplarınızın her biri için farklı parolalar oluşturmanız gerekecek. Ancak, tüm süreci yeniden başlatmak yerine, her çevrimiçi hesap için parolanıza farklı bir kod ekleyebilirsiniz.

Örneğin, parolanız cXb4%pSAuFp8 ise ve bunu eBay hesabınız için benzersiz kılmak istiyorsanız, orijinal parolanızdan farklı olduğunu ancak yine de akılda kalmasını sağlamak için sonuna £bay şeklinde bir ifade ekleyebilirsiniz.

Bunun nasıl işe yarayabileceği aşağıda görelim:

  • Eposta için: cXb4%pSAuFp8EMa1l
  • Amazon için: cXb4%pSAuFp8AmZn
  • eBay için: cXb4%pSAuFp8£Bay

Parolanızı kas hafızanıza girin

Parolanızı hatırlamak istiyorsanız, parolayı birkaç kez yazma alıştırması yapmak iyi bir fikir olabilir. Sonunda, yeterince doğru yazarsanız, hatırlamanız çok daha kolay olacak bir kas hafızası geliştireceksiniz.

Parolanızı nasıl güvende tutabilirsiniz?

Artık çevrimiçi hesaplarınızın her biri için güçlü bir parola belirlediğinize göre, bir sonraki adım onları bilgisayar korsanlarından korumak ve güvende tutmaktır.

İşte bunun nasıl yapılacağına dair en iyi ipuçlarından bazıları:

İyi bir parola yöneticisi seçin

İster kendi güçlü parolalarınızı oluşturmuş olun, ister bunu sizin için yapacak bir çevrimiçi hizmet kullanıyor olun, iyi bir parola yöneticisi kullanmanızı şiddetle tavsiye ederim. Güvenli bir parola yöneticisi, tüm parolalarınızı tek bir güvenli çevrimiçi hesapta oluşturur, depolar ve yönetir. Bu gerçekten kullanışlıdır çünkü ezberleme konusunda endişelenmenize gerek kalmadan istediğiniz kadar benzersiz parola kullanmanıza olanak tanır.

Tek yapmanız gereken, sahip olduğunuz her çevrimiçi hesap için tüm parolalarınızı parola yöneticinize kaydetmek ve ardından bunları tek bir “ana parola” ile korumaktır. Bu, her birinin yerine yalnızca bir güçlü parolayı hatırlamanız gerektiği anlamına gelir.

Parola yöneticinizi kurduktan sonra, çevrimiçi hesaplarınızdan birine her giriş yaptığınızda, parola yöneticinize ana parolanızı girmeniz yeterlidir; parola bu hesap için oturum açma ayrıntılarınızı otomatik olarak dolduracaktır. Hangi e-posta adresini veya kullanıcı adını kullandığınızı hatırlamanıza bile gerek yok. Güvenli bir parola yöneticisi tüm bunları sizin için dolduracaktır. İşte en iyi parola yöneticileri.

Bağlantıda verdiğim parola yöneticilerinin hepsi online olarak kullanılan ve görseldeki temel özelliklere sahip araçlardır. Fakat eğer bu araçların çevrimiçi olması sizi rahatsız ediyorsa size çevrimdışı ve tümüyle ücretsiz kullanabileceğiniz bir parola yöneticisi olan KeePass uygulamasını tavsiye ediyorum.

İki faktörlü kimlik doğrulamayı kullanın

Birisi parolanızı çalmayı başarsa bile, iki faktörlü kimlik doğrulama (2FA) ile ek bir güvenlik katmanı ekleyerek hesabınıza erişilmesini engelleyebilirsiniz. Bu, hesabınıza giriş yapmaya çalışan herkesin doğru paroladan sonra ikinci bir bilgi girmesi gerekeceği anlamına gelir. Bu, genellikle doğrudan size gönderilecek olan tek seferlik bir kod veya cep telefonunuza gelen bir onay olabilir.

Bazen bu size kısa mesaj yoluyla gönderilir, ancak bu, bu kodu almanın en güvenli yolu olmayabilir. Sonuçta, bir bilgisayar korsanı zor da olsa SIM takas dolandırıcılığı yoluyla cep telefonu numaranızı çalabilir ve doğrulama kodunuza erişebilir.

Engellenmesi çok daha zor olduğu için bunun yerine iki faktörlü bir kimlik doğrulama uygulaması kullanmanın çok daha güvenli olduğunu biliyoruz. İşte iki faktörlü doğrulama için favoriler:

Parolalarınızı telefonunuza, tabletinize veya bilgisayarınıza kaydetmeyin

Bu kulağa bariz gelebilir ancak parolalarınızı herhangi bir belgeye, e-postaya, çevrimiçi nota veya saldırıya uğrayabilecek başka herhangi bir şeye kaydetmekten kaçınmalısınız. Eğer bunu yapacak olursanız en azından kaydettiğiniz dosyanızı da güçlü bir parola ile şifrelemelisiniz.

E-postanızın sızdırılıp sızdırılmadığını kontrol edin

Tabii ki, özellikle e-posta hesabınızda meydana gelmiş olabilecek herhangi bir veri ihlalini takip etmek gerçekten önemlidir.

Ancak e-postanızın sızdırıldığını nasıl anlarsınız? E-posta hesabınıza böyle bir şey olursa size haber verecek çevrimiçi bir kişisel veri sızıntısı denetleyicimiz var. Tek yapmanız gereken e-posta adresinizi girmek ve ona bir şey olup olmadığını size söyleyebileceğiz.

Parolalarınızı kimseyle paylaşmayın

Son olarak, parolalarınızı gizli tutmanız gerçekten önemlidir. Parolanızı verdiğiniz kişiye tamamen güvenseniz bile, birinin eline geçmesi durumunda kısa mesaj veya e-posta yoluyla bir parola göndermek risklidir. Yaptığınız tek şey telefonda okumak veya yanınızda oturan kişiye hecelemek olsa bile, dinleyen ve not alan biri olabilir.

Bu makale Cybernews sitesinde yer alan bazı makalelerin Safa PAKSU tarafından Spaksu Blog için Türkçe’ye çevirisi yapılıp ve derlenerek hazırlanmıştır.

--

--

Safa PAKSU

Written by Safa PAKSU

409 Followers

Selam millet! İşte benim, buradayım, ben bir hikayeyim, ben bir hayatım ve ben bu dünyada bir oyuncuyum. Kısacası hayallerime hoş geldiniz.