Bu yazı internette parola güvenliği ve pwned parola kullanımı hakkında. Hatta pwned parola kullanımının hayatımızda ne gibi sorunlar yaratabileceğine de yazımızda yer vereceğiz. Aynı zamanda internette parola güvenliği için alınabilecek önlemler ve pwned parola kontrolü yapabileceğimiz bir site hakkında da sizleri bilgilendirmeye çalışacağız.
İnternette Parola Güvenliği Nedir?
İnternette parola güvenliği aslında birçoğumuzun önemsemediği bir konu. 2018 Uluslararası Parola Güvenliği Raporu‘na göre insanların %50’si tüm iş ve kişisel hesapları için aynı parolayı kullanıyor. 2019 yılında ise Google’ın gerçekleştirdiği bir çevrimiçi anket ise, kullanıcıların %65’inin tüm veya birden fazla hesapları için aynı parolayı kullandıklarını gösteriyor.
İnternette parola güvenliği dediğimiz şey aslında roket bilimi değil. En basit anlamıyla “kolay tahmin edilemeyecek, tekrarlayan rakam ve harfler içermekten uzak, karmaşık ve yeterince uzun” olan parolalar kullanmak, parola güvenliği açısından yeterli. Bir çoğumuz kendimize bir parola belirliyoruz, yeterince karışık ve zorlu olduğuna inandığımız bu parolayı ise her yerde kullanıyoruz. E-devlet gibi bir sistemde pwned parola kullandığınızı düşünsenize? Peki bu bahsettiğimiz pwned parolanızın aynı zamanda hala e-posta parolanız olduğunu varsayalım ve siz işinizin için bu e-posta hesabını kullanıyorsunuz. Gerekli olduğu durumlarda kimlik numaranızı içeren belgeleri göndermek için de bu posta hesabından yararlanıyorsunuz.
Böyle bir durumda oldukça tehlikede olduğunuzu varsayabilirsiniz. Parolanız biri veya birileri tarafından biliniyor ve siz bundan habersizce her yerde aynı parolayı kullanmaya devam ediyorsunuz. Parolanızı bilen kişiler her türlü bilginize erişebilir, sizin adınıza işlemler yapabilir, ya da sizi bu tarz şeyler yapabileceklerini inandırıp şantaj yoluyla para isteyebilirler. Bu açıdan bakınca internette parola güvenliği ve pwned parola kullanımı oldukça önemli konular gibi gözükmeye başladılar değil mi?
İnternette Parola Güvenliği İçin Ne Yapabilirim?
Yukarıda anlatılan senaryo herkesin başına gelebilecek yüzlerce senaryoda sadece bir tanesi. Kişisel olarak benim başıma gelen şeylerden örnek verecek olursam kötü niyetli kişiler tarafından gönderilen ve onlara bitcoin ödemesi yapmamı isteyen şantaj içerikli e-postalar ve Facebook hesabım ve Facebook Pay uygulamasındaki ödeme yöntemim kullanılarak yapılan reklamlar. Şantaj postasının konu bölümünde geldiği e-posta hesabının eski bir şifresi vardı. Metin kısmında ise yetişkin içerikli site kullanım bilgilerime sahip oldukları ve onlara belirtildiği kadar bitcoin göndermediğim taktirde favori yetişkin içerikli sitelerimi yakınlarıma gönderecekleri yazıyordu.
Bu olay karşısında yaşadığım ilk şey şaşırmaktı. O kadar güvendiğim ve yıllarca kullandığım şifreye nasıl ulaşabilirlerdi ki? Bundan daha kötüsü ise neredeyse tüm hesaplarım için aynı şifreyi veya varyasyonlarını kullanıyor oluşumdu. Bunun ardından gelen şey ise gülmek oldu. 2020 yılında bile hala cinsellik üzerinden şantaj yapılmaya çalışıldığı gerçeği acınası derecede komikti. Bunun haricinde ele geçirdiklerini iddia ettikleri hesaba gönderilen e-posta başka bir hesaptan gönderilmişti. Bu tarz niyeti olan insanlar konu kısmına aynı zamanda sizin e-posta adresinizi yazar. Dikkatsiz bir anınıza denk gelirse e-posta size kendi hesabınızdan gönderilmiş gibi gözükebilir ve bu dolandırıcılığa inanabilirsiniz.
Benim durumumda şantajcılar gerçekten şanssızdı. Şifresini bildiklerini iddia ettikleri e-posta adresinin şifresini yakın zamanda değiştirmiştim ve bana gönderdikleri parola, kullanımda olan paroladan tamamen farklıydı. Aynı zamanda bahsettiğim posta adresi sadece haber almak istemediğim ve önemsiz gördüğüm sitelere kayıt olurken kullandığım bir adresti. İçinde hiçbir önemli bilgi yoktu, kişilerim bu hesapla hiç eşitlenmemişti, tabi internet geçmişim de. Birkaç dakika daha güldükten sonra gelen postayı sildim ve pwned parola kullandığım diğer hesaplarımın parolalarını değiştirdim.
Pwned Parola Nedir?
İnternette işler her zaman istediğimiz gibi gitmeyebilir. Güvenlik ihlalleri de bu hoşnutsuz durumlardan biri. Dünyada 4.54 milyar kişi internet kullanıcısı. Bu rakam neredeyse tüm popülasyonun %60’ı. Bu kadar çok insanın interneti sadece bilgi almak ve vermek, işleri kolaylaştırmak, hızlandırmak ve dünyayı daha güzel bir yer yapmak için kullandığını düşünmeyi ben de çok isterim. Lakin gerçek bundan oldukça farklı. CSO Online 2020 istatistiklerine göre “phishing” saldırıları her dakika $17,700 kayıba sebep oluyor. Phishing yeterince güvenli olmayan parolaların çalınması ve kullanılması sayesinde yapılan dolandırıcılıklara verilen genel bir isim. Bu saldırılar genel olarak e-posta yoluyla yapılıyor. Bu yüzden tanımadığınız şirket ve kişilerden gelen e-postalardaki hiçbir linke tıklamamak hayati önem taşıyor.
CSO’nun raporuna göre veri ihlalleri ise işletmeleri her sene $3.92 milyon zarara uğratıyor. Pwned parola konusu ise tam da burada devreye giriyor. Her yıl yüzlerce işletme ve şirket veri ihlallerine maruz kalıyor. Bu veri ihlalleri müşterilerin veya çalışanların kişisel bilgileriyle birlikte parolalarının da çalınması anlamına geliyor. Bu çalınan parolalara “pwned parola” deniyor.
Bu https://haveibeenpwned.com/Passwords adres üzerinden parolalarınızı Kontrol Edebilirsiniz. Adrese gittiğinizde “password” yazan kutucuğa kullanıyor olduğunuz her hangi bir parolanızı yazıp “pwned?” tuşuna basın. Parolanız pwned ise değiştirmenizde ve bu parolayı hiçbir yerde kullanmamanızda büyük fayda var.
İnternette Parola Güvenliği ve Pwned Parola Kullanımından Kaçınmak İçin Ne Yapabiliriz?
Tüm konsepti en basit şekliyle anlattıktan sonra şimdi kötü niyetli insanlardan korunmak için neler yapabileceğinizden bahsedelim. Öncelikle yapmanız gereken ilk şey parolalarınızın daha önce ifşa olup olmadığını kontrol etmek. Bunun için yukarıda verdiğimiz linke gidip kontrol edebilirsiniz. Herhangi bir siteye parolanızı girme konusunda çekimser iseniz, siteyi aşağı kayıdırp pwned parola listesini bilgisayarınıza indirip manuel olarak kontrol edebilirsiniz.
Bu adımı tamamladıktan ve tüm pwned şifrelerinizi değiştirdikten sonra yapmanız gereken bir diğer şey şifrelerinizi belli aralıklarla değiştirmek. İnternet “tamamen güvenli” bir platform değil ve en güvendiğimiz şirketler bile veri ihlalleri yaşayabiliyor. Hatta pwned şifrelerin çoğu yıllar önce Microsoft’un veritabanından çalınan şifreler. Bu yüzden hiçbir şirkete ve hiçbir teknolojiye sonsuza kadar güvenme gafletine düşmeyip şifrelerimizi belirli aralıklarla değiştirmeliyiz.
Güvenli şifreler oluşturmak için https://passwordsgenerator.net/ adresine gidebilirsiniz. “Yok, ben kendi şifremi kendim oluştururum.” diyenlerden iseniz buraya tıklayarak gideceğiniz sitede oluşturduğunuz şifrenin kırılmasının ne kadar süreceğini görebilirsiniz. Her sitede farklı parola kullanmanızı önermiştik. “Peki bu parolaları nasıl aklımızda tutacağız?” sorusu eminim aklınıza çoktan gelmiştir. Bunun için farklı farklı birçok parola yöneticisi bulunuyor. Google Chrome kendisine entegre bir parola yöneticisi de sunuyor. Bu parolalar oturum açmış olduğunuz Google hesabıyla da eşitleniyor, bu sayede mobil ya da masaüstü olsun, oturum açtığınız her cihazda parolalarınıza erişebiliyorsunuz. Google Parola Yöneticisi’ne buraya tıklayarak ulaşabilirsiniz. 1Password, Enpass ve LastPass gibi ücretli servisler de kullanabilirsiniz.
Facebook hesabıma erişen kişi de Facebook Pay’e eklediğim ödeme yöntemini kullanarak reklam kampanyaları başlatmış. Ekli olan ödeme yöntemim içerisinde bakiye tutmadığım bir sanal kart olduğu için param cebimde kaldı diyebiliriz. Böyle bir durumla karşılaşırsanız Facebook ile iletişime geçmeli ve durumu bildirmelisiniz. Benim durumumda başka birinin erişim sağladığı belirlendi ve reklam iptal edilip, borçlu gözüktüğüm ücret silindi.
