Geçtiğimiz sene çeşitli çevrimiçi hizmetlerden ve hatta popüler parola yöneticilerinden kişisel veri sızıntıları hakkında sürüyle haber okuduk. Bir dijital kasa kullanıyorsanız bu tür bir veri sızıntısı haberi okuduğunuzda muhtemelen bir kabus senaryosu düşünmeye başlarsınız: Saldırganlar parolalarını parola yöneticinizde sakladığınız tüm hesaplara erişmiştir.
Bu korkular ne kadar haklı? Kaspersky Password Manager örneğini kullanarak, parola yöneticilerinin çoklu savunma katmanlarının nasıl çalıştığını ve bunları daha güçlü hale getirmek için neler yapabileceğinizi anlatacağız.
Genel prensipler
İlk olarak, parola yöneticilerinin neden iyi bir fikir olduğunu inceleyelim. Kullandığımız internet hizmetlerinin sayısı giderek artıyor ve bu bir sürü kullanıcı adı ve parola girdiğimiz anlamına geliyor. Bunları hatırlamak zor ancak rastgele yerlere not almak da riskli. Bunun bariz çözümü, tüm giriş bilgilerinizi tek bir güvenli yerde saklayıp o kasayı tek bir anahtarla kilitlemek. Ardından, sadece bir ana parolayı hatırlamanız yeterli.
Kaspersky Password Manager ürününü ilk etkinleştirirken, sizden dijital kasanızı açmak için bir ana parola oluşturmanız istenir. Ardından, bu kasaya kullandığınız her internet hizmetinin verilerini girebilirsiniz: URL, kullanıcı adı ve parola. Bunu manuel olarak yapabilir ya da bir parola yöneticisi uzantısı kurup tarayıcıda kayıtlı tüm parolaları kasaya aktarmak için özel bir komut kullanabilirsiniz. Parolaların yanı sıra, kasaya kimlik tarama, sigorta verileri, banka kartı bilgileri ve önemli fotoğraflar gibi diğer kişisel dokümanları ekleyebilirsiniz.
Bir internet sitesini ziyaret etmeniz gerektiğinde ihtiyaç duyduğunuz verileri giriş formuna manuel olarak kopyalayabilir ya da parola yöneticisinin kayıtlı giriş bilgilerini internet sitesine otomatik olarak doldurmasına izin verebilirsiniz. Ardından, tek yapmanız gereken kasayı kilitlemektir.
Dijital kasa ve otomatik kilitleme
Şimdi koruma mekanizmalarına bir bakalım. Kasa dosyası dünya çapında gizli bilgileri korumak için yaygın olarak kullanılan Advanced Encryption Standard’a (AES-256) dayalı olarak bir simetrik anahtar algoritması kullanarak şifrelenir. Kasaya erişmek için ana parolanıza bağlı olarak bir anahtar kullanırsınız. Parola güçlüyse saldırganların anahtar olmaksızın şifreyi kırmak için çok vakit harcaması gerekir.
Ayrıca, parola yöneticimiz kullanıcı belli bir süre etkin olmadığında kasayı otomatik olarak kilitler. Bir saldırgan, cihazınıza ulaşır ve işletim sisteminin korumasını aşmayı başararak kasa dosyasına erişirse elinde ana parola olmadan dosyada yazılanları okuyamaz.
Öte yandan, otomatik kilitleyiciyi yapılandırmak size kalmıştır. Uygulamadaki varsayılan ayar, uzun süreli bir etkisizliğin ardından kasayı kilitleyecek şekilde olmayabilir. Ama siz tamamen güvenli olmayan bir konumda bir dizüstü bilgisayar ya da akıllı telefon kullanma alışkanlığı içindeyseniz bir dakikanın ardından otomatik kilitlemeyi devreye girecek şekilde yapılandırabilirsiniz.
Ancak potansiyel bir boşluk daha vardır: Bir saldırgan bilgisayarınıza bir uzaktan erişim protokolü yüklemek için bir Truva atı yerleştirmişse ya da başka bir yöntem kullanmışsa siz giriş yaparken kasadan parolaları çıkarmaya çalışabilir. 2015 senesinde bu tür bir korsanlık aracı KeePass Parola yöneticisi için yaratılmıştı. Bu araç, KeePass’in açık olduğu bir bilgisayarda çalışarak bütün bir parolalar arşivini ayrı bir dosya olarak çözüp saklıyordu.
Ancak, Kaspersky Password Manager tipik olarak Kaspersky antivirüs çözümleriyle birlikte çalışır ve bu sayede bir parola yöneticisinin virüs bulaşan bir bilgisayarda çalışmasını çok daha olanaksız hale getirir.
Sıfır bilgi
Parolaları içeren şifreli dosya sadece cihazınızda değil Kaspersky’nin bulut altyapısında da saklanabilir. Böylece, kasayı ev bilgisayarları ve cep telefonları gibi farklı cihazlardan da kullanabilirsiniz. Ayarlardaki özel bir seçenek sayesinde veriler, yüklü Kaspersky Password Manager ile tüm cihazlarınızda senkronize edilir. Ayrıca My Kaspersky web sitesi üzerinden istediğiniz cihazdan parola yöneticisinin web sürümünü kullanabilirsiniz.
Bulut depolama kullanırken veri sızıntısıyla karşılaşma ihtimali ne kadardır? Öncelikle, sıfır bilgi prensibiyle çalıştığımızı anlamanız önemlidir. Buna göre, parola kasanız herkes için olduğu kadar Kaspersky için de şifrelidir. Kaspersky geliştiricileri dosyayı okuyamazlar. Sadece ana parolayı bilenler kasayı açabilirler.
Bugünün pek çok -hepsi olmasa da- parola ve diğer gizli şeyleri saklama hizmeti benzer bir prensiple çalışır. Dolayısıyla, bir bulut depolama hizmetinde bir veri sızıntısı haberi görürseniz hemen paniklemeyin: Saldırganlar çalınmış verilerin şifresini kıramamış olabilir. Bu tür ihlaller, elde kilit kombinasyonu olmaksızın bir bankadan zırhlı bir kasa çalmaya benzer.
Bu örnekte, kombinasyon sizin ana parolanızdır. İşte size başka bir önemli güvenlik prensibi: Kaspersky Password Manager ana parolalarınızı cihazlarınıza ya da buluta kaydetmez. Bir korsan bilgisayarınıza ya da bulut depolama hizmetine erişirse ürünün kendisinden ana parolayı çalamaz. Bu parolayı yalnızca siz bilirsiniz.
Güçlü bir ana parola
Öte yandan, parolaları içeren şifreli bir dosyanın sızıntısı da problemler yaratabilir. Saldırganlar bir kasa çaldıktan sonra ona girmeye çalışırlar.
İki ana saldırı metodu vardır. Birincisi kaba güçtür. Genel olarak, bu aşırı zaman kaybettirir. Parolanız bir düzine rastgele karakterden oluşmuşsa ve hem küçük hem büyük harf, hem de rakam ve özel karakterler içeriyorsa tüm kombinasyonlara kaba güçle erişmek için sekstilyon, yani 21 haneli bir rakam kadar operasyon gerekir!
Ancak, siz hayatınızı kolaylaştırmaya ve tek bir kelimelik ya da “123456” benzeri basit bir rakam kombinasyonu gibi zayıf bir parola kullanmaya karar verdiyseniz otomatik tarayıcı bunu bir saniyeden kısa sürede bulacaktır zira bu durumda kaba güç bireysel sembollere değil, bir popüler kombinasyonlar sözlüğüne dayalıdır. Buna rağmen, hâlâ pek çok kullanıcı sözlük parolaları (uzun zamandır korsanların tarayıcı sözlüklerinde bulunan kombinasyonlar) seçiyor.
LastPass parola yöneticisi kullanıcıları Aralık 2022’de bu potansiyel problem hakkında uyarıldılar. Bir LastPass geliştiricisinin hesabı ele geçirildikten sonra saldırganlar şirketin kullandığı bulut sunucusuna ulaştı. Korsanlar, diğer verilerin yanı sıra kullanıcıların kasa parolalarının yedeklerini de ele geçirdiler. Şirket kullanıcılara güçlü ve benzersiz bir ana parola oluşturma tavsiyelerini izlemiş oldukları takdirde endişe edecekleri bir şey olmadığı söyledi zira bu tür parolaları kırmak için “milyonlarca yıl gerekecekti”. Daha zayıf parolalar kullanan kişilerden ise bunları derhal değiştirmeleri istendi.
Neyse ki, Kaspersky Password Manager dahil pek çok parola yöneticisi şu anda ana parolanızın gücünü otomatik olarak kontrol ediyor. Zayıfsa ya da orta seviyede güçlüyse parola yöneticisi size bir uyarı veriyor ve özen göstermeniz isteniyor.
Benzersiz ana parola
İkinci korsanlık metodu insanların genellikle farklı internet hizmetleri için aynı giriş bilgilerini kullanması üzerinde hareket ediyor. Bir hizmet ihlal edildiğinde, saldırganlar “giriş bilgisi doldurma” adı verilen bir saldırıyla diğer hizmetlerdeki kullanıcı adı ve parola kombinasyonları üzerinde otomatik olarak kaba güç kullanıyorlar. Bu saldırı türü genellikle başarılı oluyor.
Norton Password Manager kullanıcıları bu senenin ilk haftalarında bu saldırı türü konusunda uyarıldılar. NortonLifeLock (önceden Symantec adıyla bilinen) şirketi altyapısı üzerinde bir ihlal olmadığını duyurdu. Ancak, Aralık 2022 başlarında başka bir hizmetteki ihlal sayesinde korsanların çalmış olduğu parolaları kullanarak Norton Password Manager hesaplarına giriş için kitlesel girişimler olduğu biliniyor. NortonLifeLock soruşturmalar sonucunda korsanların bu saldırıyı bazı müşterilerinin hesaplarına erişmek için kullandığını tespit etti.
Bu hikayeden çıkarılacak bariz ders, farklı hesaplar için aynı parolayı kullanmamanız gerektiğidir. Kendinizi bu tür saldırılara karşı korumanın teknik yollarına gelince, Kaspersky Password Manager parola veri tabanınız üzerinde iki önemli kontrol gerçekleştirebilir…
İlk olarak, benzersizliğini kontrol eder: Kayıtlı parolalarınızdan biri farklı hesaplarda kullanılıyorsa uygulama sizi uyarır.
İkincisi, parola yöneticimiz parolalarınızın bir ihlal veri tabanında olup olmadığını kontrol eder. Bu parola kontrolünü güvenle gerçekleştirmek için SHA-256 kriptografik hash algoritmasını kullanır. Buna göre, uygulama kontrol için bizzat parolaları göndermez, aksine her parola için sağlama toplamı hesaplar ve bu hash’ları ihlal edilmiş parolalar veri tabanındaki sağlama toplamlarıyla karşılaştırır. Sağlama toplamları eşleşirse uygulama parolanın ihlal edildiği ve değiştirmeniz gerektiği konusunda sizi uyarır.
Ancak, bu kontrollerin sadece kasada sakladığınız parolalarla yapıldığını unutmayın. Ana parolanın benzersiz olup olmaması size kalmıştır: Onu tek bilen siz olursunuz ve bu parola diğer parolalarınızdan farklı olmalıdır.
Hatırlanabilir ana parola
Ana parolalara sızmanın başka yolları da vardır. Bu noktada, korkunç insan faktörü devreye girer. Örneğin, bazı kişiler ana parolalarını masaüstündeki şifresiz bir dosya ya da ofis duvarına yapıştırdıkları bir not kağıdı gibi çalınabilecekleri bir yere kaydeder.
Yazmak yerine hatırlamaya çalışın. Güvenlik kuralları bize bir parolanın uzun ve karmaşık olması gerektiğini söyler. Bazen 12 ila 16 karakterlik rastgele bir kombinasyon oluşturmamız bile istenir. Bu tür bir parolayı hatırlamak zordur. Bu nedenle, pek çok kişi daha basit parolalar kullanmayı tercih eder ve ardından korsanların hedefi haline gelir.
Peki ana parolanızı hem güçlü hem hatırlanabilir yapabilir misiniz? İyi bir strateji, üç ya da dört gizli kelimeye dayalı bir parola seçmektir. Örneğin, hayatınızın en iyi tatilini yaptığınız şehrin adını kullanabilir, o tatilde gittiğiniz en iyi barın adını ve içtiğiniz kokteyllerin adı ve sayısını parolaya ekleyebilirsiniz. Bu şekilde bir parola uzun ve benzersiz olmanın yanı sıra kolay olacaktır. Elbette çok fazla kokteyl içmediyseniz ve hâlâ tüm o detayları ayrı ayrı hatırlıyorsanız.