2012’nin başlarında bir MacBook’um vardı. O zaman aletler hakkında pek bilgili değildim ve başka bir Apple ürünü alma planım yoktu. Bilgisayarı çalıştırdım ve Apple kimliği oluşturdum. İstenildiği gibi parola seçtim ve birkaç güvenlik sorusu doldurdum.
Dört yıl sonra, bir iPad satın aldım. Bunun yanında birkaç ilgi çekici uygulama da satın aldım (Bir kısmı iş arkadaşlarım tarafından önerilmiş listedendi). Hesabım bana güvensiz gelmeye başladı ve hesabımı koruma hakkında düşünmeye başladım. Bu sebeple iki aşamalı korumayı aktif etmeye karar verdim.
Pek kolay olmadı; Apple değişiklik yapmam için güvenlik sekmesinde bulunan güvenlik sorularına doğru cevaplar vermem gerekiyordu. Ve benim girdiğim cevaplar doğru değildi.
Güvenlik sorularını değiştirmeye çalıştığımda, bu tarz işler için eklenilen ikinci mail adresimi onaylanmadığını gördüm. Apple’ın doğrulanmamış mail adreslerini niye kabul ettiğini hala anlamış değilim, ama bir şekilde kabul etti, ve böylelikle sonsuz bir döngü başlattı.
Emaili Onayla seçeneğine birkaç defa tıkladım ama herhangi bir onay maili alamadım. Her şey ters gidiyordu. Teknik destek almak için de iyi bir zaman değildi, bu işten kurtulmamın tek yolu vardı – kendi güvenlik sorumu hacklemeliydim.
Soruları nasıl hackledim
Dört yıl önce seçtiğim soru o kadar da zor değildi. Ama cevap hakkında düşünürken, şunu fark ettim ki özgeçmişime ya da sosyal medya hesaplarıma bakan biri cevabı ulabilirdi.
-İlk iş yerin neresiydi?
Bu sorunun doğru yanıtını bulabileceğiniz en güzel yer LinkedIn
-Annen ve baban nasıl tanıştı?
Annem ve babam büyüdü, tanıştı ve benim doğduğum şehirde evlendiler. Birçok insanın hayat hikayesi aynıdır. Ve birçok insan sosyal ağlara nereli olduğunu yazar (Ve genellikle sosyal ağlar insanlardan bunu yazmasını ister!). Bu soru da pek güvenli değildi.
-Çocukluğunuzdaki favori kitabınız hangisiydi?
Çocukken birkaç favori kitabım vardı ama en olası cevap J.R.R. Tolkien’in Hobbit kitabıydı. Diğer soruların cevapları gibi, bu da sır değil: Bir, bu kitap çok popüler. İki, üniversite arkadaşlarım ve sınıf arkadaşlarım Hobbit hakkında birçok yazı yazdığımı, ödevlerimde bahsettiğimi bilirler. Hatta yarım bıraktığım tezim Hobbit’in Rusça 11 tercümesi hakkındaydı! Sonuç olarak, cevabımla ilgili tüm hatırlamam gereken şey nasıl yazdığımı hatırlamaktı – “The Hobbit ya da There and Back Again”.
Tüm cevapları doğru biliyorsam parolalar neden eşleşmedi? Basit: Hesabımın anadili İngilizceydi, bunun da anlamı şu, sorular İngilizce gözüküyordu. Ama dört yıl önce, bu sorular Rusçayken cevap verdim. Dili değiştirip aynı cevapları yazdım, eşleştiler. Ama dili değiştirmeyen insanlar için bile güvenlik soruları gerçekten sorun olabilir: Büyük harf kullandı mı, kısaltma kullandı mı, takma isim kullandı mı..
İyi bir güvenlik sorusu ve cevabı nasıl olmalı diye düşünmeye başladım.
İyi bir güvenlik sorusu nedir? Listeden soru seçmeniz gerekirse, hangisini seçmelisiniz?
Şu beş kriter ile iyi soru ile kötü soruyu birbirinden ayırabilirsiniz.
1-Anlaşılmazlık – sorunun cevabının araştırılması ya da tahmin edilmesi zor olmalı. Örneğin, bankaların vazgeçilmesi ‘annenizin kızlık soy adı’ çok kötü bir soru. Bu sorunun cevabını bulabileceğiniz binlerce yol var.
2-Tutarlılık – cevap zamanla değişmemeli. Bu yüzden ‘Favori’ sorularınızdan vazgeçin: Favori işiniz, yemeğiniz, müzik grubunuz, filminiz, tatil yeriniz yıllar içerisinde değişebilir.
3-Hatırlanabilirlik – parolalarımızı pek sık tekrar yazmamız gerekmez, ama güvenlik sorularımızı çok daha nadir kullanma durumunda kalırız. İlk öğretmeninizi şimdilik iyi hatırlıyor olabilirsiniz ancak otuzlarınızda – hatta atmışlarınızda – hatırlamanız çok daha zor olabilir. Mümkünse bir iki on yıllık zaman dilimi içerisinde unutmayacağınız bir şey olsun.
4-Basitlik – bazı sorularınızın birden çok doğru cevabı olabilir. İlk öpücüğünüzü nerede aldınız? Mesela New York. Doğru cevap ”New York”, “New York City”, “Central Park” hatta daha farklı bir seçenek de olabilir. Kolaylıkla yanılgıya düşebileceğiniz şeylerden uzak durun, birkaç şekilde yanıtlayabileceğiniz soruları kullanmayın.
5-Seçenekli sorular – cevabı evet ya da hayır olan sorular son derece güvensizdir. Sizin hakkınızda hiçbir şey bilmeyen bir yabancının bile %50 doğru cevap verme şansı vardır! İyi bir güvenlik sorusuna verilebilecek sonsuz alternatif olmalı – ve siz doğru cevabı bilen tek kişi olmalısınız.
Sosyal medya oltalama saldırılarına dikkat edin
Eminiz sosyal medyada garip anketlere, testlere denk gelmişsinizdir. Mesela “ilk 7 iş yeriniz” ya da “ilk uçak seyahatiniz”. Bu tarz testlere verilen cevaplar sosyal mühendisler için değerli hazinelerdir. Ve bu tarz soruların çıkış kaynakları genellikle suçlular olurlar.
Eğer isterseniz en basit güvenlik sorularını bile tahmin edilmesi imkansız hale getirebilirsiniz – “annenizin kızlık soy adı” sorusuna XCU*(&S1042! olarak cevap verebilirsiniz – ancak ne yazdığınızı hatırlamanız gerekecektir.
Daha iyi bir fikir olarak şöyle yapabilirsiniz, annenizin kızlık soy adını alın. Mesela “Yılmaz“. Sesli harfleri çıkartın: ylmz. Annenizin doğum tarihini aralara serpiştirin. 04y08l80mz. Harika bir fikir değil ama orijinalinden daha iyi bir fikir.
Bu yöntem, bu tarz sorulara verilebilecek en doğru cevaplardır. Örneğin bankanızı aradığınızda annenizin kızlık soyadını tekrarladıkça bu kombinasyonunuzu hatırlayabilecek ve aklınızdaki bilgiyi tazeleyebileceksiniz.
Sonuç olarak, hesabınızı koruyabileceğiniz birçok güvenlik yöntemi mevcut – örneğin iki aşamalı onaylama.