Ethichal HackingGenel

Tüm Şifreleriniz Tehlikede

Merhabalar arkadaşlar,

Malumunuz bayadır sosyal medyada dolaşan, insanların şifrelerinin çalındığıyla alakalı bir çok haber var. Ve malesef üzülerek söylemek istiyorum ki, LinkedIn gibi büyük şirketler dahi olsa, bilgilerimizi korumayı gerçekten başaramamışlar.

33 Milyondan fazla Twitter hesabı, LinkedIn hesapları, Adobe hesapları, MySpace hesapları gibi bir çok hesap ele geçirildi. Bu da, her platformda aynı veya benzer şifreler kullanan bizler için büyük bir risk kaynağı haline geldi. LinkedIn’de “L11L12” şifresi kullanan birisinin Facebook için “F11F12” şifresini kullandığı ihtimalini düşünürsek, gerçekten tüm hesaplarımız için ciddi bir yenilik gerekiyor olacak.

https://www.leakedsource.com/ bu adresten girerek, hacklenen datalar arasında sizin datalarınızın olup olmadığını da görebilrisiniz.

Peki Nasıl Korunacağız?

Tüm hesaplarınızın şifreleri uzun olacak, büyük harf, küçük harf, rakam ve !’^+%&/()=?>£#$½{[]} gibi karakterler içerecek. Ve hepsi birbirinden farklı olacak.. Gerçekten zor dimi? 3 banka, 7-8 sosyal medya, 2-3 mail, şirket bilgisayarı, ev bilgisayarı, telefon hesapları, online servisler, forumlar, portallar.. Nerden baksanız 50 tane şifreye ihtiyacınız var değil mi?

Burada kullanılabilecek en güzel yöntem, birbirine benzer fakat bir tanesi casusların eline geçtiği zaman zincirleme olarak ele geçiremeyeceği bilgiler olmalı. Ama kullanılacak olan kelimeler, rakamlar veya rakam grupları da hayatımızdan bir yerden olmamalı.

Bir örnekle açıklayacak olursak,

2014 yılında yaşanan bir adli vakanın çözümü için kişinin e-posta adresi şifresine ulaşılması gerekiyordu. Ulaşması gereken ekip A isimli kişiyi takibe aldı. Şifrelerin bruteforce(kabakuvvet- denemeyanılma) saldırılarıyla çözülebilmesi için bir wordlist oluşturulması gerekiyordu. Eldeki wordlistlerin tamamı geçersizdi ve kullanıcının koymuş olabileceği şifrenin tespit edilmesi gerekiyordu. Kullanıcının B isimli bir forumda sürekli olarak takıldığı, orada paylaşımlarda bulunduğu ve paylaşımlarda bulunduğu konularla alakalı özel bir wordlist oluşturuldu. Bu wordlist üzerinden tekrar deneme yapıldığında ise, A isimli kişinin hesaplarına erişim sağlandı.

Bu örnekten de yola çıkarak, paylaştıklarımız, ilgi alanlarımız gibi konuları bir kenara bırakmalıyız. Facebook hesabında sürekli İstanbulun Fethi paylaşan Cemal isimli arkadaşın Facebook şifresinin Cemal_1453 olduğunu düşünmek zor değil? Zor olan ne? Futfolla zerre kadar alakası olmamış Cemal isimli arkadaşın, “Tr@bz0nb@hc3_++-” şifresini kullanıyor olması.

PIN’leri Kodlayın

Şifrelerinizi kullanırken kesinlikle ve kesinlikle doğum tarihi, tuttuğunuz takımın kuruluş tarihi, tarihi bir olayın yılı gibi karakterler kullanmayın. Burada size önereceğim şey, 4 harfli bir kelimenin rakamsal kombinasyonları. Örneğin kredi kartı şifrenizde, “MAZİ” kelimesini 8394 olarak kodlayabilirsiniz.

Şifreleri Uzun Tutun

Parola kırıcı yazılımların tamamı, 1 haneden başlayarak A a B b C c D d… Aa Ab Ac… Abc Abd Abe… gibi gruplarla devam ettiğinden sizin parolanızın sonuna ekleyeceğiniz ek bir karakter, belki casusun şifreniz için bekleme süresini 3 yıl daha uzatacaktır. O yüzden şifrelerinizin mümkün olduğunca 10 karakter üzerinde olmasına dikkat edin.

Büyük Harf Kombinasyonları

Şifrelerinizde mutlaka büyük harfler kullanın. Bunları kullanırken de “FenerBahçe” gibi kullanmak yerine “fenErbaHçe” olarak kullanırsanız, tahmin edilme şansınız da oldukça azaltırsınız. Mümkün olduğunca tam kelime grupları da kullanmayın. Yanınızda bulunan birisi klavyeden “Fene…” yazdığınızı görüp, sizin şifrenizin “Fenerbahçe” olduğunu tahmin edemesin.

Ekstra Karakterler

Şifrelerinizi oluştururken, seçebileceğiniz ek karakterlerin olması, şifreyi kat ve kat daha zor hale getirir. Tabi bu hatırlamak için de zor bi kombinasyon olduğu için ideal ölçülerde kullanılması daha mantıklı hale geliyor.

Şifrelerde Saçmalayın

Şifrelerinizi oluştururken, şifrenizi başkalarının da görmeyeceğini düşünerek, şifre konusunda kendinizi kısıtlamadan, saçmalayabilirsiniz. Örneğin, herkes şifresini “FenerBahçe” yapıyorsa siz “Tül@yB3b3ğ!mG3r!Dön” yapabilirsiniz. Olabildiğince tahmin edilmesi zorlaştırılmış şifreler tercih ederseniz, o kadar güvende olursunuz.

Şifrem ne kadar güvenli?

Bu konuda Kaspersky’ın bir uygulaması mevcut. https://password.kaspersky.com/ adresinden şifrenizi test edebilrisiniz. Tabiki şifrenizi test ederken, şifrenize muadil kelimeler kullanarak test etmenizi öneririm. Selam123 ise şifreniz, test ederken Kelam765 diye test edebilirsiniz. Durduk yere kaspersky wordlist’ine doğru şifreyi girmeye gerek yok 🙂

Örneğin,

Yukarda test olarak oluşturduğumuz “TülayBebeğimGeriDön” alternatifi “Tül@yB3b3ğ!mG3r!Dön” parolasının kırılması, Kaskersky’a göre yüzyıllar alacak. Benim için bi 60-70 yıl daha kırılmaması yeterli aslında.

aaaa

 

Şimdi, e-posta hesaplarınızın şifreleri başta olmak üzere, tüm sosyal medya hesaplarınızın şifresini değiştirin. “Keşke” dememek için, şimdi hemen..

 

Share:

Leave a reply