Güvenli parola kullanımı için 15 öneri

2012 yılının Temmuz ayında kendine “D33D” diyen bir grup korsan Yahoo Voice ve Gmail gibi hizmetlerin kullanıcılarına ait yaklaşık 450,000 parola yayınladı. Güvenlik ihlalinin ötesinde bu olay bize kullanıcıların parola seçimlerinde ne kadar özensiz olduğu bir kez daha göstermiş oldu.

Bir CNET çalışanın yayınlanan parolalar üzerinde yaptığı analizin sonuçları aşağıdaki şekilde bloglarda geniş yakın bulmuştu;

2,295: “123456” gibi ardışık rakamlardan oluşan parola kullananların sayısı

160: parola olarak “111111” kullananların sayısı, ayrıca 71 kişinin parolası “000000” olarak seçilmiş

780: “password” kelimesini şifre olarak kullananlar

233: asgari güvenli şifre şartlarına uymak amacıyla “password” kelimesinin sonuna rastgele rakam ekleyenler

437: “welcome” kelimesini parola olarak kullananların sayısı

333: “ninja” kelimesini parola olarak kullananlar

137,559: yayınlanan Yahoo kullanıcı adı ve parolalarının sayısı

106,873: yayınlanan Gmail kullanıcı adı ve parolalarının sayısı

McAfee’nin Blog sayfasına yazan Robert Siciliano yukarıdaki bilgilerin ışığında aşağıdaki bilgileri ve önerileri paylaşmıştır.

Kullanıcı adı ve parolalara yönelik saldırılar

Sözlük saldırıları: 

Bu saldırılar belli bir sözlük içerisinde bulunan kelimelerin bir yazılım yardımıyla sırayla denenmesine dayanır. Bunlara karşı alınabilecek basit önlemlerin başında “qwerty” veya “asdfg” gibi ardışık klavye karakterlerini veya sözlükte bulunan kelimeleri parola olarak kullanmamaktır.

Güvenlik sorusunu yanıtlamak:

Bazı sitelerde “şifremi unuttum” seçeneğini tıklamak karşımıza kullanıcı tarafından tanımlanmış bir “güvenlik sorusu” getirir. Bu sorunun cevabı kişisel olsa bile özellikle sosyal medyayı aktif olarak kullanan kurbanlar hakkında detaylı bilgi toplayabilen saldırganlar tarafından da tahmin edilebilmektedir.

Basit parola kullanmak:

Geçtiğimiz yıl yayınlanan 32 milyonu aşkın kullanıcı adı ve parola içerisinde en çok kullanılan parolanın “123456” olduğu, ikinci olarak en yaygın kullanılanın ise “12345” olduğu görülmektedir. Bunları “111111” ve “qwerty” gibi diğer basit parolalar kullanılmaktadır.

Aynı parolayı birden fazla sitede kullanmak: 

Yayınlanan parolalarda kurbanların, eposta, bankacılık, online alışveriş siteleri gibi farklı sitelerde aynı parolayı kullanma oranlarının %31 olduğunu görüyoruz. Bu sayede kurbanın parolasına basit bir forum gibi daha az korunan site üzerinden erişebilen saldırganlar daha ciddi  diyebileceğimiz online alışveriş siteleri üzerinden kurbanı mağdur edebilmektedir.

Sosyal mühendislik: 

Parolayı doğrudan kurbana söyletebilmek için kullanılabilecek onlarca farklı sosyal mühendislik yöntemi vardır. Bu nedenle parolanızın ve parolanızla ilgili her şeyin çok özel olduğunu hatırlamakta fayda var.

Parola güvenliğini sağlamak için öneriler

1.          Her sitede farklı bir parola kullanın
2.            Parolanızı yazarken kimsenin sizi izlemediğinden emin olun
3.      Kısa süreliğine de olsa bilgisayarınızın başından kalktığınızda mutlaka kilitleyin. Oturum açıkken parolanızı çalmak, değiştirmek veya bilgisayarınızda yeni bir kullanıcı tanımlamak sadece bir iki dakika sürer.
4.      “Keylogger” olarak da adlandırılan ve klavye üzerinde basılan her tuşu kaydedip bu bilgiyi dışarıya gönderen yazılımlara karşı gerekli önlemleri alın. Bunun için öncelikle bu tür yazılımları tespit edecek güvenlik yazılımlarının kurulması ve sürekli güncel tutulması önemlidir.
5.           İnternet kafelerde, okulda veya bir arkadaşınızın evinde, size ait olmayan veya ne kadar güvenilir olduğunu bilmediğiniz bilgisayarlarda parolanızı yazmayın.
6.      Kafeler gibi halka açık yerlerde güvenilir olmayan bir kablosuz ağ bağlantısı kullanıyorken parolanızı yazmayın. (bkz. bir önceki yazı)
7.          Parolanızı kimseye söylemeyin. Bugün arkadaşınız olan birisi yarın bunu farklı bir amaç için kullanabilir. Parolanızı bilen tek kişi olmanız parola güvenliği için çok önemlidir.
8.      Parolalarınızı düzenli olarak değiştirin. Mümkünse aynı parolayı bir yıldan kısa süre içerisinde tekrar kullanmayın.
9.      Büyük harf, küçük harf, rakam ve sembolden oluşan en az 8 karakterli parolalar kullanın.
10.      Parolanız kolay hatırlanabilir ama zor tahmin edilir olsun.
11.      Parolayı klavyeye çizin. Örneğin: “!2wsxdr5&” gibi, dikkatli bakarsanız bir “V” harfi çiziyor
12.      Kısa cümleler kullanabilirsiniz. Örneğin: “Te!ef10V@r!” veya “1kiL0@yeter”
13.      Parolanızı bir yere yazabilirsiniz ama bunu bilgisayarınızdan uzakta, başka notlar ile karışık olarak ve parola olduğu anlaşılmayacak şekilde yaptığınızdan emin olun.
14.      Parolanızı hatırlamanıza yarayacak bir kopya hazırlayabilirsiniz. Yukarıdaki örneklere istinaden: “Ne var?” (Cevap: “Te!ef10V@r!”)
15.     Çoğu site parolanızın ne kadar güvenli olduğu konusunda size bilgi verecektir. Emin olmadığınız durumlarda internette arayarak parola kontrolü yapan siteler bulabilirsiniz.

Kaynak: http://blogs.mcafee.com/consumer-threat-alerts/yahoo-hacked-15-tips-to-better-password-security