16 Nisan 2016 00:50

Hesapları güvende tutmak

Fotoğraf: Envato

Paylaş

İsmail Gökhan Bayram

Tüm yazıları

Çeşitli internet sitelerini kullanımımız arttıkça, bu sitelerdeki hesaplarımız da hayatımızın ayrılmaz bir parçası haline geliyor. Ancak bu hesapları ne kadar koruduğumuz oldukça tartışmalı. Her yıl yayımlanan kırılıp da webe düşen hesap şifrelerinin istatistiği trajik bir manzara sergiliyor: En yaygın kullanılan şifreler deneme yanılma metoduyla kolayca bulunabilecek oldukça basit kombinasyonlardan oluşuyor. 2015 yılı verilerine göre en yaygın kullanılan ilk 10 şifre sırasıyla şöyle: “123456”, “password”, “12345678”, “qwerty”, “12345”, “123456789”, “football”, “1234”, “1234567”, “baseball” Listenin devamı da aynı basitlikte, tahmin edilebilir, karakter cinsi açısından çeşitliliğe sahip olmayan şifrelerden oluşuyor ve bu tip şifreler kaba güç saldırıları ya da sözlük saldırıları ile kolayca kırılabiliyor. Şifre nasıl olmalı sorusunun cevabında mutlak bir uzlaşma olmamakla birlikte asgari olarak konuşacak olursak, 8-10 karakterden kısa olmayan, en az bir büyük ve bir küçük harf ile bir rakam ve bir sembol içeren, anlamlı bir kelime içermeyen bir şifre bugün açısından makul sayılabilir.

Öte yandan günümüzün hesap çalma yöntemleri şifreyi kırmak ile sınırlı değil. Phishing adı verilen saldırılar da şifre ele geçirmede kullanılan oldukça yaygın bir yöntem. Phishing saldırılarında, kurban, e-posta ya da sosyal medya üzerinden yollanan bir mesaj aracılığıyla yönlendirildiği yanıltıcı bir web sayfasına kendi elleri ile şifresini giriyor. Kendisine gelen linki açan kurban, kendini girmeye çalıştığını sandığı sitenin neredeyse tıpatıp aynısı bir giriş sayfasında buluyor. Eğer yeterince dikkatli değilse site adresinin açmak istediği sitenin adresi olmadığını fark edemiyor. Üstelik bu sahte adres genelde taklit edilen sitenin adresi ile oldukça benzer seçiliyor. Dikkatsiz kurbanı kolayca yanıltabilecek w’ yerine ‘vv’ ya da ‘o’ yerine ‘0’ kullanmak gibi çeşitli numaralar ile inandırıcılık arttırılıyor(Ör: tvvitter.com). Kurban bu sahte siteye kullanıcı adı ve şifresini girdiğinde, hesap bilgileri saldırganın eline geçiyor. Bu tip saldırılardan korunmak biraz ince ayar ve biraz dikkatle oldukça kolay. Giriş yaptığımız sitelerin adreslerini elle, doğrudan adres satırına yazmak ve artık neredeyse tüm büyük sitelerce kullanılan https protokolünü kullanıp kullanmadıklarını adres satırının sol yanında yer alan asma kilit benzeri logoya bakarak kontrol etmek genelde yeterli oluyor.

Her şeye rağmen yanılıp şifremizi bir saldırgana kendi elimizle verirsek diye alınacak son tedbir ise neredeyse her büyük sitenin sunduğu hesabınızı cep telefonunu ile ilişkilendirme. Eğer böyle bir seçenek yok ise alternatif e-posta adresi ekleme. Buna her hesapta farklı şifre kullanmanız gerektiğini de eklersek, her hangi bir hesabınızın ele geçirilmesi durumunda hem hesabınızı kolayca geri almanız mümkün olacaktır hem de çalınan şifre ile diğer hesaplarınızın ele geçirilmesi oldukça zorlaşacaktır.

YAZARIN DİĞER YAZILARI