Güçlü parolalar nasıl oluşturulur ve nerede saklanır?

Mayıs ayının ilk Perşembe günü özel bir gün. On yılı aşkın bir süredir Dünya Parola Günü olarak kutlanan bu gün, Kaspersky olarak bizim için bu önemli bir etkinlik ancak bir parti vermek yerine size hayattaki önemli şeylerden birini bir kez daha hatırlatma fırsatını değerlendirmeyi tercih ediyoruz. Evet, parolaları! Bu vesileyle parolaların nasıl oluşturulacağını, nerede güvenli bir şekilde saklanacağını ve “qwerty12345 “in neden çok ama çok kötü bir parola olduğunu tartışalım.

Bu konuşma çok önemli çünkü birçok kişi hala tahmin edilmesi çok kolay olan ve defalarca bilgisayar korsanlarının eline geçen zayıf ve tekrar kullanılan parolalara güvenmekte. Bunun neden böyle olduğunu ve nasıl üstesinden gelineceğini bugünkü yazımızda açıklıyoruz.

Sızıntıları nasıl tespit ederiz?

Küresel tehdit istihbarat ağımız Kaspersky Security Network (KSN) bunda önemli bir role sahip. KSN, dünyanın dört bir yanından, çoğu müşterilerimiz tarafından anonim ve gönüllü olarak sağlanan siber tehdit verilerini toplar ve analiz eder. Bu kişiselleştirilmemiş veriler, makine öğrenimi algoritmalarımız (AI) ve insan uzmanlarımız tarafından analiz edilerek ortaya çıkan siber tehditlere hızlı bir şekilde yanıt vermemizi sağlar. Yeni bir tehdidin ortaya çıkması ile KSN katılımcılarının bunu öğrenmesi arasındaki ortalama süre sadece 40 saniyedir!

Kaspersky Security Network sayesinde, 2023 yılında KSN kullanıcılarının parolalarına yönelik 32 milyondan fazla saldırı girişiminde bulunulduğunu biliyoruz. Hatta 2022’de bu sayı daha da yüksekti: Tam 40 milyon! Bu da dünya genelinde saniyede birden fazla parola ele geçirme girişiminde bulunulduğu anlamına geliyor! Ayrıca, 2023’ün sonlarına doğru yaptığımız araştırma, saldırılardan sadece ev kullanıcılarının değil, işletmelerin de etkilendiğini gösterdi. Ankete katılan küçük işletme girişimcilerinin %76’sı son iki yıl içinde en az bir siber olayla karşı karşıya kalmış ve saldırıların yaklaşık dörtte biri (%24) zayıf, tekrarlanan veya eski parolaların kullanılmasından kaynaklanmıştır.

Verilerinizi nasıl kontrol ediyoruz

Verilerinizin ve parolalarınızın ele geçirilip geçirilmediğini kontrol etmek için üç yöntem kullanıyoruz:

1. Kaspersky Standard, Kaspersky Plus ve Kaspersky Premium kullanıcıları için e-posta adresi ile: Uygulamaya sizin ve yakınlarınızın çevrimiçi hesaplar için kullandığı e-posta adreslerini girdikten sonra size; kişisel verilerinizden herhangi birinin, parolalar da dâhil olmak üzere, internete veya karanlık ağa sızıp sızmadığını bildiririz. İçiniz rahat olsun, uygulamamız ele geçirilen verileri kendisi almaz veya saklamaz, yalnızca türü hakkında bilgi sağlar. Parolanızı, ev adresinizi, kimlik veya pasaport bilgilerinizi, banka kartı numaranızı veya bunların herhangi bir kombinasyonunu içeren bir ihlal durumunda sizi uyarırız. Ve sizi sadece uyarmakla kalmaz; farklı sızıntı türleri belirli yanıtlar gerektirdiğinden, atılacak uygun adımlar konusunda siber güvenlik uzmanlarımız tarafından oluşturulan sağlam tavsiyeler de sağlarız.
2. Kaspersky Premium kullanıcıları için telefon numarası ile: Bu yöntem e-posta kontrolüne benzer şekilde çalışır, ancak e-posta adreslerine değil telefon numaralarına bağlı hesaplara odaklanır. Bu hesaplar genellikle veri sızıntılarının ciddi sonuçlar doğurabileceği bankalar, devlet kurumları ve büyük e-ticaret siteleri gibi daha “ciddi” hizmetlere aittir. Herhangi bir veri sızıntısına karışıp karışmadığını kontrol edebilmemiz için uygulamaya telefon numaranızı vermeniz yeterlidir. Hatta sadece kendi numaranızı değil, tüm ailenizin ve akrabalarınızın numaralarını da kontrol edebilirsiniz. Bunun en iyi yanı, e-posta adreslerini ve telefon numaralarını yalnızca bir kez girmenizin yeterli olmasıdır; o andan itibaren web’i sızıntılar için sürekli olarak izleriz. Verileriniz sızdırılırsa, ne yapmanız gerektiğine dair önerilerle birlikte anında bir uyarı alırsınız.
3. Kaspersky Password Manager özel algoritmasına göre: Olası tüm sızıntı senaryolarını kontrol eden önceki iki yöntemin aksine, parola yöneticimiz içinde sakladığınız parolaları analiz etmeye odaklanır. Çevrimdışı bile olsanız, hangi parolalarınızın zayıf olduğunu veya tekrar kullanıldığını ve hangilerinin yeterince güçlü olduğunu size söyleyebiliriz. Ayrıca Kaspersky Password Manager, tüm parolalarınızı düzenli olarak güvenliği ihlal edilmiş kimlik bilgilerinin veri tabanlarına karşı kontrol eder ve eşleşmeleri size bildirir.

Ayrıca çevrimiçi Parola Denetleyici hizmetimizi kullanarak bir parolanın ele geçirilip geçirilmediğini kontrol edebilirsiniz. Kontrol etmek istediğiniz parolayı girmeniz yeterlidir; sistem size bu parolanın sızdırılmış veri tabanlarında kaç kez geçtiğini ve güvenli olup olmadığını söyleyecektir.

Hata! Kötü haber: “qwerty12345” parolası en az 285.000 kez sızdırıldı

Bununla birlikte, bu yöntemin önceki üç yönteme kıyasla manuel kontroller gerektirmesi gibi önemli bir dezavantajı vardır ancak Kaspersky Standard, Kaspersky Plus ve Kaspersky Premium arka planda sızıntıları otomatik olarak izler.

Peki Kaspersky tüm kullanıcılarının parolalarını saklar mı? Kesinlikle hayır. Şirketin hiçbir çalışanı; bir geliştirici, analist, editör, tasarımcı ve hatta Eugene Kaspersky’nin kendisi bile hassas verilerinize erişemez. Sıfır bilgi politikamızı daha önce burada ayrıntılı olarak ele almıştık. Aşağıda, Kaspersky Password Manager‘da saklanan parolalarınıza neden erişemediğimizi açıklayacağız.

Parolaları Kaspersky Password Manager’da saklamak neden daha kolay ve güvenlidir?

Tüm parolalarınızı ezberlemek veya örneğin not alma uygulamalarında tutmak risklidir. Özel olarak bu amaç için tasarlanmış Kaspersky Password Manager, web sitelerinde ve uygulamalarda güçlü ve benzersiz parolalar oluşturur, saklar ve otomatik olarak girer, bunların ele geçirilip geçirilmediğini kontrol eder ve iki faktörlü kimlik doğrulama kodları oluşturur.

İşte Kaspersky Password Manager‘ın nasıl çalıştığına dair basitleştirilmiş bir açıklama. Tüm parolalarınız AES-256 simetrik şifreleme algoritması kullanılarak şifrelenmiş bir kasada saklanır. Bu şifreleme standardı, ABD NSA tarafından devlet sırlarını saklamak için kullanılabilecek kadar güçlü kabul edilmektedir. Şifreleme anahtarı, uygulamanın ilk kurulumu sırasında oluşturduğunuz ana parolanızdır. Veri kasasına her erişmeye çalıştığınızda, Kaspersky Password Manager sizden bu parolayı ister ve verilerin şifresini çözmek için kullanır.

Sadece parolaları değil, diğer önemli verileri, banka kartı numaralarını, taranmış belgeleri, notları vb. aynı kasada saklayabilirsiniz. Böylece gizli verileriniz tüm cihazlarınız arasında “çok gizli” şifrelenmiş biçimde saklanır ve senkronize edilir.

Bu güvenlik seviyesi, parolaların tarayıcılarda saklanmasının çok ötesindedir. Tarayıcınızın parolalarınızı sizin için saklaması yönündeki kalıcı önerilerini kabul etmemenizi tavsiye ederiz; bu tür parolalar tarayıcıdan yalnızca birkaç saniye içinde çıkarılabilir.

Kaspersky Password Manager şifreli kasasına erişim yalnızca ana parolanız aracılığıyla sağlanır. Bu parolayı biz bilmeyiz ve hiçbir yerde saklamayız. Eğer unutursanız, kasanın içindekiler kurtarılamaz hale gelir ve yeni bir kasa oluşturmanız gerekir. Bu yaklaşım en üst düzeyde güvenlik sağlar. Bir bilgisayar korsanı bir şekilde Kaspersky Password Manager‘ın şifrelenmiş kasasına erişse bile parolalarınızı, banka kartı bilgilerinizi veya saklanan diğer belgeleri ortaya çıkaramaz.

En başta bilmediğimiz parolalarınızı sızıntılara karşı nasıl kontrol edebiliriz?

İşte bu noktada, herhangi bir veriyi alan ve bunu bir karma değer oluşturmak için kullanan Güvenli Karma Algoritması 1 (SHA-1) devreye girer. Bu, giriş verilerine özgü sabit uzunlukta bir ikili dizedir. Örneğin, gerçek parolanız “qwerty12345” ise, “SHA-1 dili” gösterimi şöyle görünecektir: 4e17a448e043206801b95de317e07c839770c8b8.

Her benzersiz parola her zaman aynı karmayı üretir ve iki karma eşleşirse, orijinal parolalar da eşleşir. KSN, bilinen tüm saldırıya uğramış ve sızdırılmış parolalar için hesaplanmış karmaları depolar. Parolanızı kontrol etmek için, parolanızın hash’ini cihazınızda yerel olarak hesaplar, ardından bu karmanın yalnızca ilk yarısını Kaspersky sunucularına gönderir ve aynı başlangıca sahip ele geçirilmiş parolaların tüm karmalarını buluruz. Bu karmalar cihazınıza geri gönderilir ve burada her biri parolanızın tüm karmasıyla karşılaştırılır. Tam bir eşleşme bulunursa, parolanız ele geçirilmiş demektir.

Bu nedenle parolalarınızı bilmeyiz çünkü cihazınızı asla şifrelenmemiş bir biçimde terk etmezler. Orijinal parolayı karmasından kurtarmak teorik olarak mümkündür, ancak parolalarınızın tam karmaları da cihazınızdan hiçbir yere gönderilmez! KSN sunucularına karşılaştırma için yalnızca parçaları gönderilir ve orijinal parolayı karmasının bir kısmından geri yüklemek imkansızdır. Bu nedenle, parolalarınızı sızıntılara karşı kontrol etmek tamamen güvenlidir.

Ana parola nasıl oluşturulur?

Kaspersky Password Manager ile yalnızca bir ana parolayı hatırlamanız gerekir. Uygulama, kasadaki verilerinizi şifrelemek için ana parolayı kullanır. Bu nedenle bunu oluştururken dikkatli olmanızı öneririz. Ana parolanız olarak “qwerty12345” kullanmak, tüm değerli eşyalarınızı bir kasaya koyduktan sonra anahtarı kilitte bırakmaya benzer. Süreci kolaylaştırmak ve parolayı hatırladığınızdan emin olmak için, parolayı güçlü ve akılda kalıcı hale getirmeye yönelik bir ipucu:

Sevdiğiniz bir cümleyi, alıntıyı veya şarkı sözünü düşünün. İfadedeki her kelimeden bir harf (ilk harf olması gerekmez!) veya harf kombinasyonu alın ve aralarına özel karakterler ekleyin. Rakamlara veya özel karakterlere benzeyen harfleri ilgili sembolleriyle değiştirin.

Örneğin:

“Her Şey Çok Güzel Olacak” — H!$!C!G!0l@c@k

İyi bir parolanın hatırlanması zor özel karakterler içermesi gerekmez, ancak kırılmaya karşı dayanıklı bir parola olması gerekir. Parola Kontrol çevrimiçi hizmetimizi kullanarak yeni oluşturduğunuz parolanızı test edin. Parolanızın güçlü olduğu onaylanırsa, Kaspersky Password Manager ana parolanız olabilir. Parola yöneticimiz web siteleri ve uygulamalardaki diğer tüm parolalarınızı oluşturacağı, kaydedeceği ve otomatik olarak dolduracağı için hatırlamanız gereken tek parola budur.

Parolaları kafanızda saklamak gibi eski usul bir yöntemi tercih ediyorsanız, bulduğunuz kombinasyonu temel olarak kullanın ve her hizmet ve web sitesi için buna bir anımsatıcı “uzantı” ekleyerek tüm parolalarınızın benzersiz olmasını sağlayın. Bu teknikle ilgili ayrıntılı bir rehberimiz var. Ve biliyor musunuz? Kaspersky Password Manager da dâhil olmak üzere birçok hizmet, emojiler ve ifadeler kullanarak parola oluşturmaya izin verir.

Özet

• Güvenilir koruma kullanın.Bu, parolalarınızın ve diğer hassas verilerinizin güvende olmasını sağlar.
• İpucu içeren parolalar oluşturun. Bu teknik hem kriptografik olarak güçlü hem de hatırlaması kolay parolalar oluşturmanıza yardımcı olur.
• Parolaları bir parola yöneticisinde saklayın.Siz tek ve kriptografik olarak güçlü bir ana parola oluşturup hatırlarsınız, biz de tüm değerli verilerinizi bununla koruruz.
• Farklı sitelerde ve hizmetlerde parolaları tekrar kullanmayın. Bir hizmetten veri sızması, parolanızın bilgisayar korsanlarının eline geçmesine neden olarak diğer hesaplarınızı ele geçirmelerini kolaylaştırabilir. Neden benzersiz parolalar kullanmanız gerektiği burada açıklanmıştır.
• Mümkün olan her yerde iki faktörlü kimlik doğrulamasını (2FA) etkinleştirin. Bu, hesaplarınıza ekstra bir güvenlik katmanı ekler. Parolanız ele geçirilse bile, benzersiz 2FA kodu yetkisiz erişimi önleyecektir. Hatta Kaspersky Password Manager ile 2FA belirteçlerini saklayabilir ve tek kullanımlık kodlar oluşturabilirsiniz.