Neden parolaları asla tekrar kullanmamalısınız?

Aralık 21, 2018

Her şey için tek bir parola kullanmak pratik olsa da güvenli değildir ve tehlikelere yol açabilir. Bu duruma örnek olarak genç tasarımcı Mark’ın başına gelenlere göz atalım.

Mark sıradan biri. E-posta, Facebook, Instagram, Amazon, eBay, Steam ve Battle.net hesaplarının yanı sıra başka birçok çevrimiçi mağazada ve en sevdiği bilgisayar oyunu ile ilgili bir forumda hesabı var. Bu hesapların tamamı, Mark’ın e-postasına bağlı.

Bir gün, Mark’ın da hesabının olduğu çevrimiçi mağazalardan birinin veri tabanında sızıntı yaşanır. Görünüşe gere veri tabanı açık erişim sunucusunda şifrelenmemiş bir şekilde tutulmaktadır. Veri tabanından hiçbir kredi kartı bilgisi çalınmamış olsa da e-posta adresleri, kullanıcıların adları ve parolaları çalınır. İlk bakışta endişelenecek bir durum yok gibi görünür. Bu gibi sızıntılar birçok internet sitesinde yaşanabilir. Üstelik sızıntı küçük ölçekli bir çevrimiçi mağazada gerçekleşmiştir; sıradan bir mağaza sahibini siber güvenlik uzmanı olmadığı için suçlayabilir miyiz?

Fakat veri tabanını ele geçiren siber suçlular, belki veri tabanındaki kişilerden biri aynı parolayı e-posta hesabında da kullanıyordur diye şanslarını denemeye karar verir. Şansları yaver gider: Öyle ki bütün hesaplarında aynı parolayı kullanan Mark, e-posta hesabına erişmeleri için gerekli tüm bilgileri siber suçlulara altın bir tepside sunmuştur. Siber suçlular, Mark’ın e-posta hesabında yalnızca Mark’ın Lucy’e gönderdiği fotoğraflara değil, aynı zamanda da Amazon, eBay ve diğer şirketlerden gelen maillere de ulaşır. Mark diğer hesapları için de aynı parolayı kullanmış olamaz, değil mi? Siber suçlular, Mark’ın Amazon hesabına da girmeyi dener ve aynı parolanın bu hesapta da kullanıldığını görür.

Amazon hesabında kayıtlı bir kredi kartı olduğunu gören siber suçlular hemen kendilerine bir çift iPhone Xs bulur. Daha sonra Mark’ın Facebook hesabına giren siber suçlular, Mark’ın arkadaşlarına mesaj göndererek para ister: “Beyler, nakit paraya ihtiyacım var. Maaşım yarın yatırılacak, ben size paranızı yarın geri öderim, söz.” Mesajı alan kişilerden bazıları Mark’ın yakın arkadaşları olduğu için gerçekten de parayı siber suçluların hesabına gönderir.

Fakat siber suçlular bununla da yetinmez. Saldırganlar, erişebildikleri bütün hesapların parolalarını değiştirir. Yani Mark’ın durumunda, hesapların tamamının parolaları değiştirilmiş olur.

Mark’ın Facebook arkadaşlarından birisi kendisine gelen mesajdan şüphelenerek para isteyen kişinin gerçekten o olup olmadığını öğrenmek için Mark’ı arar. Olanları arkadaşından öğrenen Mark, dehşete düşerek Facebook parolasını değiştirmek için bilgisayarının başına koşar. Fakat parola, saldırganlar tarafından çoktan değiştirildiği için Mark hesabına giremez. Parolasını kurtarmaya çalışan Mark, Facebook’tan e-postasına parola sıfırlama bağlantısını göndermesini ister ancak e-posta hesabının parolası da sıfırlandığı için e-posta hesabına da giremez.

Hesaplarına erişemeyen Mark, gerçekten hacklendiğini anlar. Bankayı arayıp kredi kartlarını dondurur, umutsuz bir şekilde henüz hacklenmemiş birkaç hesabının parolasını değiştirmeyi dener ve arkadaşlarını arayarak para isteyenin kendisi olmadığını söyler. Parayı çoktan saldırganlara gönderen arkadaşlarından özür dileyip paralarını geri ödeyeceğine dair söz verir.

Sonuç olarak Mark, bir daha farklı hesaplar için aynı parolayı kullanmayacağı ve mümkün olan her yerde iki faktörlü kimlik doğrulama kullanacağı konusunda kendisine söz verir.