Çoğu insan iyi çevrimiçi güvenlik alışkanlıklarının farkındadır. Ancak, çoğu zaman bunları tam anlamıyla kullanamamakta ve sözlük saldırılarına açık hale gelmektedirler. Çevrimiçi hesaplarını korumaları gerektiğini bilmelerine rağmen, birçok kişi güçlü parolalar oluşturmak gibi basit yönergeleri takip etmekte başarısız olmaktadır. Aslında, bir Google araştırması, insanların tahmini %65'inin birden fazla hesapta parolaları yeniden kullandığını ortaya koymuştur. Ayrıca, %59'u parolalarında evcil hayvan isimleri ve doğum tarihleri gibi tahmin edilmesi veya keşfedilmesi kolay kişisel bilgiler kullanmaktadır.
Buna ek olarak, insanlar genellikle kırılması çok kolay olan basit, açık parolalar kullanırlar. Araştırmalar "123456" ve "qwerty" gibi klavye kullanımlarının ve "Password", "iloveyou" ve "Welcome" gibi ifadelerin en sık kullanılanlar arasında olduğunu ve veri ihlali sızıntılarında düzenli olarak yer aldığını göstermiştir.
O halde, bu saldırıların çok yaygın ve çok başarılı olmasının nedeni, insanların sözlük saldırılarını önlemeyi ciddiye almamalarıdır.
En basit haliyle sözlük saldırısı, bilgisayar korsanlarının yaygın olarak kullanılan kelimeler, ifadeler ve sayı kombinasyonlarından oluşan bir listeyi hızlıca gözden geçirerek bir kullanıcının çevrimiçi hesaplarının parolasını tahmin etmeye çalıştığı bir tür kaba kuvvet saldırısıdır. Bir sözlük saldırısı bir parolayı başarıyla kırdığında, bilgisayar korsanı bunu banka hesapları, sosyal medya profilleri ve hatta parola korumalı dosyalar gibi şeylere erişmek için kullanabilir. İşte o zaman saldırganın kurbanı için gerçek bir sorun haline gelebilir.
Bu tür korsanlık, parolaları kırmak için sistematik bir yaklaşım kullanır. Bu saldırıları başarılı bir şekilde gerçekleştirmenin temelde üç adımı vardır ve bunları anlamak bir sözlük saldırısını nasıl önleyeceğinizi öğrenmenize yardımcı olabilir.
Saldırgan, potansiyel parolaların listesini oluşturmak için genellikle yaygın evcil hayvan adlarını, tanınabilir popüler kültür karakterlerini veya örneğin büyük spor takımlarını ve sporcuları kullanacaktır. Bunun nedeni, birçok kişinin kendileri için anlamı olan ve kolayca hatırlayabilecekleri parolalar oluşturmak için bu tür kelimeleri kullanmasıdır. Liste normalde bunların farklı kelime kombinasyonları veya özel karakterlerin eklenmesi gibi varyasyonlarını içerecektir.
Bu listenin otomatik araçlarla çalıştırılması da sözlük saldırılarının başarılı olmasını kolaylaştırır. Bir parola listesi ve otomatik aracı birlikte kullanmak, bir parolayı kırmayı ve çevrimiçi bir hesaba girmeyi denemeyi çok daha hızlı hale getirir. Bu işlemin manuel olarak yapılması halinde saldırı çok uzun sürecek ve hesap sahibinin -veya sistem yöneticisinin- saldırıyı fark etmesi ve saldırıya karşı bir savunma uygulaması için zaman gerekecektir.
Çalışma biçimleri nedeniyle, bu sözlük saldırılarının genellikle bireysel bir hedefi yoktur. Bunun yerine, listedeki parolalardan birinin doğru olması umuduyla gerçekleştirilirler. Ancak, saldırgan belirli bir yeri veya kuruluşu hedefliyorsa, daha odaklı ve yerelleştirilmiş bir kelime listesi oluşturacaktır. Örneğin, saldırıyı İspanya'da gerçekleştirmeyi planlıyorlarsa, İngilizce yerine yaygın İspanyolca kelimeler kullanabilirler. Ya da belirli bir kuruluşu hedefliyorlarsa, o şirketle ilişkili kelimeler kullanabilirler.
Sözlük korsanlığı bir tür kaba kuvvet saldırısı olsa da, ikisi arasında önemli bir fark vardır. Sözlük saldırıları, hesap parolalarını sistematik olarak kırmaya çalışmak için önceden belirlenmiş bir kelime listesi kullanırken, kaba kuvvet saldırıları bir liste kullanmaz ve bunun yerine, bir parola oluşturmak için kullanılabilecek her rastgele harf, sembol ve sayı kombinasyonunu çalıştırır. Bu nedenle, sözlük saldırıları genellikle daha etkilidir - ve başarı şansı daha yüksektir - çünkü deneyecekleri çok daha az kombinasyon vardır.
Alfabenin 26 harfi ve 10 tek basamaklı sayı - toplam 36 karakter - ile bir kaba kuvvet saldırısının başarılı olması için geçmesi gereken olası kombinasyonların sayısı neredeyse pratik değildir. Bağlam açısından, 10 karakterlik bir parolayı ele geçirmek için kaba kuvvet saldırısı yapıldığında, 3,76 katrilyon potansiyel alfanümerik parola olacaktır.
Ancak kaba kuvvet saldırılarının avantajı, deneme-yanılma yaklaşımıyla zor ve benzersiz parolaları kırma olasılığının daha yüksek olmasıdır. Bu kadar kapsamlı bir olası parola listesi üzerinden çalıştıkları için, bu saldırıların eninde sonunda herhangi bir parolanın doğru karakter kombinasyonunu bulma olasılığı daha yüksektir.
Sözlük saldırısının ne olduğunu ve nasıl işlediğini anlamak, bunların ortaya çıkmasını önlemeye yönelik bir adımdır. Ancak sözlük saldırılarını önleme konusunda ciddi olanlar için bu ipuçları yardımcı olabilir:
Parola yöneticileri, hesap kimlik bilgilerinizi güvenli bir şekilde yönetmenin ve sözlük korsanlığına kurban gitme olasılığını en aza indirmenin yararlı bir yolu olabilir. Kaspersky Password Manager gibi uygulamalar, parolaları güvende tutmaya yardımcı olabilecek bir dizi avantaj sunar. İşte bunu kullanmayı düşünmeniz için bazı nedenler:
Sözlük korsanlığı, bilgisayar korsanlarının banka hesapları, sosyal medya profilleri ve e-postalar da dahil olmak üzere bir bireyin kişisel hesaplarına erişmek için kullandıkları çok yaygın bir siber suç türüdür. Bu erişim sayesinde bilgisayar korsanları finansal dolandırıcılık ve kötü niyetli sosyal medya paylaşımlarından kimlik avı gibi diğer siber suçlara kadar her türlü eylemi gerçekleştirebilir. Ancak sözlük saldırılarını önlemek, bu saldırıların kurbanı olma riskini en aza indirmek için belirli önlemleri uygulamak kadar basit olabilir. Örneğin, akıllı parola yönetimi alışkanlıklarının kullanılması, farklı kimlik doğrulama türlerinin kullanılması ve hazır parola yöneticilerinin kullanılması, parolaların ve hesapların güvende tutulmasına yardımcı olabilir.
Kaspersky Endpoint Security, 2021’de kurumsal uç nokta güvenlik ürünü olarak en iyi performans, koruma ve kullanılabilirlik alanında üç AV-TEST ödülü aldı. Kaspersky Endpoint Security, tüm testlerde işletmeler için olağanüstü performans, koruma ve kullanılabilirlik ortaya koydu.
İlgili Makaleler ve Bağlantılar:
İlgili Ürünler ve Hizmetler: