Dünyanın çeşitli ülkeleri ve siber güvenlik organizasyonları tarafından her yılın Ekim ayı “Siber Güvenlik Farkındalık Ayı” olarak belirlenmiş ve farklı platformlarda yayın ve etkinliklerin düzenlendiği bir gelenek halini almıştır. Aselsan olarak bizler de siber dünyadaki olası tehdit ve tehdit aktörlerini yakından takip ediyoruz ve bu alanda çalışmalarımızı sürdürüyoruz. Bu yazımızda günlük hayatınızda karşılaşabileceğiniz siber tehditlere karşı şifre yöneticisi kullanmanın avantajlarını anlatacağız.
Günümüz dünyasında kullandığımız teknolojilerin yaygınlaşmasıyla beraber dijital hayatımızda çok sayıda sosyal medya hesabı ve bankacılık uygulaması kullanıyoruz. Bu uygulamalara erişim sağlamak için belirlediğimiz şifrelerimiz, dijital dünyada güvenliğimizi sağlamak için en çok kullandığımız güvenlik önlemlerindendir. Organizasyonların sistem yöneticileri şifre güvenliği konusunda kurallar koyarak kullanıcıların şifrelerinin Brute-force (kaba kuvvet) saldırılarına karşı dayanıklı olmalarını sağlamaktadır. Örneğin, seçilen şifrenin en az 8 karakter olması, en az bir rakam içermesi, en az bir noktalama işareti içermesi yeni kayıt olduğunuz bir uygulama için artık alışılmış bir durum. Şekil 1’de görüleceği üzere şifrede bulunan karakter sayısının artması, siber tehdit aktörlerinin şifreyi ele geçirmeleri için harcamaları gereken zamanı önemli bir ölçüde artırmaktadır.
Şifrelerin karmaşıklaşması her ne kadar güvenlik için faydalı bir uygulama olsa da kullanıcıların bu şifreleri hatırlaması zor olmaktadır. 2018 yılında ABD’de 1209 katılımcıyla yapılan bir araştırma, kullanıcıların sıklıkla aynı şifreyi kullandıklarını göstermiştir (Şekil 2). Aynı şifrelerin farklı uygulamalar için kullanılması veri sızıntısı olması durumunda, siber tehdit aktörlerinin birden fazla hesabı ele geçirmesi ile sonuçlanmaktadır.
Akılda tutulması gereken şifrelerin uzunluğu ve sayısının artmasının getirdiği zorluklar göz önüne alındığında şifre yöneticisi uygulamaları sıklıkla başvurulan çözümler arasındadır. Şifre yöneticisi, kullanıcılar için bir şifre defteri olarak görev yapar. Güncel akıllı telefonların ve web tarayıcılarının içerisinde standart olarak gelen bu uygulamalar kullanılan hesabın adını, şifresini bağımsız başka bir şifre veya parmak izi gibi biometrik imza ile güvence altına alırlar. Böylelikle kullanıcılar birden fazla karmaşık şifre hatırlamak zorunda kalmadan şifrelerini muhafaza edebilirler.
Şifre yöneticisi uygulamaları genellikle multi-platform olup birden fazla cihazda senkronize olarak çalışabilir. Bu sayede kullanıcılar farklı cihazlardan da şifrelerine kolaylıkla erişebilirler. Şifre yöneticisi birden fazla kez kullanılan, zayıf veya veri sızıntısında gözlenen şifreler konusunda kullanıcıları uyarabilmektedir.
Bilgi güvenliğinin 3 temel unsurunu gizlilik(confidentiality), bütünlük(integrity) ve erişilebilirlik(availability) oluşturmaktadır. Gizlilik unsurunu sağlamak hususunda şifre yöneticileri kullanışlı uygulamalardır ancak bilgi güvenliğini tümüyle sağlamak için tek başına yeterli değildir. Bu tür uygulamalar ile kullanıcılar olarak güvenliğimizi arttırabilir, olası siber tehditlere karşı kendimizi koruyabiliriz.
Kaynakça
1. https://www.cloudflare.com/learning/bots/brute-force-attack/
2. https://www.statista.com/statistics/763091/us-use-of-same-online-passwords/
Günümüz dünyasında kullandığımız teknolojilerin yaygınlaşmasıyla beraber dijital hayatımızda çok sayıda sosyal medya hesabı ve bankacılık uygulaması kullanıyoruz. Bu uygulamalara erişim sağlamak için belirlediğimiz şifrelerimiz, dijital dünyada güvenliğimizi sağlamak için en çok kullandığımız güvenlik önlemlerindendir. Organizasyonların sistem yöneticileri şifre güvenliği konusunda kurallar koyarak kullanıcıların şifrelerinin Brute-force (kaba kuvvet) saldırılarına karşı dayanıklı olmalarını sağlamaktadır. Örneğin, seçilen şifrenin en az 8 karakter olması, en az bir rakam içermesi, en az bir noktalama işareti içermesi yeni kayıt olduğunuz bir uygulama için artık alışılmış bir durum. Şekil 1’de görüleceği üzere şifrede bulunan karakter sayısının artması, siber tehdit aktörlerinin şifreyi ele geçirmeleri için harcamaları gereken zamanı önemli bir ölçüde artırmaktadır.
Şifrelerin karmaşıklaşması her ne kadar güvenlik için faydalı bir uygulama olsa da kullanıcıların bu şifreleri hatırlaması zor olmaktadır. 2018 yılında ABD’de 1209 katılımcıyla yapılan bir araştırma, kullanıcıların sıklıkla aynı şifreyi kullandıklarını göstermiştir (Şekil 2). Aynı şifrelerin farklı uygulamalar için kullanılması veri sızıntısı olması durumunda, siber tehdit aktörlerinin birden fazla hesabı ele geçirmesi ile sonuçlanmaktadır.
Akılda tutulması gereken şifrelerin uzunluğu ve sayısının artmasının getirdiği zorluklar göz önüne alındığında şifre yöneticisi uygulamaları sıklıkla başvurulan çözümler arasındadır. Şifre yöneticisi, kullanıcılar için bir şifre defteri olarak görev yapar. Güncel akıllı telefonların ve web tarayıcılarının içerisinde standart olarak gelen bu uygulamalar kullanılan hesabın adını, şifresini bağımsız başka bir şifre veya parmak izi gibi biometrik imza ile güvence altına alırlar. Böylelikle kullanıcılar birden fazla karmaşık şifre hatırlamak zorunda kalmadan şifrelerini muhafaza edebilirler.
Şifre yöneticisi uygulamaları genellikle multi-platform olup birden fazla cihazda senkronize olarak çalışabilir. Bu sayede kullanıcılar farklı cihazlardan da şifrelerine kolaylıkla erişebilirler. Şifre yöneticisi birden fazla kez kullanılan, zayıf veya veri sızıntısında gözlenen şifreler konusunda kullanıcıları uyarabilmektedir.
Bilgi güvenliğinin 3 temel unsurunu gizlilik(confidentiality), bütünlük(integrity) ve erişilebilirlik(availability) oluşturmaktadır. Gizlilik unsurunu sağlamak hususunda şifre yöneticileri kullanışlı uygulamalardır ancak bilgi güvenliğini tümüyle sağlamak için tek başına yeterli değildir. Bu tür uygulamalar ile kullanıcılar olarak güvenliğimizi arttırabilir, olası siber tehditlere karşı kendimizi koruyabiliriz.
Kaynakça
1. https://www.cloudflare.com/learning/bots/brute-force-attack/
2. https://www.statista.com/statistics/763091/us-use-of-same-online-passwords/
.jpeg "aselsan.jpeg")
.jpg "3710.jpg")