Önemli Bilgiler
- Siber güvenlik uzmanları, şifrelerin tek başına hesapların güvenliğini sağlamak için artık yeterli görülmemesi gerektiğini öne sürüyor.
- Kullanıcılar, mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelidir.
- Ancak MFA, zayıf şifreler oluşturmak için bir bahane olarak kullanılmamalıdır.
En güçlü parolalar ve en katı parola politikaları, çevrimiçi hizmet sağlayıcınız sunucularındaki yanlış yapılandırma nedeniyle kimlik bilgilerinizi sızdırdığında pek kullanılmaz.
Böyle bir olasılığın nadir olacağını düşünüyorsanız, 2021'deki en büyük veri sızıntılarının çoğunun servis sağlayıcıların teknik yakalamalarından kaynaklandığını bilin. Aslında, Aralık 2021'de siber güvenlik uzmanları, Amazon Web Hizmetleri'nin, parolalar dahil her türlü hassas bilgiyi içeren, Sega'ya ait S3 klasöründe böyle bir yanlış yapılandırmanın düzeltilmesine yardımcı oldu.
Güvenlik sağlayıcısı Gurucul'un CEO'su Saryu Nayyar, Lifewire'a e-posta yoluyla "Şifre kullanımının modası geçmeli ve hesaplara giriş yapmak için farklı yollar aramalıyız" dedi.
Şifrelerle İlgili Sorun
Aralık ayında The Sun, Birleşik Krallık Ulusal Suç Dairesi'nin (NCA), bir soruşturma sırasında ortaya çıkardığı popüler Have I Been Pwned (HIBP) hizmetine 500 milyondan fazla şifre sağladığını bildirdi.
HIBP, kullanıcıların parolalarının bir ihlalde sızdırılıp sızdırılmadığını ve bilgisayar korsanları tarafından kötüye kullanılmaya meyilli olup olmadığını kontrol etmelerini sağlar. HIBP'nin kurucusu Troy Hunt'a göre, NCA tarafından sağlanan 200 milyondan fazla parola veritabanında mevcut değildi.
Tarayıcıların hesap bilgilerini saklama özelliği çok kullanışlı olsa da… kullanıcıların bunu kullanmaktan kaçınmaları önerilir.
"Sorunun boyutuna işaret ediyor, sorun şifreler, kişinin iyi niyetli olduğunu kanıtlamanın eski bir yöntemi. Veridium, NCA'nın HIPB'ye yaptığı son katkıya yanıt olarak e-posta yoluyla Lifewire'a verdiği demeçte, "Dijital kimlik uzmanlarının COO'su Baber Amin.
Amin, bilgisayar korsanlarının artık bir kişinin nasıl şifre oluşturduğuna dair kalıpları belirlemek için bunları AI tabanlı analitik araçlarla kullandığından, sızdırılan kimlik bilgilerinin yalnızca mevcut hesapları tehlikeye atmadığını ekledi. Özünde, sızdırılmış kimlik bilgileri, güvenliği ihlal edilmemiş diğer hesapların güvenliğini de tehlikeye atar.
Şifreler ve Daha Fazlası
Şifrelerden daha iyi bir koruma mekanizmasını savunan Nayyar, hesaplarında çok faktörlü kimlik doğrulama kurma seçeneğine sahip kullanıcıların bunu yapmalarını öneriyor.
Üçüncü taraf risk güvencesi için en iyi uygulamaları geliştirmeye yardımcı olan bir üyelik kuruluşu olan Shared Assessments Başkan Yardımcısı Ron Bradley de aynı fikirde. "Mümkün olan her yerde çok faktörlü kimlik doğrulamayı açın, özellikle de parayı hareket ettiren uygulamalar."
Yalnızca bir parola ile bir hesabın güvenliğini sağlamak, tek faktörlü kimlik doğrulama olarak bilinir. Çok faktörlü kimlik doğrulama veya MFA bunun üzerine kurulur ve kullanıcılardan başka bir bilgi isteyerek oturum açma sürecine fazladan bir adım ekleyerek hesapları güvence altına alır. Birkaç banka da dahil olmak üzere birçok hizmet, bir kullanıcının bankada kayıtlı cep telefonu numarasına bir doğrulama kodu göndererek MFA'yı uygular.
Ancak, bu doğrulama mekanizması, SIM takas saldırısı olarak bilinen bir saldırı mekanizmasına eğilimlidir; burada, saldırganlar, hedefin cep telefonu numarasının kontrolünü, sahibinin operatörünü numarayı saldırganın SIM kartına yeniden ataması için kandırarak ele geçirir.
Bazı müşterilerini hedef alan böyle bir saldırıyı kabul eden T-Mobile, SIM takas saldırılarının yaygın ve endüstri çapında bir olay haline geldiğini söyledi.
Bunun yerine, MFA'yı etkinleştirmek için daha iyi bir seçenek Duo Security, Google Authenticator, Authy, Microsoft Authenticator ve bu tür diğer özel MFA uygulamaları gibi uygulamaları kullanmaktır.
Parola Yayılması
Ancak, konuştuğumuz tüm siber güvenlik uzmanları, MFA kullanmanın şifreleri güvenli hale getirmek için yeterli adımları atmamak için bir bahane olmaması gerektiği konusunda uyardı.
"Çok uzun ve karmaşık olduğu için banka şifrelerinin ne olduğu hakkında hiçbir fikri olmayan yüzde tek merkezlilerin bir parçası olun" diye tavsiyede bulundu Bradley.
Şifreler söz konusu olduğunda, kullanıcıların bir şifre yöneticisine yatırım yapmayı düşünmeleri gerektiğini ekliyor. Ücretsiz şifre yöneticisi sıkıntısı olmamasına ve web tarayıcınızda yerleşik bir tane olmasına rağmen, uzmanlar ücretsiz bir şifre yöneticisinin hiç olmamasından daha iyi olduğunu, ancak kullanıcıların bir tane kullanırken dikkatli olmaları gerektiğini öne sürüyorlar.
Çok uzun ve karmaşık olduğu için banka şifrelerinin ne olduğu hakkında hiçbir fikri olmayan yüzde tek merkezlilerin bir parçası olun.
Bir şirketin dahili ağının yakın zamanda ihlal edilmesini araştırırken, AhnLab'dan siber güvenlik araştırmacıları, şirket ağına girmek için kullanılan VPN hesabının uzaktan çalışan bir çalışanın bilgisayarından sızdırıldığını keşfetti.
Bu bilgisayara, özellikle Google Chrome ve Microsoft Edge gibi Chromium tabanlı web tarayıcılarında yerleşik şifre yöneticilerinden şifreleri çıkarmak için tasarlanmış bir tanesi de dahil olmak üzere çeşitli kötü amaçlı yazılımlar bulaştı.
AhnLab araştırmacılarını uyaran "Tarayıcıların hesap kimlik bilgilerini saklama özelliği çok kullanışlı olsa da, kötü amaçlı yazılım bulaşması durumunda hesap kimlik bilgilerinin sızma riski olduğundan, kullanıcıların bunu kullanmaktan kaçınmaları önerilir."