Parola Güvenliği

Parola güvenliği internet ve mobil cihazların yaygın kullanılması ile birlikte hayatımıza etki eden ve güvenlik tedbirleri arasında birinci sırada yer alan en önemli güvenlik faktörlerinden birisidir. Bir çok işlemi yapmak için her gün defalarca şifre girmek zorunda kaldığımız teknoloji çağında şifrelerimizi en güvenli şekilde seçmemiz gerekmektedir. Oluşturacağımız güçlü şifreler sayesinde kişisel ve kurumsal verilerimize erişimi ve güvenliği 1 adım öteye taşıyabiliriz.

Güçlü Şifre Nasıl Seçilmelidir ?

Tahmin edilmesi kolay olmayan ya da deneme yanılma yolu ile ele geçirilmesi oldukça zor olan şifreler tercih edilmeli.Kişisel bilgiler ,sıklıkla kullanılan kelimeler kullanılmamalı ve oluşturulan şifre belirli aralıklarla güncellenmelidir.Şifre oluşturan kullanıcının kendine özgü bir şifreleme yöntemi ve algoritması olması şifre çözme atakları yapan saldırganın bıkıp vazgeçmesinde büyük rol oynamaktadır.

Günümüzde şifre çözme atakları özel programlar ile oluşturulan kelime listeleri ile deneme yanılma yöntemleri ile gerçekleştirilmekte ve bu işlemler eskiye nazaran daha fazla vakit almakla beraber saldıganın maliyetinide artırmaktadır.

Parola Güvenliği için Güçlü Şifre Nasıl Seçilmelidir ?

Kurumlarda parola güvenliğini sağlamak amacı ile parola oluşturma ve değiştirme politikaları geliştirilir. Bu politikalara uygun hareket etmek tüm kurum çalışanlarının sorumluluğudur.

Güçlü bir şifre ;

• En az 12 karakterden oluşur.
• Harflerin yanı sıra, rakam ve ?, @, !, #, %, +, -, *, %, ¿ gibi özel karakterler içerir.
• Büyük, küçük harfler ve simgeler bir arada kullanılır.
• Mümkün olduğunca Türkçe karakter kullanılmamalıdır.
• Şifre oluşturma işlemi sırasında ‘ , =, « gibi özel karakterler ve union,select , insert , update ve delete gibi kelimeler kullanılmamalıdır.Bu tür özel karakterler veritabanı saldırılarında etkin olarak kullanıldığı için sistem sizi şifre oluşturan bir kullanıcı olarak tanımlamak yerine saldırgan olarak tanımlayıp sistemden engelleyebilir.

Güçlü şifre (örn) : !@Cyb3r14/53–.. / P4ssW–¿4827@ / deCf3428d0T6*&
Zayıf Şifre (örn) : 123456 / isim147258 / password / dogumtarihi / telefon no

Şifreler Nasıl Ele Geçirilir ?

Siber güvenlik seviyesi test edilmeden ve gelişi güzel oluşturulan şifreler tahmin etmesi ya da ele geçirilmesi en kolay şifrelerdir.Şifre çözme teknikleri istisnai bir durum olmadıkça hiç bir zaman elle yapılmamakta , bu işlemler için programlar ve özel oluşturulmuş kelime listeleri kullanılmaktadır.

Cyberdefense olarak oluşturulan şifrenin güvenlik seviyesi test edildiğinde kırılma süresi karakter uzunluğunun etki etmesi nedeni ile 4-6 saat arasında değişirken Cyberd3fense.* olarak oluşturulan şifrenin kırılma süresi iyi bir sistem,yazılım ve yöntemle 2-9 yıl arasında değişmektedir.

Şifreler Çözme Teknikleri ?

• Sözlük Saldırısı (Dictionary Attack) : Çok kullanılan kelimelerden oluşan bir sözlükten çeşitli kombinasyonlarla şifre tahmin yöntemidir. Korunmak için basit kelimelerden oluşan şifreler kullanmamak gerekir. Sistemin bizi koruması için belli bir hatalı deneme sonrasında girişin kilitlenmesiyle olur.
• Kaba Kuvvet Saldırılar (Brute Force) : Bu yöntem sözlük saldırısına benzer. Burada saldıran sözlüklerle yetinmeden belli mantık çerçevesinde tüm ihtimalleri dener. Örneğin 1’den 9999999999‘a A’dan Z’ye kadar tüm kombinasyonları şifre olarak dener. Burada da korunma yöntemi belli deneme sonrası girişin kitlenmesidir. Şifre sahibi olarak karmaşık şifre çözüm olacaktır.
• Tahmin Etmek (Guess) : Şifre konusuna özen göstermeyen kişiler duygularıyla davranarak şifre belirlerler. Çok yakın bir arkadaşın bunu tahmin etmesi hiç de zor olmaz. Sevdiği hayvanın adından çocuğunun adına, doğum tarihine kadar veya sevdiği müzik grubunun adına kadar kolayca tahmin edilebilir şifreler insanın başını derde sokar.
• Sosyal Mühendislik (Social Engineering)
• Zararlı Yazılımlar (Malware)
• Oltalama (Phishing)
• Sinsice Bilgi Çalma (Shoulder Surfing)

Parola Güvenliği ve Kimlik Doğrulama Yöntemleri

• 2-Adımlı Doğrulama (2-Factor Authentication) : Günümüzde kullanılan iki adımlı kimlik doğrulama sistemleri, tek seferlik kodlar (one-time passcodes) ve PKI sertifika tabanlı olmak üzere iki sistem üzerinden yürür. Bu yöntem parola güvenliği konusunda önemli bir rol oynamaktadır.
• Çok Yönlü Doğrulama (MFA-Multi Factor Authentication) : Kullanıcıların yalnızca bir paroladan daha fazla bilgi girmesini gerektiren, hesapta çok adımlı oturum açma sürecidir. Örneğin, kullanıcılardan parolanın yanı sıra e-posta adreslerine gönderilen bir kodu girmeleri, gizli bir soruyu yanıtlamaları ya da parmak izlerini taratmaları istenebilir. İkinci bir doğrulama yöntemi, bir sistem parolası ele geçirildiği takdirde yetkisiz hesap erişimini önlemeye yardımcı olabilir.
• Tek Seferlik Parolalar (one-time password) : Bir çeşit simetrik doğrulama olan tek seferlik token kodları, kullanıcı tarafında bir mobil uygulamadan üretildikten ya da SMS yoluyla alındıktan sonra giriş yaparken kimlik doğrulama sunucusunda üretilen değerle matematiksel olarak eşleştikten sonra erişim yetkisi verilmesine dayanan bir iki adımlı kimlik doğrulama mekanizmasıdır.
• PKI (Public Key Infrastructure) Authentication :  Asimetrik doğrulama olarak bilinen PKI doğrulama, birbirinin benzeri olmayan şifreleme anahtarlarına (açık anahtar ve özel anahtar) dayanır. PKI sertifika tabanlı kimlik doğrulama mekanizmalarından akıllı kartlarda veya USB token’lar (donanım tabanlı) olarak bilinen harici flash disklerde kullanıcının özel gizli anahtarı (secret private key) gömülüdür. Kullanıcı bir sisteme doğrulama yaparken sistem onu bir “challenge” ile karşılar. Özel anahtar ile imzalanan “challenge” ile kullanıcının açık anahtarı matematiksel olarak uyuşur ve birbirini tamamlarsa erişim sağlanmış olur.

Parola güvenliği aşamasında en önemli konulardan bir tanesi de tüm hesaplarda aynı şifreyi kullanmaktan kaçınmaktır. Aynı şifreyi kullanmak yerine belirli bir algoritma ya göre farklı parolalar üreterek kullanmaktır.