Can Şişman / Milliyet.com.tr – Yaşadığımız dijital çağda çevrimiçi kapalılık en kıymetli bahislerden biri haline geldi. Bunun en büyük nedeni ise son devirde pek çok şirket ve kullanıcının siber korsanların gayesinde olması. Siber korsanlar ferdî bilgilerimizi ele geçirebilmek için her gün yeni formüller buluyor. Bilhassa toplumsal medya ve internet bankacılığı süreçlerinde kullanılan şifreler epey büyük değere sahip. Zira bilgisayar korsanları kolay şifreleri yalnızca birkaç saniye içerisinde kırabiliyor.
Geçtiğimiz günlerde Nordpass şirketi tarafından yayınlanan son araştırma ise şifrelerin güvenliğini bir defa daha gözler önüne serdi. Araştırmaya nazaran, 2021 yılında dünyada en çok kullanılan şifrelerin ‘123456’, ‘123456789’, ‘12345’, ‘qwerty’ ve ‘password’ olduğu ortaya çıktı. Birinci sıradaki ‘123456’yı dünya genelinde tam 103 milyon 170 bin 552 kişi kullanıyor.
Türkiye’de ise birinci 5’te ‘123456’, ‘123456789’, ‘12345’, ‘password’ ve ‘12345678’ şifreleri yer aldı. Dünya genelindeki birinci sırada yer alan ‘123456’ şifresini Türkiye’de tam 1 milyon 461 bin 585 kişi kullanıyor.
ŞİFRELERİ YALNIZCA 1 SANİYE İÇİNDE KIRIYORLAR
Türkiye’de en çok kullanılan şifreler sıralamasında ‘sanane’ yedinci, ‘galatasaray’ 9’uncu, ‘asdasd’ 10’uncu, ‘fenerbahce’ 11’inci, ‘istanbul’ ise 12’nci oldu. Türkiye’deki listede kullanıcıların kendi isimlerini şifre olarak belirlemesi de dikkat çekti. Buna nazaran ‘mustafa’ 13’üncü, ‘mehmet’ 15’inci, ‘zeynep’ ise 18’inci sırada yer aldı. Listeye nazaran bu şifrelerin kırılma müddetleri de dikkat alımlı. Sayılardan oluşan şifreleri kırmak yalnızca 1 saniye sürüyor. ‘Mustafa’ ya da ‘Zeynep’ üzere özel isimler ya da kent isimlerinin kırılması ise yalnızca 2 dakikayı buluyor.
Pekala bu tablo bize neyi anlatıyor? İnançlı bir şifre nasıl olmalı? Türk kullanıcılar şifre belirlerken nelere kesinlikle dikkat etmeli? Mevzuyu WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez ve Marmara Üniversitesi İrtibat Fakültesi Görsel İrtibat Tasarımı Anabilim Kolu Lideri Doç. Dr. Ali Murat Kırık ile konuştuk.
TÜRKLER EN ÇOK BU YANILGIYI YAPIYOR
Nordpass şirketinin belirlediği listede öbür ülkelerin bilakis Türklerin ‘sanane’ üzere akla gelen birinci kelimeyi şifre olarak belirlemesi epeyce dikkat cazip. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, ‘sanane’ üzere rastgele belirlenmiş şifrelerin daha sonra değiştirilmek üzere kullanıldığını lakin kullanıcıların bu şifreleri değiştirmeyi unuttuklarını söylüyor.
Ona nazaran Türklerin öteki ülke vatandaşlarına nazaran kıymetli bir farkı var. Evmez, “Türkler doğum günü ya da evlilik tarihi üzere özel günleri çok fazla kullanıyor. Bu durum, toplumsal mühendislik ile bu şifrelerin çok kolay ele geçirilebileceği manasına geliyor” diyor.
‘BİLE BİLE LADES’
Doç. Dr. Ali Murat Kırık’a nazaran ise listede dikkat çeken en temel nokta seçilen şifrelerin neredeyse hepsinin bir saniyede kırılacak olması. “Klavyedeki harflerin ve sayıların sıralı bir formda yazılması şifrelerin ele geçirilmesine adeta davetiye çıkarmakta” diyen Kırık’a nazaran kolay şifreleri çeşitli şifre çözme araçlarıyla yalnızca birkaç saniye içinde kırmak mümkün.
Başka ülkelere kıyasla Türkiye’de isimlerin ve spor kulüplerinin şifre olarak daha sık tercih edildiğini söyleyen Kırık, “Gerek Türkiye gerekse dünyada şifre güvenliği daima ikinci plana atılıyor” diyor. Yalnızca harf ya da yalnızca sayılarından seçilmiş şifrelerin hiçbir vakit güvenliği olmadığının altını çizen Kırık, “Bu durumu ‘bile bile lades’ olarak tanımlayabiliriz. Hesap güvenliği güçlü şifreler oluşturmakla direkt orantılı” diyor.
‘ÇOK BÜYÜK RİSK BARINDIRIYOR’
Pekala ‘Siber güvenlik konusunda dünya ve Türkiye gereken ehemmiyeti vermiyor’ diyebilir miyiz? Siber güvenlik konusunda geçmişe nazaran daha fazla dikkat edildiğini söyleyen Yusuf Evmez, kullanıcı alışkanlıklarının değişmesinin ise çok daha fazla vakit aldığına dikkat çekiyor. Kolay şifrelerin yalnızca olağan kullanıcılar tarafından değil tıpkı vakitte işini süratlice bitirmek isteyen IT işçileri tarafından da oluşturulduğunu söyleyen Evmez, “Bu durum büyük bir risk barındırıyor. Zira kolay şifrelerin şirket kullanıcı hesaplarında kullanılması şirketlerin siber güvenlik tedbirlerinin hiçe sayılması manasına geliyor” diyor. Evmez, değiştirilmesi unutulan bu şifrelerin istenmeyen sonuçları beraberinde getirdiğine dikkat çekiyor.
Doç. Dr. Ali Murat Kırık da son 10 yılda bilgi ihlalleri ve şifre sızıntılarının birçok şirketi olumsuz istikamette etkilediğine vurgu yapıyor. Türkiye’de siber güvenliği ikinci planda tutulduğunu fakat bu yanlışa düşülmemesi gerektiğini söyleyen Kırık, dijital okur müellif olmanın değerini hatırlatıyor. Kırık, “Çevrimiçi hesaplarınız varsa bilgisayar korsanları muhtemelen en az birinden data sızdırmıştır. Bir de üstüne çoğunlukla birinci akla gelen sayıların ya da sözlerin tercih edilmesi bilgilerin sızdırılmasını, hesapların ele geçirilmesini gitgide kolaylaştırır” diyor.
‘HACK’LENME RİSKİ ÇOK FAZLA’
Hack’lenme olaylarının her yıl daha da arttığı bir dijital çağda kullanıcılar neden ‘kırılması’ bu kadar kolay şifreleri seçiyor olabilir? Yusuf Evmez, bunun birkaç sebebi olacağını söylüyor. Olağan bir insanın hayatı boyunca en az 80 hesaba sahip olduğunu söyleyen Evmez, her hesap için farklı şifre üretmenin sıkıntı olduğunu belirtiyor. “Özellikle şirketlerde bu biçim şifrelerin kullanımı birkaç güvenlik siyaseti ile yasaklanabiliyor” diyen Evmez, şöyle devam ediyor:
“Ancak yöneticiler, güvenlik siyasetlerini hiçe sayarak kolay şifreyi tercih edebiliyorlar. Her ne kadar kolay şifrelerin değiştirilmesi gerektiği kullanıcılara bildirilse de çoğunlukla iş yoğunluğundan dolayı şifreleri değiştirmek unutuluyor ve ortaya olumsuz bir tablo çıkıyor.”
Doç. Dr. Ali Murat Kırık da insanların çoklukla kolay hatırlayacakları şifreleri tercih ettiğini söylüyor. Dijital çağda birçok uygulamanın kullanıldığını ve her uygulamanın da bir şifre gerektirdiğini hatırlatan Kırık, şu kıymetli uyarıyı yapıyor: “Her uygulamada tıpkı şifrenin kullanılması hack’lenme riskini artırıyor.” Bilgisayar korsanlarının en çok rastgele karakter dizilerini kırmakta zorlandığını söyleyen Kırık, sadece akılda kalması için seçilen şifrelerin hesap güvenliğini riske attığının altını çiziyor.
‘O ŞİFRELERİ KIRMAK 10 İLE 100 YIL ORTASI SÜRER’
Dünyada ve Türkiye’de yalnızca sayılardan ya da harflerden oluşan şifreler kullanılıyor. Pekala inançlı bir şifre nasıl olmalı? İnançlı bir şifre belirlemek için en yanlışsız prosedür harf hem de sayıları mı kullanmak? Yusuf Evmez, siber güvenlikte yüzde 100 oranında bir güvenlilikten bahsedilemeyeceğini lakin yeniden de sıkıntı kırılabilecek şifrelerin ‘güvenli şifre’ olarak isimlendirildiğini söylüyor. Kolay şifrelerin yalnızca 1-2 saniyede kırılabildiğini söyleyen Evmez, “Güçlü bir şifre oluşturduğunuzda bunu kırmak şu anki süreç gücüyle 10 ile 100 yıl ortası sürebiliyor” diyor.
Saldırganların işini zorlaştırmak için büyük ve küçük harf, sayı ve özel karakterleri kullanmanın kıymetine dikkat çeken Evmez, şöyle devam ediyor: “Yüzde 100 oranında inançlı bir şifre olmayacağından ötürü mümkün olan her platformda çok faktörlü kimlik doğrulama tahlilleri ile ikinci bir doğrulama kullanmak daha inançlı.”
Doç. Dr. Ali Murat Kırık ise inançlı bir şifrenin uzun olması gerektiği görüşünde. Kırık’a nazaran bir şifrenin inançlı olması için 15 karakterden kısa olmamalı, hatta 15 karakterin de üzerine çıkılmalı. Kırık da tıpkı Evmez üzere büyük ve küçük harf, sayılar ve sembollerin güçlü şifre belirlerken kesinlikle tercih edilmesi gerektiğini söylüyor. Kırık’a nazaran sıralı harfleri ve sıralı sayıları kullanmamak da çok değerli.
OLTALAMA AKINLARINA DİKKAT!
Siber korsanlar yalnızca büyük şirketleri değil ferdî olarak kullanıcıları da maksat alıyor. Pekala internetteki güvenliğimiz için ferdi olarak nelere bilhassa dikkat etmeliyiz? Hangi yanlışları asla yapmamalıyız? Yusuf Evmez, “Şirketinizin büyüklüğü yahut ferdî olarak toplumdaki yerinizin bir ehemmiyeti yoktur” diyor. Kurumları maksat alan siber saldırganlarının yolunun ferdî hesaplardan geçtiğine dikkat çeken Evmez, “Bireysel hesabınızın taarruza uğraması ve datalarınızın ifşa olması bir sonraki evrede bu bilgilerin kullanılarak şirketinize yapılabilecek bir atak için taban hazırlar” diyor.
En çok yapılan siber hücum tipinin oltalama hücumları olduğunu vurgulayan Evmez, mail’lere çok dikkat edilmesi gerektiğini şu sözlerle anlatıyor: “Oltalama atakları e-posta adresinize gelen, gerçek olmayan bir mail içerisindeki ek evrak ya da link ile başlıyor. Şayet gereğince dikkat etmiyorsanız fark etmeden saldırganlar hesabınıza erişim sağlayabilir.”
BU BİLGİLERİ SAKIN PAYLAŞMAYIN!
Posta kutusuna ulaşan her mail’in nitekim kullanıcıları ilgilendirip ilgilendirmediğine çok dikkat edilmesi gerektiğini söyleyen Yusuf Evmez, kullandığımız antivirüs yazılımlarının şimdiki olup olmadığına dikkat edilmesi gerektiğini belirterek şunları ekliyor: “Kurumsal mail adresi ve şifrelerimizi kişisel hesaplarımızda kullanmamalıyız.”
Doç. Dr. Ali Murat Kırık da internet güvenliği için şifre belirlerken isim, doğum günü, kullanıcı ismi ya da e-posta adresi üzere ferdî bilgilerin asla kullanılmaması gerektiğini vurguluyor. Sözlükte bulunabilecek sözleri kullanmaktan kaçınılması gerektiğini söyleyen Kırık, rastgele şifrelerin en güçlü şifreler olduğunun altını çiziyor. Kırık, şunları söylüyor: “Bir tane güçlü şifre oluşturmakta sorun yaşıyorsanız bunun yerine bir şifre oluşturucu kullanabilirsiniz. Rastgele parolaların kolay kalıplardan çok daha güçlü olduğunu unutmamalısınız.”
NASIL BİR ŞİFRE BELİRLEMELİ?
Pekala bir kullanıcının üyelik gerektiren bir sitede belirlediği şifreyi bir öteki platformda kullanmaması siber güvenlik için olumlu ve kâfi bir tahlil mü? Bu kadar çok şifre gerektiren bir çağda kullanıcılar her site için farklı şifre mi belirlemeli? Yoksa inançlı bir şifreyi farklı mecralarda kullanmak uygun bir tahlil yolu mu?
Yusuf Evmez, her bir sitede farklı şifre kullanmanın hayli inançlı gözüktüğünü fakat kullanıcıların sık sık farklı şifreleri unuttuklarını ve böylelikle tekrar tıpkı şifrelerin tercih edilmeye başlandığını söylüyor. Kullanıcı alışkanlığı olarak güçlü bir şifrenin çok faktörlü kimlik doğrulama ile korunarak birden çok platformda kullanıldığını da söyleyen Evmez, “Her iki yol de siber güvenliğe katkı sağlar” diyor.
‘ANAHTARLARI PASPASIN ALTINA BIRAKMAK GİBİ’
Doç. Dr. Ali Murat Kırık ise tıpkı parolayı kullanan bireylerin risk altında olduğunu şu sözlerle ifade ediyor: “Çevrimiçi bankacılık hizmetlerine, e-ticaret sitelerine ve hassas bilgiler gerektiren öbür internet tabanlı hizmetlere kaydolurken birebir parolayı kullanan müşteriler farkında olmadan artan hesap dolandırıcılığına katkıda bulunuyor.”
Birebir parolayı farklı platformlarda kullanmanın bilgisayar korsanlarına kolay erişim sağladığını söyleyen Kırık’a nazaran bu durumun anahtarları paspasın altına bırakmak üzere olduğuna dikkat çekiyor. Sahip olunan her hesap için eşsiz ve güçlü bir şifre kullanılması gerektiğinin altını çizen Kırık, hesaplardan biri ele geçirilse dahi farklı ve güçlü şifre kullanımından dolayı korsanların öbür hesaplarınıza girmesini zorlaştırdığını söylüyor.
Milliyet