Bilişim Siber-Güvenlik

Güçlü parola nasıl oluşturulur? Dikkat edilmesi gerekenler

Fotoğraf: Dan Nelson

Güçlü bir parola, bir kişinin veya programın keşfetmesi zor olacak şekilde tasarlanmış paroladır. Güvenli bir parolanın amacı yalnızca yetkili kullanıcıların kaynaklara erişmesini sağlamaktır. Tahmin edilmesi kolay bir parola, güvenlik riski oluşturur. Güçlü bir parolanın temel bileşenlerinin başında uzunluk ve karakter tipleri gelir. Güçlü parola oluştururken dikkat edilmesi gereken unsurları derledik:

Kaçınmanız gerekenler

  • Önceki parolanıza benzer bir parola seçmek
  • Ad ve soyadları, kullanıcı adları, gerçek adları veya şirket adlarını içeren parolalar
  • Tersten yazılmış kelimeler
  • Kalıplaşmış karakter dizileri (qwerty, abcdef, 123456 vb.)
  • “Parola” benzeri kelimeler
  • Parolaları fiziksel olarak saklamak

Tavsiye edilenler

  • Parolayı uzatmak için bir bölümünde örneğin sevdiğiniz bir kitaptan bir cümle veya bir şiir dizesi gibi kolay hatırlatabileceğiniz bir ifadeye yer verebilirsiniz.
  • Düzenli aralıklarla şifrenizi değiştirmelisiniz.
  • Klavyeye bakmadan kolayca yazabileceğiniz şifreleri aklınızda tutmalısınız.
  • İki faktörlü doğrulama kullanmayı ihmal etmeyin.

Güçlü ve zayıf parola örnekleri

Zayıf parola Güçlü parola
David5 D@v1d5.
susanlovesbrad Su5@nL0ve58r@d
Paris1 P@r1$.
ihatemondays IIH@t3M0nd@y5!
fordmustand .F0rd_Must@ng.

Parola Matrisi

Alternatif yöntemlerden biri de kendi oluşturacağınız bir parola matrisleri tablosudur. Böylelikle sadece sizin anlayabileceğiniz matrisler ile korsanlara karşı olarak önlem alabilirsiniz. Bu matris tablosuna bir örnek şöyle:

A: XpL H: U Ö: V Y: 234GM
B: mx I: Le P: kdOR Z: dgd)+
C: kRG İ: CKu R:GDw Q: sdfg35
Ç: si J: KLGFre S: ^gdfgsd’ X: blhsLFK
D: Ft K: QWsb Ş: şljk12 1: $#£
E: ghv L: dgfs23 T: G 2: %+
F: 56 M: EHoy U: KL’4f 3: ^+^!
G: 34 N: sdDS Ü: ASQW&/ 4:)&%
Ğ: 21 O: fgh V: hdgsdAOL 5: ?*

Bu şifreleme matrisini kullandığımızda, örneğin “Sariye2021” şeklindeki güçsüz bir parola, şöyle güçlü bir parolaya dönüşür: “^gdfgsdXpL’GDwCKu234GMghv%+%+$#£

İki faktörlü doğrulama

Tüm bunları göz önünde bulundurup ayrıca iki faktörlü doğrulama ya da kısaca “2FA” yöntemini kullanırsanız oldukça güçlü bir parolanız olur.

İki faktörlü doğrulamanın yöntemleri ise şöyle:

SMS kullanımı

2FA yönteminde çoğu hizmet SMS seçeneğini kullanmanıza izin verir. Giriş yaptığınızda, mobil cihazınıza kısa bir onay kodu alacaksınız. Giriş sırasında kodu da şifreniz ile girmeniz yeterli olacaktır.

Metin mesajları, 2FA kodlarına erişmenin en sağlam yoludur. Ancak yalnızca telefon ağı kadar güvenilirdir. Örneğin ağ erişiminizi kaybederseniz veya ülke dışına seyahat ederseniz metin mesajlarını alamayabilirsiniz.

Çoğu kişi için SMS tabanlı 2FA, tek başına bir parola kullanmaktan çok daha iyidir. Örneğin bir korsan, ABD merkezli telekom firması Verizon’u SMS alımından uzak bir cihazdaki yeni bir SIM karta yönlendirmeye ikna ederek önde gelen bir Black Lives Matter aktivisti olan Deray McKesson’un Twitter ve e-posta hesaplarına girmeye çalışırken SMS ile olan 2FA nedeniyle başarısız oldu.

Elbette bu kulağa ürkütücü geliyor ama asıl önemlisi şu: Korsan, sadece bir parola ile sisteme girmekten çok daha fazla çaba sarf etmek zorunda kaldı. Bu yüzden SMS ile 2FA oldukça kullanışlı ve güvenilirdir.

İkinci yol: Kimlik doğrulama uygulamaları

Bazı hizmetler, bir mobil uygulamadan geçici oturum açma kodunuzu almanızı sağlar. Google Authenticator, Authy, Duo Mobile ve diğerleri gibi birçok seçenek arasından seçim yapabilirsiniz.

Bazı web hizmetleri, aynı hesaba birden fazla kimlik doğrulama uygulaması eklemenize izin verir. Bu, birden fazla kişinin erişmesi gerektiğinde oturum açma kodlarını almaya yardımcı olur. Kimlik doğrulama uygulamaları, bulunduğu cihazınıza erişiminiz olmadığında (örneğin uluslararası seyahat ederken) çalıştıkları için de harikadır.

Ancak giriş bilgilerinizi çalmak için sahte bir web sitesine parola girilmesi gibi, sahte bir web sitesine de kimlik doğrulama kodları girilebilir. Bunun için daha da iyi bir yol izleyebiliriz.

En iyi seçenek: Güvenlik anahtarları

Şu anda güvenlik anahtarları, 2FA’yı kullanmanın en güvenli ve verimli yollarından biri. Güvenlik anahtarı, hesabınızda kimlik doğrulaması yapmak için kullanabileceğiniz fiziksel bir USB cihazıdır. Dünyadaki en popüler seçeneklerden biri olan YubiKey’in fiyatı 25 dolardan başlıyor.

2FA kimlik bilgilerinizi girmenizi istediğinde, bir kod yazmak yerine güvenlik anahtarınızı girmeniz ve oturum açma sırasında isteğe bağlı olarak tek bir dokunuşunuz yeterlidir.

Güvenlik anahtarları, kimlik avı saldırılarına karşı oldukça dirençlidir ve bu da onları mevcut olan en iyi seçeneklerden biri hâline getirir. Kod tabanlı 2FA’nın aksine, kimlik avı sitelerinin güvenlik anahtarlarından gelen bilgileri ele geçirmenin bir yolu yoktur.

YubiKey ile ilgili sorun, bir tanesini denediğiniz anda onları her yerde kullanmak istemenizdir ama maalesef kullanamazsınız. Güvenlik anahtarları henüz kimlik doğrulama uygulamaları kadar iyi desteklenmiyor. Ancak standart olarak büyük web sitelerinden ilgi görüyorlar. Google, Facebook, Dropbox gibi hizmetlere giriş yapmak için kullanılabilirler. Hüvenlik anahtarları çoğu büyük tarayıcı tarafından da destekleniyor..

Özetle, sizin için en uygun ve pratik olan 2FA yönetimini kullanmalısınız. SMS tabanlı 2FA, önemli bir başlangıçtır. Ancak mümkünse kimlik doğrulama uygulamalarını veya güvenlik anahtarlarını kullanmayı da bir düşünün.

Parola saklama uygulamaları

Parola saklama uygulamaları, adı üzerinde parola saklamanın yanı sıra güçlü parola oluşturmanıza da yardımcı olur. En bilinen uygulamalar şöyle:

Bitwarden

Bireylerin, ekiplerin ve iş organizasyonlarının hassas verileri depolaması, paylaşması ve senkronize etmesi için en kolay ve en güvenli yolları sağlayan bir parola yöneticisi. Ücretsiz sürümünü kullanabileceğiniz gibi ücretli sürümleri ile ek özellikler sağlıyor.

Güvenli bulut senkronizasyon özelliği ile verilerinize istediğiniz yerden, istediğiniz cihazdan erişmenizi sağlar. Parola kasanız masaüstü, dizüstü bilgisayar, tablet ve telefon cihazlarında kullanım için uygun şekilde optimize edilmiştir. Tüm verileriniz, cihazınızdan ayrılmadan önce tamamen şifrelenmiş olduğundan, verilerinize yalnızca siz erişebilirsiniz. Verileriniz uçtan uca AES-256 bit şifrelemenin yanı sıra PBKDF2 SHA-256 ile mühürlenir. Yani siz uygulamayı kapattığınız zaman parolalara erişim de tamamen kapanmış olur.

Bitwarden’in açık kaynak kodlu olması, güç veren kodun herkesin incelemesi, kusurları araması ve düzeltmesi için serbestçe kullanılabileceği anlamına gelir. Diğer yandan kendi bulutunuzda çalıştırmayı tercih edebilir ve kendi sunucularınızda verileri güvenli bir şekilde saklayabilirsiniz.

BitWarden’ın yarı otomatik şifre doldurma aracı da oldukça kullanışlı. Kimlik bilgilerini kaydettiğiniz bir siteyi ziyaret ederseniz, Bitward’ın tarayıcı simgesi o siteden kaydedilen kimlik bilgilerini tutar. Simgeyi tıkladığınızda hangi hesabı kullanmak istediğinizi sorar ve otomatik olarak giriş formunu doldurur.

1Password

Apple merkezli bir şifre çözümü olarak hayata başladı, ancak o zamandan bu yana ürünlerini iOS, Android, Windows ve ChromeOS’u içerecek şekilde genişletti. Her yerde çalışacak bir komut satırı aracı bile var. Web tarayıcılar için de eklentiler yapılmış durumdalar. Bu da anında yeni şifreler oluşturmayı ve düzenlemeyi kolaylaştırıyor.

1Password, şifreleri yönetmeye ek olarak,  bir kimlik doğrulama uygulaması olarak da kullanılabiliyor. Daha fazla güvenlik için kullandığı şifreleme anahtarında gizli bir anahtar oluşturuyor, yani hiç kimse şifrelerinizi bu anahtar olmadan çözemez.

Bunlar dışında LastPass başta olmak üzere daha birçok popüler parola yöneticisi var. PC Mag gibi dergilerle ve CNET gibi teknoloji sitelerinin incelemelerinde üst sıralarda yer alan diğer parola yöneticilerinden bazıları şöyle: Dashlane, KeePassXC, Keeper, LogMeOnce, Password Boss, NordPass, McAfee True Key, Zoho Vault

İLGİNİZİ ÇEKEBİLİR – DİJİTAL GÜVENLİK İLE İLGİLİ YANLIŞ BİLDİĞİNİZ HER ŞEY

Sariye Nur Dönmez

Sariye Nur Dönmez

2019 yılında Üsküdar Üniversitesi Yeni Medya ve Gazetecilik bölümünden mezun oldu. Aydın Doğan Genç İletişimciler Yarışması'nda “Kuşun Gözünden Bakınca Hepimiz Engelliyiz” röportajı ile ödüle layık görüldü. Sağlık haberciliği üzerine haber röportaj formatındaki blog yayınlarına devam ederken bir yandan da birçok mecra için farklı platformlarda içerik üretiyor.

E-Posta Aboneliği