Şifre ve parolanız güvenli mi?

Günümüz dijital dünyasında kullanıcı adı ve şifreler, kişisel verilerimizin korunmasında ve çevrimiçi hesaplarımızın güvenliğinde en önemli unsurlardan biridir. Genel olarak online bankacılık işlemleri için, e-devlet veya online alışveriş sitelerine girerken hepimiz bir kullanıcı adı ve şifreyi mutlaka kullanıyoruz. Ancak, pek çok kişi hala zayıf şifreler ve kullanıcı adları kullanmakta ve bu da siber suçlular (hackerlar) için büyük bir fırsat yaratmaktadır.

Güçlü şifre ve kullanıcı adının önemini, iki aşamalı kimlik doğrulama sistemlerinin faydalarını, şifre kırma yöntemlerini ve bu yöntemlere karşı alınabilecek önlemleri gelin beraber daha yakından inceleyelim.

GÜÇLÜ ŞİFRE NEDİR?

Güçlü bir şifre, tahmin edilmesi zor olan ve çeşitli karakter türlerini içeren bir şifredir. Büyük harfler, küçük harfler, rakamlar ve özel karakterlerin bir kombinasyonu, şifrenizin güvenliğini artırır. Örneğin, "Password123" yerine "P@ssw0rd!23" kullanmak, şifreyi kırmayı oldukça zorlaştırır. Şifrenizin uzunluğu da önemlidir; genellikle en az 12 karakterden oluşan bir şifre, daha kısa şifrelere göre çok daha güvenlidir.

ŞİFRE KIRILMA SÜRELERİ

Şifrelerin kırılma süresi, şifrenin uzunluğuna ve karmaşıklığına bağlıdır. Örneğin:

• Sekiz karakterli, sadece küçük harflerden oluşan bir şifre: Dakikalar içinde kırılabilir.
• En az bir büyük harf ve bir küçük harf içeren sekiz karakterli şifre: Kırılması aylar sürebilir.
• On iki karakterli, karmaşık bir şifre: Yıllar hatta on yıllar sürebilir.

Güçlü bir şifre, hem uzun hem de karmaşık olmalıdır. Bu, şifrenizin kırılmasını neredeyse imkansız hale getirir.

Şifre kırılma süreleri ile ilgili 2024 yılında yapılan bir araştırma sonucu oluşan detaylı tabloyu aşağıda görebilirsiniz. Mor ve kırmızı alanlar en riskli kombinasyonları göstermektedir. Siz de bu listeye bakarak en az turuncu alanda kalmak kaydıyla şifrenizi oluşturabilirsiniz.

KULLANICI ADI NEDEN BU KADAR ÖNEMLİ?

Şifreler kadar kullanıcı adları da önemlidir. Sıradan kullanıcı adları (örneğin, "admin" veya "user") saldırganlar tarafından kolayca tahmin edilebilir. Kullanıcı adı ve şifre kombinasyonunuzun benzersiz ve karmaşık olması, güvenliğinizi artırır. Unutulmamalıdır ki şifreler kadar kullanıcı adları da login aşamasının bir elemanıdır.

Ek olarak, eğer kullanıcı adınızı e-posta adresiniz veya adınız, soyadınız gibi kolayca erişilebilir bir şekilde belirlerseniz, kötü niyetli kişilerin hedefine daha kolay girmiş olursunuz. Bu nedenle, kullanıcı adınızın da şifreniz gibi güçlü ve tahmin edilmesi zor olması önemlidir.

İKİ AŞAMALI KİMLİK DOĞRULAMA NEDİR?

İki aşamalı kimlik doğrulama, kullanıcı adı ve şifrenize ek olarak ikinci bir güvenlik katmanı ekler. Genellikle cep telefonuna gönderilen bir kod veya bir kimlik doğrulama uygulaması kullanılarak sağlanır. Şifreniz ele geçirilse bile, ikinci aşama olmadan hesabınıza erişim sağlanamaz. Bu yöntem, çevrimiçi hesaplarınızı korumanın en etkili yollarından biridir.

ŞİFRENİZİN ÇALINDIĞINI NASIL ANLARSINIZ?

Hesabınızda olağandışı etkinlikler fark ediyorsanız, hesabınızdaki para bilginiz dışında azaldıysa veya şifreniz aniden çalışmıyorsa, şifrenizin çalınmış olabileceğini düşünebilirsiniz. Şifrenizin çalındığını düşünüyorsanız, hemen şifrenizi değiştirin ve hiç vakit kaybetmeden ilgili kurum ile irtibata geçin!

ŞİFRE KIRMA YÖNTEMLERİ

Siber saldırganlar, şifreleri kırmak için çeşitli yöntemler kullanır. Bazı yaygın şifre kırma yöntemleri aşağıdaki gibidir:

Keylogger Yöntemi: Klavyenizdeki tuş vuruşlarını kaydederek şifrelerinizi çalmaya çalışır.

Sosyal Mühendislik Yöntemi: Kullanıcıları kandırarak şifrelerini ifşa etmelerini sağlar.

Dictionary (Sözlük) Yöntemi: Yaygın şifreleri deneyerek hesaplara erişmeye çalışır.

Brute-Force (Kaba Kuvvet) Yöntemi: Olası tüm şifre kombinasyonlarını dener.

Credential Stuffing (Kimlik Bilgilerini Doldurma) Yöntemi: Farklı hesaplarda aynı şifreleri kullanan kişilerin hesaplarına erişmeye çalışılır.

Kötü niyetli kişiler, kullanıcı adı ve şifre çalmak için bazı sofistike programlar kullanmaktadırlar. İşin ilginç yanı, bu programlar herkes tarafından kullanılabilir ve ücretsizdir. Burada dikkat çekmek istediğim konu, şifre ve kullanıcı adlarımızı ele geçirmek isteyen kötü niyetli kişilerin bu programları kolayca kullanabilmesidir. Aşağıda, bu amaç için kötü niyetli kişiler tarafından yaygın olarak kullanılan programlardan John the Ripper ve Burp Suite ile ilgili kısa bilgi vereceğim.

JOHN THE RİPPER

Kali Linux, siber güvenlik uzmanları için vazgeçilmez bir işletim sistemidir ve içinde bulunan "John the Ripper" programı, şifre kırma işlemleri için yaygın olarak kullanılır. John the Ripper, zayıf şifreleri tespit etmek amacıyla geliştirilmiş açık kaynaklı bir şifre kırma aracıdır. Zamanla, farklı şifreleme algoritmalarını destekleyecek şekilde genişletilmiştir. John the Ripper, pek çok hash türünü destekler ve kaba kuvvet, sözlük ve hibrit saldırılar gibi çeşitli saldırı yöntemlerini kullanarak yüksek performans sağlamaktadır.

John the Ripper’ın çalışma süreci ise şu şekilde işler: Öncelikle, kırılmak istenen şifrelerin hash değerlerini içeren bir dosya hazırlanır. Daha sonra, komut satırında john hash_dosyasi.txt komutu kullanılarak hash dosyası kırılmaya başlanır. Sonuçlar, kırılan şifrelerin ekrana yazdırılması veya bir dosyaya kaydedilmesi şeklinde görüntülenir.

BURP SUİTE

Burp Suite, web uygulamalarının güvenlik açıklarını test etmek için kullanılan kapsamlı bir araç setidir. İçindeki çeşitli araçlar sayesinde web trafiğini analiz eder, güvenlik açıklarını tespit eder ve bu açıkları sömürmek için kullanılabilir.

Burp Suite’in özellikleri arasında, web trafiğini yakalayıp analiz eden proxy, web uygulamalarını tarayarak güvenlik açıklarını tespit eden scanner, otomatik saldırılar düzenleyerek açıkları sömüren intruder ve aynı isteği tekrar göndererek yanıtları analiz eden repeater bulunur.

Burp Suite, şifre ve kullanıcı adı bilgilerini çalmak için de etkili bir araçtır. Bu işlem temel olarak şu adımları içerir: Öncelikle, Burp Suite’in proxy özelliği ile web trafiği yakalanabilir ve analiz edilebilir. Daha sonra, intruder aracı kullanılarak kimlik doğrulama sayfasına otomatik saldırılar düzenlenebilir ve doğru şifre ile kullanıcı adı kombinasyonları bulunabilir. Son olarak, yakalanan trafik analiz edilerek şifre ve kullanıcı adı bilgileri elde edilebilir.

SONUÇ OLARAK

Dijital dünyada güvenliğinizi sağlamak, her geçen gün daha da önemli hale geliyor. Güçlü ve karmaşık şifreler kullanmak, iki aşamalı kimlik doğrulama sistemlerini etkinleştirmek ve güvenlik açıklarını sürekli olarak izlemek, güvenliğinizin temel taşlarıdır. Ancak bu önlemler, teknolojik tehditler karşısında tek başına yeterli olmayabilir. John the Ripper ve Burp Suite gibi araçlar, siber tehditlerin nasıl işlediğini anlamamızı sağlayarak bu tehditlere karşı daha etkili bir savunma oluşturmanıza yardımcı olabilir.

Yazının başlarındaki şifre zorluk seviyelerine göre kırılma sürelerini inceleyerek şifrenizin güvenlik seviyesini belirleyebilirsiniz. Şifrenizin yanı sıra kullanıcı adınızın da kolay tahmin edilebilir olmaması çok önemlidir. Login aşamanıza bir de ek olarak ikinci bir faktör eklediğiniz zaman güvenli tarafta olduğunuzu kabul edebilirsiniz.

Ek olarak daha önceden belirlemiş olduğunuz şifrenizi belirli periyodlar ile değiştirmeyi de ihmal etmemelisiniz.

Sonuç olarak, dijital dünyada güvenliğinizi sağlamak sadece kişisel sorumluluğunuzda olan bir şey değil, aynı zamanda sürekli bir süreçtir. Güvenliğiniz için gerekli önlemleri alarak ve güvenlik araçlarını etkin bir şekilde kullanarak, dijital ortamda daha sağlıklı bir deneyim yaşayabilirsiniz. Unutmayın, siber güvenlik konusunda attığınız her adım, dijital dünyada daha güvenli bir geleceğe doğru önemli bir adımdır.

Güvenli ve korkusuz bir dijital yaşam sürmeniz dileklerimle! 

*Araştırma görevlisi/ Teksas Üniversitesi, San Antonio, Bilgi Teknolojileri ve Siber Güvenlik Bölümü 

Kaynakça

1. Are Your Passwords in the Green? - May 2023, https://www.hivesystems.com/blog/are-your-passwords-in-the-green?utm_source=password-form (21/07/2024)