Onlarca şifreyi akılda tutma derdine son!

LinkedIn ve Yahoo! gibi devleri bile siber saldırılardan büyük hasarlar aldı. Online bir servis saldırıya uğradığı zaman saldırganın kullanıcılara ait parola ve hesapları ele geçirme riski var. Eğer bu sitede kullanılan ve riske giren parola başka sitelerde de kullanılmışsa risk katlanarak artıyor demektir.

İnternette kullandığımız parolalar ikilem oluşturmaya devam ediyor. Tüm online servislerde oturum açmak için parola girmek gerekiyor ve bu parolaların güvenli olabilmesi için karmaşık olması şart. Bununla birlikte, olağanüstü bir hafızaya sahip değilseniz harf, rakam ve özel karakter içeren en az sekiz basamaklı karmaşık parolaları akılda tutmak pek mümkün değil. Bundan ötürü kullanıcıların aynı parolayı birden fazla sitede kullandığını görmek şaşırtıcı gelmemeli.

İşte bu noktada parola yöneticileri devreye giriyor ve sizin adınıza bu bilgileri saklıyorlar. Peki, doğru parola yöneticisini nasıl seçeceksiniz? Uygulamalarda aranması gereken özellikler neler ve bu yaklaşım güvenlik açısından yeterli mi?

Ne kadar güvenli?

Parola yöneticisi kullananların tüm yumurtaları aynı sepete koyduğu yönünde süregelen bir tartışma var. Gerçekten de tüm parola ve kullanıcı adlarınızı aynı yerde toplarsanız, buna erişim hakkı kazanan bir saldırgan, online imparatorluğunuzu komple işgal edebilir. Elbette bu kabul edilemez bir durum. Risk açısından bakarsak, kullanmış olduğunuz tüm servislerde domino etkisi yaratmak için sadece bir servisin ele geçirilmesi yetiyor.
Aslında tek bir parolayı tüm sitelerde kullanmaktan doğacak riskten daha ciddi bir risk değil. Hep aynı parolayı kullanmayı tercih ederseniz, bu sitelerden sadece biri ele geçirilirse sonuç olarak tüm diğer sitelerdeki hesaplarınız tehlike altına girecek. Popüler olan ve güvenliğe önem veren çok sayıda site bile son birkaç yıl içinde çok kez saldırıya uğradı ve parola veritabanları ele geçirildi.

Oysa parola yönetimi alanındaki büyük oyuncular, tek bir istisna dışında saldırı sonucu hiçbir kayba uğramadı. Tek istisna olan 2011’deki LastPass güvenlik açığında bile felaket getiren zarar doğmadı. LastPass sıra dışı trafikten şüphelenince hemen devreye girdi ve herhangi bir veri hırsızlığı olmadan, tüm kullanıcıların ana parolalarını değiştirmesini zorunlu kıldı. Ekstra güvenlik adına, değişikliğin bilinen bir IP adresinden yapılması veya e-posta doğrulaması istendi. Parolaları içeren şifrelenmiş veritabanı indirilmiş olsaydı bile (Kesin olarak bilinmiyor ama büyük ihtimalle indirilmemiş.) ana parola seçilirken uzunluk ve karmaşıklıkla ilgili öneriler dikkate alınmışsa kullanıcıların parola kasaları güvende olacaktı.

Ana parola güvenliği

Parola yöneticilerinin büyük kısmı, güçlü bir koruma için gereken iki özelliği bir araya getiriyor: Rastgele ve karmaşık parola oluşturma becerisi ile sitelere kullanıcı adı ve parolaları otomatik olarak girip oturum açma.
Her parolayı ayrı ayrı hatırlamak zorunda kalmadığınız için parolalarınızın tümü olabildiğince uzun ve karmaşık olabilir, böylece güvenlik seviyesi yükseltilmiş olur. Oturum açma işlemi uygulama tarafından yönlendiriliyorsa parolayı görmenize bile gerek yok.

Uzun, güçlü ve karmaşık ama sizin tarafınızdan bilinmesi gereken tek parola, diğerlerini güvenli biçimde kilitleyen ana paroladır. Bir parola yöneticisi, ana parolanız ne kadar güçlüyse o kadar güçlü olabilir. Bu yüzden ana parolanın iyi seçilmesi gerekiyor. En az 12 karakter uzunluğunda olup büyük ve küçük harfler, rakamlar ve özel karakterler içeren bir parolayı unutmamak kulağa zor gelebilir ama onun da kolay var. Ben 15 karakterden uzun bir ana parola kullanıyor ve bunu üç ayda bir değiştiriyorum ama şu ana kadar unuttuğum olmadı.

İşin püf noktası, tamamen rastgele bir parola belirlemek yerine hatırlanacak bir noktadan yola çıkmak ama insanların tahmin edebileceği veya bilgisayarların kaba kuvvetle bulabileceği parolalardan uzak durmak. Kelimeleri farklı sıralarda birleştirebilir, aralara özel karakterler ekleyebilir, birkaç farklı rakam ekleyip hatırlaması kolay ama kırılması neredeyse imkânsız bir parola elde edebilirsiniz. Örneğin “arabam roket gibi” gibi kolayca hatırlanacak bir ifadenin bazı harfleriyle oynar, plakanızı ekler ve özel karakterler koyarsanız ”?araBAM384Rok@gibi” gibi tahmin edilemez bir sonuç elde edebilirsiniz.

Ana parolayı veritabanına dosyanızın anahtarı gibi düşünürsek, şifreleme (encryption) de dosyayı koruyan ve anahtarın girdiği kilittir. Örneğin LastPass ve 1Password ana parolayı kullanarak verilerinizi bilgisayar üzerinde yerel olarak şifreler. Dolayısıyla buluta gönderilen veriler zaten şifrelenmiş olur ve içerikleri bu şirketler tarafından bile bilinemez.

Benim parola yöneticisinde uyguladığım bir başka tedbir var: Parola yöneticisinde kayıtlı ve kullanıcı adı olarak geçen e-posta adresim tamamen gizli ve benden başka kimse bu e-posta adresinden haberdar değil. Bu da ek bir güvenlik tedbiri olabilir.

Parola yöneticilerinde dört büyükler

LastPass
www.lastpass.com

LastPass, yerel istemci yaklaşımını kullanmıyor; sunucu tabanlı depolama modeliyle her yerden erişim olanağı sunuyor. Ücretsiz sürümde tek tıklamayla oturum açma, otomatik form doldurma, farklı tarayıcılar arasında parola eşitleme, güvenli aktarım, şifreli yedekleme ve geri yükleme, güvenli parola oluşturma ve parola gücü kontrolü gibi temel özellikler var. Yıllık 12 $ fiyatlı Premium sürümde işlevsellik artıyor: iOS, BlackBerry, Android, Windows Phone, Symbian ve hatta webOS mobil platformlarına destek geliyor. Premium üyeler aynı zamanda YubiKey ile çift faktörlü doğrulama ve USB sürücü desteği elde ediyor. 2011 başında yaşanan potansiyel bir güvenlik açığından ötürü LastPass’ın biraz “adı çıktı” ama şirketin verdiği tepki gayet olumluydu ve yeni güvenlik önlemleriyle artık daha da iyi koruma sağlanıyor.

RoboForm
www.roboform.com

1999’dan beri parolaları koruyan RoboForm, bulunabilecek en esnek parola yöneticilerinden biri. Ücretsiz sürümdeki işlevler fazlasıyla sınırlı. En fazla 10 hesap için şifrelenmiş parola depolama ve otomatik veri girme işlevi içeriyor. Tek bilgisayarda sınırsız hesap desteği ve çoklu profil için 30 $ fiyatlı Desktop 7 sürümüne terfi edebilirsiniz. Asıl esneklikse Windows, Mac ve mobil cihazlar için Roboform Everywhere sürümüyle geliyor. Yıllık 10 $ bedelle Everywhere’e üye olduğunuzda mobil cihazlar arasında bulut tabanlı eşitleme yapılabiliyor. Bu üyelik, ilk yıldan sonra yıllık 20 $ olarak devam ediyor. Aynı zamanda çoklu şifreleme profili, güvenli parola oluşturucu, diğer programlardan veritabanı alabilme ve USB bellek desteği de ekleniyor.

KeePass
www.keepass.com

Parola yöneticilerine açık kaynak yaklaşımını getiren KeePass, genelde sistem yöneticilerinin ve deneyimli kullanıcıların ilgisini çekiyor. Gelişmiş düzenleme seçeneklerinin fazlalığı sayesinde işletmelerin kullanımı için de ideal görünüyor. Aynı zamanda normal kullanıcılar için karmaşık olmayan bir yapıya sahip ve tamamen ücretsiz. Tüm veritabanı için geçerli 256 bit AES şifreleme dışında ana parola güvenliği için SHA-256 kullanılıyor. Bekleneceği üzere, parola oluşturma ve hesap bilgilerini otomatik doldurma desteği var. Temelde yerel çalışan bir istemci olduğundan parolalar bilgisayarınızda saklanıyor ama bulut tabanlı eşitleme için Dropbox desteği var. KeePass de LastPass gibi YubiKey ile çift faktörlü doğrulamayı destekliyor, üstelik LastPass’in aksine bu özellik de ücretsiz. Başarılı içeri alma ve dışarı aktarma seçenekleri var. Ayrıca Linux dahil çok sayıda farklı platform destekleniyor. Açık kaynaklı olduğundan, işlevselliği arttıran çok sayıda üçüncü parti eklenti de bulunmakta.

1Password
www.agilebits.com/onepassword

Hayatına Mac uygulaması olarak başlayan 1Password, iOS ve Android ortamlarına geldikten sonra Windows’a da el attı. Yerel ve bulut melezi 1Password, tüm cihazlara özel istemciler sunuyor ve ana veritabanını şifreli olarak depoluyor ama eşitleme için Dropbox’ı temel alıyor. Sadece Android sürümü ücretsiz. Diğerlerinde 30 günlük deneme süresinden sonra ödeme yapmalısınız. Tam esneklik için tüm cihazlarınıza ayrı ayrı istemci satın almanız gerekiyor. Windows ve Mac sürümleri 50 $, iPhone ve iPad uygulaması 33 TL. Başarılı içeri alma seçenekleri, güvenli parola oluşturucu ve oturum açma bilgisinden fazlasını (seri numaraları, notlar, kredi kartı bilgileri vb.) depolayabilme dışında güçlü şifreleme ve platforma özel kullanıcı arabirimleri sunuyor. Pahalı ama oldukça çekici ve sezgisel bir uygulama.

E-posta: ekaplanseren@hurriyet.com.tr
Twitter: https://twitter.com/kaplanseren

#22 Eylül 2013 Bilgisayarınızın tüm ayarlarına hâkim olun!
#16 Eylül 2013 Bilgisayarınızı ve verilerinizi ücretsiz koruyun
#11 Eylül 2013 En iyi 10 yeni nesil oyun
#09 Eylül 2013 Microsoft'un Nokia'yı satın alması neleri değiştirecek?
#25 Ağustos 2013 Google Harita'larla keşfe çıkın

YAZARIN TÜM YAZILARI İÇİN >>