OUCH! | Ekim 2013 BU SAYIDA... • Problem • Çözüm • Şifre Yöneticileri Nasıl Çalışır? • Birini Seçmek Şifre Yöneticileri Problem Çoğunlukla kişilerin kendi kimlik ve bilgilerini korumak Konuk Editör için öğrendikleri ilk şey güçlü parolalar kullanmaktır. George Bakos 2001’den beri SANS Enstitüsünde Güçlü bir parola sadece siber suçluların tahmin sertifikalı eğitmen ve Northrop Grumman’ın etmelerini zorlaştırmak için değil aynı zamanda istihbarat ve tepki teknik yönetcisidir. George bu otomatik bilgisayar korsan araçlarına da dayanıklı Kasım’da Güvenlik502, Detaylı Çevre Güvenliği olması için gereklidir. Yaygın bir temel kural: şifreniz dersini vermek için Londra’da olacaktır. ne kadar uzun ve karmaşıksa o kadar güçlü ve güvenlidir. Buradaki problem güçlü parolaların zor hatırlanabilmesidir. Bu yüzden, insanlar genellikle bir tane güçlü şifre oluşturup bunu ya da bu şifrenin hafif değiştirilmiş halini tüm çevrim-içi hesaplarında, uygulamarında ve cihazlarında kullanırlar. Daha da tehlikelisi, çoğu insanın aynı şifreyi hem kişisel hem de işteki hesaplarında kullanmalarıdır. Eğer siz de şifresini birçok hesapta yeniden kullanan kişiler arasındaysanız, büyük bir risk altındasınız. Siber suçlular sizin şifrenize ulaştığında, siber suçluların bu şifre ile kullandığınız diğer tüm hesaplara da ulaşması imkan dahilindedir. En nihayetinde size gereken, her hesap için farklı ve güçlü şifre oluşturmaktır. Bu sayede eğer biri sizin herhangibir hesabınızın şifresine erişse bile diğer hesaplarınız güvence altında olacaktır. Ne yazık ki çok fazla cihaza ve hesaba sahip olduğumuzdan sayısı sürekli artan şifrelerimizi hatırlamak neredeyse imkansız hale gelmektedir. Çözüm Şifreleri bir kağıda yazmak ya da daha kötüsü kağıda yazıp bilgisayar monitörlerine yapıştırmak (bir kez kapalı binaların camlarından bakıp moniterlerinin etketlerle dolu olup olmadığına bakın) insanların sıklıkla kullandıkları bir çözümdür. Başka kişilerin şifrelerinizi bulup okuyabileceklerinden bu çözüm yetersiz bir güvenliğe sahiptir, özellikle seyahat ediyorsanız ve şifrelerini kaybettiyseniz ya da çaldırdıysanız. Bunun yerine istediğimiz tüm şifrelerinizi güvenli bir şekilde bir yerde saklayabileceğiniz bir çözümdür. Daha da iyisi sizin yerinize tüm süreci basitleştiren otomatik bir şekilde şifrelerinizi okuyup web sayfalarına ve uygulamalara giriş yapan bir bilgisayar programı olacaktır. En iyisi ise size güçlü şifreler oluşturan ve belki de sizin kredi kartı bilgileriniz gibi diğer gizli bilgilerinizi de saklayabilecek bir programdır. Şanslıyız ki, şifre yöneticileri olarak adlandırılan (bazen şifre kutusu da denilen) böyle bir çözüm mevcuttur. OUCH! | Ekim 2013 Şifre Yöneticileri Şifre Yöneticileri Nasıl Çalışır? Bir şifre yöneticisi sanal bir kasa gibi davranır. İlk önce bu sanal kasayı kendi bilgisayarınıza ya da mobil cihazınıza yüklersiniz. Daha sonra bu program sizin tüm kullanıcı adlarınızı ve şifrelerinizi alarak bu bilgileri şifreler, sizin bilgisayarınızda ya da bulutta bulunan bir vertabanında saklar. Bu veritabanı daha sonra sizin şifre yöneticisi için oluşturduğunuz özel bir şifre ile korunur. Böylece sizin şifre yöneticinize ait olan sadece bir şifreyi hatırlamanız yeterlidir. Örneğin, ne zaman çevrimiçi bankaya giriş yapmak ya da e-posta adresinize girmek isterseniz, sadece şifre yöneticinizin şifresini kodlamanız yeterli olacaktır. Bu size, binlerce hesabınız olsa da, hesaplara ait şifreleri hatırlamadan ve hatta görmeden her hesabınız için özel bir şifreye sahip olmanıza olanak verir. Ancak şifre yöneticileri hassas bilgilerinizi sakladığından yönetici şifrenizi unutmayacağınızdan ve şifrenizin çok güçlü olduğundan emin olun. Şİfre Yöneticileri birbirinden farklı hesaplarınıza ait olan farklı şifrelenizin hepsini güvenli bir şekilde saklamanızın kolay bir yoludur . Birçok yeni şifre yöneticisi tarayıcınızla bile entegre çalışabilmektedir. Sevdiğiniz bir çevrimiçi mağazası gibi bir web sitesini ziyaret ettiğinizde şifre yöneticisi sizin yerinize otomatik olarak giriş yapacaktır. Eğer bu siteye ait şifrenizi değiştirirseniz şifre yöneticisi de şifrenizi güncelleyecektir. Bazı şifre yöneticileri mobil cihazlarda da çalışabilmektedir ancak bunların çoğu diğer mobil uygulamalarla entegre çalışmaz. Sadece mobil tarayıcınızla entegre olabilir. Birini Seçmek Seçilebilecek birçok bedava, açık kaynak ve ticari şifre yöneticisi bulunmaktadır. Sizin için en iyisini seçmek istediğinizde lütfen aşağıdakileri aklınızda bulundurun. • Sadece iyi bilinen ve güvenilir çözümleri kullanın. Uzun süredir piyasada olmayan ya da az veya hiç bir topluluk desteği olmayan çözümlere dikkat edin. Siber suçlular sahte çözümler tasarlayarak sizin bilgilerinizi çalışmalıdır. • Seçtiğiniz çözüm ne olursa olsun çözümün aktif bir şekilde güncellendiğinden, yamalarının çıkarıldığından ve son sürümü kullandığınızdan emin olun. • Çözüm sizin için kullanımı kolay olmalıdır. Eğer anlaması zor ve karışık bir çözüm bulduysanız, yanlışlar yapmanız daha kolay olacaktır. OUCH! | Ekim 2013 Şifre Yöneticileri • Şifrelerinizi endüstri standardlarını, güçlü bir şifreleme, kullanarak şifrelemelidir. Şahsi ya da bilinmeyen • • • • bir şifreleme çözümünü reklam yapan çözümlere dikkat edin. Kullandığınız tüm bilgisayarlarda çalışamalıdır. Bazı gelişmiş versiyonlar mobil cihazlarda da çalışabilmektedir. Eğer sanal kasanız kullandığınız farklı cihazlar arasında bilgilerinizi senkronize edebiliyorsa, bu sizin için yardımcı bir özelliktir. Ancak, senkronize etmeyi sunuyorsa ilk once bilgileri lokalde şifreledikten sonra merkezi sisteme göndermelidir. Size gelişigüzel şifreler oluşturan ve şifrelerinizin sürelerinin dolum tarihlerini hatırlamanızda yardımcı olan araçlar sunmalıdır. Şeçtiğiniz şifrelerin birbirlerine göre ne kadar güçlü olduklarını belirlemenizde yardımcı olmalıdır. Daha Fazla Bilgi İçin Aylık OUCH! güvenlik farkındalığı bültenine üye olun, OUCH! arşivlerine erişin ve http://www.securingthehuman.org adresini ziyaret ederek SANS güvenlik farkındalığı çözümleri hakkında daha fazla bilgi edinin. Türkçe Çevirisi Selma Süloğlu, ODTÜ Bilgisayar Mühendisliğinde doktora yapmakta olup SOSoft Bilişim Teknolojilerinde biyometrik güvenlik sistemleri üzerinde çalışmaktadır. Sema Yüce, Türkiye’nin önde gelen kurumsal şirketlerinde ve özellikle bilişim, telekomünikasyon, sanayi, perakendecilik gibi sektörlerde; bilgi güvenliği, iş sürekliliği, risk yönetimi, altyapı hizmetleri, yazılım geliştirme ve proje yönetimi alanlarında yönetici ve danışman olarak 15 yılı aşkın süredir görev yapmaktadır. Kaynaklar Şifre Yöneticisi İncelemesi: http://www.pcmag.com/category2/0,2806,2403435,00.asp Şifremi Değiştirmeli miyim ? https://shouldichangemypassword.com/all-sources.php Ortak Güvenlik Şartları: http://www.securingthehuman.org/resources/security-terms SANS Günlük Güvenlik Tiyosu: https://www.sans.org/tip_of_the_day.php OUCH!, SANS Securing The Human Programı tarafından yayınlanır ve Creative Commons BY-NC-ND 3.0 lisansı altında dağıtılır. Bülteni değiştirmediğiniz sürece, bu bülteni dağıtabilir ya da kendi farkındalık programlarınızda kullanabilirsiniz. Çeviri ya da daha fazla bilgi için, lütfen [email protected] e-posta adresini kullanarak iletişime geçiniz. Yayın Kurulu : Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis