Can Şişman / Milliyet.com.tr – Yaşadığımız dijital çağda çevrimiçi saklılık en kıymetli mevzulardan biri haline geldi. Bunun en büyük nedeni ise son periyotta pek çok şirket ve kullanıcının siber korsanların amacında olması. Siber korsanlar ferdî bilgilerimizi ele geçirebilmek için her gün yeni formüller buluyor. Bilhassa toplumsal medya ve internet bankacılığı süreçlerinde kullanılan şifreler hayli büyük değere sahip. Zira bilgisayar korsanları kolay şifreleri yalnızca birkaç saniye içerisinde kırabiliyor.

Geçtiğimiz günlerde Nordpass şirketi tarafından yayınlanan son araştırma ise şifrelerin güvenliğini bir sefer daha gözler önüne serdi. Araştırmaya nazaran, 2021 yılında dünyada en çok kullanılan şifrelerin ‘123456’, ‘123456789’, ‘12345’, ‘qwerty’ ve ‘password’ olduğu ortaya çıktı. Birinci sıradaki ‘123456’yı dünya genelinde tam 103 milyon 170 bin 552 kişi kullanıyor.

Türkiye’de ise birinci 5’te ‘123456’, ‘123456789’, ‘12345’, ‘password’ ve ‘12345678’ şifreleri yer aldı. Dünya genelindeki birinci sırada yer alan ‘123456’ şifresini Türkiye’de tam 1 milyon 461 bin 585 kişi kullanıyor.

ŞİFRELERİ YALNIZCA 1 SANİYE İÇİNDE KIRIYORLAR

Türkiye’de en çok kullanılan şifreler sıralamasında ‘sanane’ yedinci, ‘galatasaray’ 9’uncu, ‘asdasd’ 10’uncu, ‘fenerbahce’ 11’inci, ‘istanbul’ ise 12’nci oldu. Türkiye’deki listede kullanıcıların kendi isimlerini şifre olarak belirlemesi de dikkat çekti. Buna nazaran ‘mustafa’ 13’üncü, ‘mehmet’ 15’inci, ‘zeynep’ ise 18’inci sırada yer aldı. Listeye nazaran bu şifrelerin kırılma müddetleri de dikkat cazip. Sayılardan oluşan şifreleri kırmak yalnızca 1 saniye sürüyor. ‘Mustafa’ ya da ‘Zeynep’ üzere özel isimler ya da kent isimlerinin kırılması ise yalnızca 2 dakikayı buluyor.

Pekala bu tablo bize neyi anlatıyor? İnançlı bir şifre nasıl olmalı? Türk kullanıcılar şifre belirlerken nelere kesinlikle dikkat etmeli? Mevzuyu WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez ve Marmara Üniversitesi İrtibat Fakültesi Görsel Bağlantı Tasarımı Anabilim Kolu Lideri Doç. Dr. Ali Murat Kırık ile konuştuk.

TÜRKLER EN ÇOK BU YANILGIYI YAPIYOR

Nordpass şirketinin belirlediği listede öbür ülkelerin bilakis Türklerin ‘sanane’ üzere akla gelen birinci kelimeyi şifre olarak belirlemesi epey dikkat cazip. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, ‘sanane’ üzere rastgele belirlenmiş şifrelerin daha sonra değiştirilmek üzere kullanıldığını lakin kullanıcıların bu şifreleri değiştirmeyi unuttuklarını söylüyor.

Ona nazaran Türklerin öbür ülke vatandaşlarına nazaran kıymetli bir farkı var. Evmez, “Türkler doğum günü ya da evlilik tarihi üzere özel günleri çok fazla kullanıyor. Bu durum, toplumsal mühendislik ile bu şifrelerin çok kolay ele geçirilebileceği manasına geliyor” diyor.

‘BİLE BİLE LADES’

Doç. Dr. Ali Murat Kırık’a nazaran ise listede dikkat çeken en temel nokta seçilen şifrelerin neredeyse hepsinin bir saniyede kırılacak olması. “Klavyedeki harflerin ve sayıların sıralı bir halde yazılması şifrelerin ele geçirilmesine adeta davetiye çıkarmakta” diyen Kırık’a nazaran kolay şifreleri çeşitli şifre çözme araçlarıyla yalnızca birkaç saniye içinde kırmak mümkün.

Öbür ülkelere kıyasla Türkiye’de isimlerin ve spor kulüplerinin şifre olarak daha sık tercih edildiğini söyleyen Kırık, “Gerek Türkiye gerekse dünyada şifre güvenliği daima ikinci plana atılıyor” diyor. Yalnızca harf ya da yalnızca sayılarından seçilmiş şifrelerin hiçbir vakit güvenliği olmadığının altını çizen Kırık, “Bu durumu ‘bile bile lades’ olarak tanımlayabiliriz. Hesap güvenliği güçlü şifreler oluşturmakla direkt orantılı” diyor.

‘ÇOK BÜYÜK RİSK BARINDIRIYOR’

Pekala ‘Siber güvenlik konusunda dünya ve Türkiye gereken kıymeti vermiyor’ diyebilir miyiz? Siber güvenlik konusunda geçmişe nazaran daha fazla dikkat edildiğini söyleyen Yusuf Evmez, kullanıcı alışkanlıklarının değişmesinin ise çok daha fazla vakit aldığına dikkat çekiyor. Kolay şifrelerin yalnızca olağan kullanıcılar tarafından değil tıpkı vakitte işini süratlice bitirmek isteyen IT işçileri tarafından da oluşturulduğunu söyleyen Evmez, “Bu durum büyük bir risk barındırıyor. Zira kolay şifrelerin şirket kullanıcı hesaplarında kullanılması şirketlerin siber güvenlik tedbirlerinin hiçe sayılması manasına geliyor” diyor. Evmez, değiştirilmesi unutulan bu şifrelerin istenmeyen sonuçları beraberinde getirdiğine dikkat çekiyor.

Doç. Dr. Ali Murat Kırık da son 10 yılda data ihlalleri ve şifre sızıntılarının birçok şirketi olumsuz tarafta etkilediğine vurgu yapıyor. Türkiye’de siber güvenliği ikinci planda tutulduğunu lakin bu yanlışa düşülmemesi gerektiğini söyleyen Kırık, dijital okur müellif olmanın değerini hatırlatıyor. Kırık, “Çevrimiçi hesaplarınız varsa bilgisayar korsanları muhtemelen en az birinden bilgi sızdırmıştır. Bir de üstüne çoğunlukla birinci akla gelen sayıların ya da sözlerin tercih edilmesi bilgilerin sızdırılmasını, hesapların ele geçirilmesini gitgide kolaylaştırır” diyor.

‘HACK’LENME RİSKİ ÇOK FAZLA’

Hack’lenme olaylarının her yıl daha da arttığı bir dijital çağda kullanıcılar neden ‘kırılması’ bu kadar kolay şifreleri seçiyor olabilir? Yusuf Evmez, bunun birkaç sebebi olacağını söylüyor. Olağan bir insanın hayatı boyunca asgarî 80 hesaba sahip olduğunu söyleyen Evmez, her hesap için farklı şifre üretmenin güç olduğunu belirtiyor. “Özellikle şirketlerde bu üslup şifrelerin kullanımı birkaç güvenlik siyaseti ile yasaklanabiliyor” diyen Evmez, şöyle devam ediyor:

“Ancak yöneticiler, güvenlik siyasetlerini hiçe sayarak kolay şifreyi tercih edebiliyorlar. Her ne kadar kolay şifrelerin değiştirilmesi gerektiği kullanıcılara bildirilse de çoğunlukla iş yoğunluğundan dolayı şifreleri değiştirmek unutuluyor ve ortaya olumsuz bir tablo çıkıyor.”

Doç. Dr. Ali Murat Kırık da insanların ekseriyetle kolay hatırlayacakları şifreleri tercih ettiğini söylüyor. Dijital çağda birçok uygulamanın kullanıldığını ve her uygulamanın da bir şifre gerektirdiğini hatırlatan Kırık, şu değerli uyarıyı yapıyor: “Her uygulamada birebir şifrenin kullanılması hack’lenme riskini artırıyor.” Bilgisayar korsanlarının en çok rastgele karakter dizilerini kırmakta zorlandığını söyleyen Kırık, yalnızca akılda kalması için seçilen şifrelerin hesap güvenliğini riske attığının altını çiziyor.

‘O ŞİFRELERİ KIRMAK 10 İLE 100 YIL ORTASI SÜRER’

Dünyada ve Türkiye’de yalnızca sayılardan ya da harflerden oluşan şifreler kullanılıyor. Pekala inançlı bir şifre nasıl olmalı? İnançlı bir şifre belirlemek için en hakikat usul harf hem de sayıları mı kullanmak? Yusuf Evmez, siber güvenlikte yüzde 100 oranında bir güvenlilikten bahsedilemeyeceğini lakin yeniden de güç kırılabilecek şifrelerin ‘güvenli şifre’ olarak isimlendirildiğini söylüyor. Kolay şifrelerin yalnızca 1-2 saniyede kırılabildiğini söyleyen Evmez, “Güçlü bir şifre oluşturduğunuzda bunu kırmak şu anki süreç gücüyle 10 ile 100 yıl ortası sürebiliyor” diyor.

Saldırganların işini zorlaştırmak için büyük ve küçük harf, sayı ve özel karakterleri kullanmanın kıymetine dikkat çeken Evmez, şöyle devam ediyor: “Yüzde 100 oranında inançlı bir şifre olmayacağından ötürü mümkün olan her platformda çok faktörlü kimlik doğrulama tahlilleri ile ikinci bir doğrulama kullanmak daha inançlı.”

Doç. Dr. Ali Murat Kırık ise inançlı bir şifrenin uzun olması gerektiği görüşünde. Kırık’a nazaran bir şifrenin inançlı olması için 15 karakterden kısa olmamalı, hatta 15 karakterin de üzerine çıkılmalı. Kırık da tıpkı Evmez üzere büyük ve küçük harf, sayılar ve sembollerin güçlü şifre belirlerken kesinlikle tercih edilmesi gerektiğini söylüyor. Kırık’a nazaran sıralı harfleri ve sıralı sayıları kullanmamak da çok kıymetli.

OLTALAMA HÜCUMLARINA DİKKAT!

Siber korsanlar yalnızca büyük şirketleri değil kişisel olarak kullanıcıları da gaye alıyor. Pekala internetteki güvenliğimiz için kişisel olarak nelere bilhassa dikkat etmeliyiz? Hangi yanılgıları asla yapmamalıyız? Yusuf Evmez, “Şirketinizin büyüklüğü yahut kişisel olarak toplumdaki yerinizin bir ehemmiyeti yoktur” diyor. Kurumları amaç alan siber saldırganlarının yolunun ferdi hesaplardan geçtiğine dikkat çeken Evmez, “Bireysel hesabınızın akına uğraması ve bilgilerinizin ifşa olması bir sonraki kademede bu bilgilerin kullanılarak şirketinize yapılabilecek bir akın için yer hazırlar” diyor.

En çok yapılan siber akın tipinin oltalama atakları olduğunu vurgulayan Evmez, mail’lere çok dikkat edilmesi gerektiğini şu sözlerle anlatıyor: “Oltalama akınları e-posta adresinize gelen, gerçek olmayan bir mail içerisindeki ek belge ya da link ile başlıyor. Şayet gereğince dikkat etmiyorsanız fark etmeden saldırganlar hesabınıza erişim sağlayabilir.”

BU BİLGİLERİ SAKIN PAYLAŞMAYIN!

Posta kutusuna ulaşan her mail’in hakikaten kullanıcıları ilgilendirip ilgilendirmediğine çok dikkat edilmesi gerektiğini söyleyen Yusuf Evmez, kullandığımız antivirüs yazılımlarının yeni olup olmadığına dikkat edilmesi gerektiğini belirterek şunları ekliyor: “Kurumsal mail adresi ve şifrelerimizi ferdi hesaplarımızda kullanmamalıyız.”

Doç. Dr. Ali Murat Kırık da internet güvenliği için şifre belirlerken isim, doğum günü, kullanıcı ismi ya da e-posta adresi üzere şahsî bilgilerin asla kullanılmaması gerektiğini vurguluyor. Sözlükte bulunabilecek sözleri kullanmaktan kaçınılması gerektiğini söyleyen Kırık, rastgele şifrelerin en güçlü şifreler olduğunun altını çiziyor. Kırık, şunları söylüyor: “Bir tane güçlü şifre oluşturmakta sorun yaşıyorsanız bunun yerine bir şifre oluşturucu kullanabilirsiniz. Rastgele parolaların kolay kalıplardan çok daha güçlü olduğunu unutmamalısınız.”

NASIL BİR ŞİFRE BELİRLEMELİ?

Pekala bir kullanıcının üyelik gerektiren bir sitede belirlediği şifreyi bir diğer platformda kullanmaması siber güvenlik için olumlu ve kâfi bir tahlil mü? Bu kadar çok şifre gerektiren bir çağda kullanıcılar her site için farklı şifre mi belirlemeli? Yoksa inançlı bir şifreyi farklı mecralarda kullanmak uygun bir tahlil yolu mu?

Yusuf Evmez, her bir sitede farklı şifre kullanmanın epey inançlı gözüktüğünü fakat kullanıcıların sık sık farklı şifreleri unuttuklarını ve böylelikle tekrar birebir şifrelerin tercih edilmeye başlandığını söylüyor. Kullanıcı alışkanlığı olarak güçlü bir şifrenin çok faktörlü kimlik doğrulama ile korunarak birden çok platformda kullanıldığını da söyleyen Evmez, “Her iki metot de siber güvenliğe katkı sağlar” diyor.

‘ANAHTARLARI PASPASIN ALTINA BIRAKMAK GİBİ’

Doç. Dr. Ali Murat Kırık ise birebir parolayı kullanan bireylerin risk altında olduğunu şu sözlerle ifade ediyor: “Çevrimiçi bankacılık hizmetlerine, e-ticaret sitelerine ve hassas bilgiler gerektiren öteki internet tabanlı hizmetlere kaydolurken tıpkı parolayı kullanan müşteriler farkında olmadan artan hesap dolandırıcılığına katkıda bulunuyor.”

Birebir parolayı farklı platformlarda kullanmanın bilgisayar korsanlarına kolay erişim sağladığını söyleyen Kırık’a nazaran bu durumun anahtarları paspasın altına bırakmak üzere olduğuna dikkat çekiyor. Sahip olunan her hesap için eşsiz ve güçlü bir şifre kullanılması gerektiğinin altını çizen Kırık, hesaplardan biri ele geçirilse dahi farklı ve güçlü şifre kullanımından dolayı korsanların öteki hesaplarınıza girmesini zorlaştırdığını söylüyor.