Parolanızın ne Kadar Güçlü Olduğunu Hemen Öğrenin!

Web sitelerinde kullandığınız parolaların ne kadar güçlü olduğunu merak mı ediyorsunuz? Gazetelerde sıkça haber olan siber saldırılar sizi de korkutuyor mu? Hesabınızın başka ellere geçmesinden endişe mi duyuyorsunuz? Web sitelerinde yer alan ve aşağıdaki şekilde bir örneği görülen basit parola güç ölçerlerini başarısız buluyor ve bilimsel yöntemlerle ve %99.9 doğrulukta parola güvenliğinizin ölçülmesini mi istiyorsunuz?

Size güzel bir haberimiz var: http://www.parolamnekadarguclu.com adresine bağlanarak ve karşınızda beliren kutucuğa parolanızı girerek hızlı ve kolay bir şekilde parolanızın ne kadar güvenli olduğunu ölçebilirsiniz.


Evet, siteye tıklayıp beklenen siteye değil de benim yeni kişisel web siteme yönlenenlerin ve parolasının ne kadar güçlü olduğunu ölçemeyip hayal kırıklığına uğrayanların içine hemen su serpeyim. Biraz önce sizi çok tehlikeli olabilecek bir sosyal mühendislik saldırısından kurtardık.

Eğer gerçek parolanızı bu veya benzer türde sitelere girersiniz parolanızın size zarar verebilecek kişilerin eline geçmesine neden olabilirsiniz. (Ama o kadar da değil hocam, ben gerçek parolamı değil de sadece o an uyduracağım bazı parolaları test etmek için siteyi kullanacaktım diyorsanız tabii ki size sözümüz yok, size can-ı gönülden inanıyoruz)

Evet yazımızın bundan sonraki kısmı sosyal mühendislik saldırıları ile ilgili olacak (parolalar özelinde merak ettikleriniz için size konu ile ilgili daha evvel çektiğimiz bir video’yu öneriyoruz.)

Sosyal mühendislik saldırıları çok farklı şekilde ve türde karşımıza çıkabiliyor. Saldırının ne şekilde yürütüleceği saldırıyı yapanın hayal gücü ile sınırlı sadece. Dün, bu amaçla karantina dönemi problemleri kullanılmış idi. Bugün, yukarıdaki örnekte parolanın ne kadar güçlü olduğuna dair merak ile hedefe ulaşılmaya çalışıldı. Yarın, çok daha farklı bir tür pekala mümkün. Bu sebeplerle bu saldırılara karşın klasik uyarı ve eğitimlerin yeterli olmadığı veya olmayacağı bu yazının ana fikrini oluşturmakta.

Ne demek istediğimi basit bir örnekle açıklamak gerekirse önce rasgele bir site seçiminde bulunalım. Bu sitede “Kendinizi Korumanın Yolları” başlığı altında bazı bilgiler verilmiş. Bu bilgileri kimlerin ne kadar okuduğu zaten ilk önce sorgulanması gereken bir konu ama her neyse. Diyelim ki bu bilgiler okundu ve harfiyen uyulmasına karar verildi. “kimliğinizi veya parolanızı kimseyle paylaşmayın.” şeklindeki bir uyarı ile yukarıda anlatılan saldırı önlenebilir mi acaba? Farz-ı muhal uyarıları dikkate almaya azami gayret gösteren ama çok da fazla bilgisayar okuryazarlığı olmayan bir kullanıcı bu saldırıya hedef olsa ve zarara uğrasa. Akabinde, “ben parolamı kimseyle paylaşmadım sadece ne kadar güvenli olduğunu anlamak istemiştim” diye bir mantık yürütse. Siz de siber güvenlik uzmanı veya biraz daha bilgili bir kişi olarak “bir siteye girmek” ile “paylaşmanın” aynı şey olduğuna acaba bu kişiyi ikna edebilir misiniz? İsterseniz bir deneyiniz ve sonucu bizimle paylaşınız.

Şuraya varmaya çalışıyorum. Sosyal mühendislik saldırılarına karşın bilinçlendirme çalışmaları bu saldırıların önlenmesi için kesinlikle A planı olmamalı, ancak B planı olarak düşünülmeli. A planı, bu tür sosyal mühendislik saldırılarının teknik yöntemlerle – işin içine kullanıcıyı sokmadan – önlenebilmesi olmalı. Mesela, çok faktörlü kimlik doğrulama kullanılsa idi, kullanıcımız parolasının gücünü merak edip de zararlı sitelere girmiş olsa dahi bir zarara uğramayacaktı. SecurifyID iki faktörlü doğrulama sistemi ile güvenliğinizi sosyal mühendislik saldırılarına karşı koruyunuz. Bizden uyarması.

Son olarak sosyal mühendislik saldırılarının başarı oranı ile ilgili ilginç bir anekdot paylaşmak istiyorum. Yaklaşık 5-6 sene kadar önce. Öğretim üyesi bulunduğum TOBB Üniversitesinin Siber Güvenlik yüksek lisans programı öğrenci mülakatlarını yapıyoruz. Aday öğrencimize ne iş yaptığını sorduğumuzda aldığımız cevap bir hayli çarpıcı idi:

– Kurumlara sosyal mühendislik sızma testi konularında hizmet veriyoruz. Özetle, gerekli prosedürler tamamlandıktan ve izinler alındıktan sonra gerçek saldırganların kullandıklarını bildiğimiz psikolojik manipülasyon teknikleri yardımı ile çalışanların parolalarını yabancılarla ne derece paylaşıp paylaşmadığını test ediyoruz.

Bu ilginç mesleğin erbabı birini karşımızda görünce elbette ilave sorularımız oldu ve sizlerin de belki şu an merak ettiği bir soruyu yönelttik müstakbel öğrencimize:

– Başarı oranları nasıl çıkıyor?

– Hocam, %100’ü geçtiğimiz oluyor.

–  Anlayamadım. %100’ü geçmek ne demek?

–  Hocam şöyle. Örneğin önceden belirlediğimiz personellere sırasıyla telefon açmışız, kendimizi bilgi-işlem personeli olarak tanıtmışız ve demişiz ki falanca filanca sebepten dolayı teknik problemlerinizin giderilmesi için parolanızı öğrenmemize gerek var. Karşımızdaki arkadaş kendi parolasını verdikten sonra bize demiş ki “ya aynı problemden benim odadaki diğer arkadaş da muzdarip, rica etsem telefonu ona uzatsam kendisine de yardımcı olabilir misiniz?

–   Yani?

–  Yani hocam günün sonunda bakmışız ki biz toplam 25 telefon görüşmesi yapmışsız ama 30 tane farklı parola toparlamışız. %100’u aşmak bu şekilde oluyor.

–  (Dudağımı ısırarak) İlginç hakkaten. Bunu ben bloğumda yazabilir miyim?

– Kurum ismi vermeden niye olmasın?

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*