1,3 milyar parola çalındıktan hemen sonra yaptığım 4 değişiklik

1,3 milyar parola çalındıktan hemen sonra yaptığım 4 değişiklik

Bu ayın başlarında, güvenlik uzmanı Troy Hunt, Have I Been Pwned ve Pwned Passwords veritabanlarına tam iki milyar benzersiz e-posta adresi ve 1,3 milyar benzersiz parola ekledi. Synthient tarafından toplanan veriler, tehdit aktörleri tarafından paylaşılan birden fazla kimlik bilgisi doldurma kaynağının yanı sıra, bilgi hırsızı kötü amaçlı yazılımlar aracılığıyla doğrudan kişilerden çalınan verilerden geliyor.

Etkilenen kişi sayısı o kadar büyük ki, Have I Been Pwned abonelerine bildirimler dalgalar halinde gönderildi. (Bu hizmet ücretsizdir; e-posta adresinizi HIBP arama alanına girin ve ardından herhangi bir sonuç çıkmadan önce görünen "Bana Bildir" düğmesine tıklayın.)

Verilerin ayrıca dikkatimi çeken belirli özellikleri de var. (Bunlar hakkında daha fazla bilgiyi Hunt'ın blog yazısında okuyabilirsiniz.)

Bu ayrıntılar ve bundan sonra ne yapacağımla ilgili aldığım sorular arasında, iyi bir çevrimiçi güvenlik için "doğru" adımlar konusundaki tavsiyelerimi değiştirdim.

Şimdi önerdiğim şu:

Her hesap için farklı e-posta adresleri

Hesaplarınızın her birine giriş yapmak için aynı e-posta adresini kullanmak, bilgisayar korsanlarının işini kolaylaştırır. Bu bilgileri, kullandığınızı düşündükleri (veya bildikleri) herhangi bir parola ile birlikte bir web sitesine ekleyebilirler.

Bu kimlik bilgisi doldurma saldırısı genellikle insanların parolaları tekrar tekrar kullanması nedeniyle işe yarar. Bu nedenle, bu şekilde hata yapmaktan kaçınmanın kolay bir yolu: Her hesap için farklı bir e-posta adresi kullanın.

Eskiden, her yeni e-posta adresine ihtiyaç duyduğunuzda ayrı bir hesap oluşturmanız gerekiyordu. Artık değil.

Günümüzde, aynı amaç için e-posta takma adları ("e-posta maskeleri" veya "maskelenmiş e-posta" olarak da bilinir) kullanabilirsiniz. Başkaları için, hesaplarınız arasında farklı e-posta adresleriniz varmış gibi görünecektir. Bu arada, tüm mesajları tek bir yerden alabilirsiniz (isterseniz). Bir takma ad, e-postalarınızı istediğiniz yere yönlendirir.

E-posta takma adının en temel sürümü, e-posta adresinizin sonuna ek metin ekleme olanağıdır (örneğin, [email protected]). Biçim, artı işareti (+) ve ardından eklemek istediğiniz harf ve rakam dizisidir. Gmail ve Proton Mail, bu e-posta takma adı stilini destekleyen iki e-posta hizmetidir.

Daha fazla gizlilik için, gerçek e-posta adresinizi tamamen gizlemek üzere özel e-posta maskeleri kullanabilirsiniz. Örneğin, [email protected] adresine e-posta alıyorsunuz, ancak bu bilgilerin gizli kalmasını tercih ediyorsunuz. Bu nedenle, e-posta hizmetinizin sağladığı yerleşik maskeli e-posta özelliğini (varsa) kullanır veya [email protected] veya [email protected] gibi rastgele e-posta takma adları oluşturmak için bağımsız bir hizmete kaydolursunuz.

Proton Mail, Fastmail ve Apple'ın iCloud Mail'i, e-posta maskeleri içeren e-posta hizmetlerine örnektir. (Proton Mail ve iCloud Mail bunlara "e-postamı gizle" takma adları diyor.) Başka bir yerde kullanmaya devam etmek istediğiniz bir e-posta adresiniz varsa, Mozilla Relay, SimpleLogin veya başka bir e-posta maskeleme hizmetine de kaydolabilirsiniz.

E-posta adresinize +ekstrametin stilinde bir eklemeye dayanan temel bir takma ad, en azından her oturum açma işleminin tahmin edilmesini zorlaştırır. (E-posta adresinize, web sitesi bilgilerine göre belirgin veya tahmin edilebilir olmayan bir metin ekleyin. Örneğin, Target.com'daysanız +target kullanmaktan kaçının.)

Ancak günümüzde hem güvenlik hem de gizlilik daha iyi bir tercihtir; bu, birinin sizin profilinizi oluşturarak kişiselleştirilmiş, daha etkili kimlik avı e-postaları ve kısa mesajları oluşturmasını zorlaştırır. Bu nedenle, gerçekten anonim bir e-posta takma adı hizmeti daha iyi bir yoldur.

Eski parolalarınızı güncelleyin

Troy Hunt'ın parola verilerinin içe aktarılmasıyla ilgili yazısında, sorusuna yanıt veren birden fazla kişi, ele geçirilen parolalarının yaşının 10 ila 20 yıl arasında olduğunu tahmin etti.

Bu eski kimlik bilgilerinin ima edilen birkaç özelliği arasında şunlar yer alıyor: Öncelikle, uzun değillerdi - yaklaşık sekiz karakter. Ve neredeyse hiç uzun sayılmayacak varyasyonları da vardı. (Bir kişi, ele geçirilen bir parolanın, ele geçirilen başka bir parolanın sonuna yalnızca iki fazladan ünlem işareti (oof) eklendiğini doğruladı.)

Hive Sistemleri

İyi bir parolanın ne olduğu son on yılda, özellikle de son yirmi yılda çok değişti. Hiç güncellemediğiniz eski parolalarınız varsa, onları tekrar gözden geçirmenin zamanı geldi. Hesaplama performansındaki gelişmeler sayesinde artık daha kısa parolaları kırmak kolay. 2005'te rastgele ve güçlü olarak kabul ettiğimiz parolalar (örneğin, p@$$word!) artık hiç de öyle değil.

Ayrıca, son zamanlarda web sitelerinde meydana gelen ihlaller nedeniyle, bir küçük harf, bir büyük harf, bir sayı ve bir özel karakterden oluşan sihirli bir kombinasyondan oluşan oldukça rastgele bir parolanız olabilir; ancak yine de parolanızın yalnızca zayıf varyasyonlarını kullandığınız için tehlikeye girebilir. (Daha da kötüsü, parolanızı tekrar tekrar kullanmış olabilirsiniz.)

Eski hesaplarınızı artık kullanmıyor olsanız bile, onları kalitesiz bir parola ile zayıf bir şekilde koruma altına almayın. Adresleriniz, telefon numaralarınız ve hedefli kimlik avı saldırıları için çalınabilecek diğer verileriniz gibi başka bilgileriniz de olabilir.

Eski hesapları temizleyin (veya silin)

Çalınabilir kişisel bilgilerden bahsetmişken; seyrek kullandığınız hesaplarınız varsa, dosyada kalması gerekmeyen bilgileri silin. Parolanız hiç çalınmamış olsa bile, web sitesi sahibi bilgisayar korsanlarının kurbanı olursa veriler yine de sızabilir.

Alışveriş hesaplarımda sildiğim ilk şey kredi kartı bilgileri. (Otomatik doldurma özelliğinden yararlanmak istiyorsanız, bunları parola yöneticinize kaydetmeniz daha iyi olur.) Ancak ev adresinizi, telefon numaranızı ve diğer bilgilerinizi de silerek, bir bilgisayar korsanının alışkanlıklarınızı anlamasını ve paranızı (veya onları paranıza yönlendirecek değerli bilgilerinizi) çalmanın en akıllı yolunu tahmin etmesini zorlaştırabilirsiniz.

Hesabınızı bir daha asla kullanmayı planlamıyor musunuz? Yoksa o kadar seyrek mi? Misafir olarak ödeme yapsanız bile fark etmez mi? Her şeyi silin.

Parolalara geçin

Bu aralar bu konuyu çok ciddiye alıyorum ve haklı sebeplerim var. Bir bilgisayar korsanı e-posta adresinizi ve eski parolalarınızı öğrenebilir, elbette. Ancak birincil oturum açma yönteminizi bir parolaya çevirirseniz, bunun onlara bir faydası olmaz.

Parolalar, parolalardan farklı çalışır. Doğrudan çalınamaz veya yetkisiz cihazlar tarafından uzaktan kullanılamazlar. (Bir bilgisayar korsanı, parolalarınızı bulut tabanlı bir hizmette saklıyorsanız, parolalarınızı sakladığınız hesaba girebilir, ancak bu farklı bir durum.) Ayrıca oluşturuldukları web sitesine de bağlıdırlar.

Yani kimlik bilgisi doldurma saldırısı, parola korumalı bir hesapta işe yaramaz. Ve yanlışlıkla bir kimlik avı bağlantısına kanarsanız, sahte sitede işe yaramaz.

Bazı web siteleri yalnızca parola ile girişe izin vermez, bu nedenle parolanızı uzun, benzersiz ve rastgele bir değere güncelleyin ve ardından parola yöneticinize yedek bir oturum açma yöntemi olarak kaydedin. (İki faktörlü kimlik doğrulamayı da etkinleştirin.)

Ancak bunun dışında, parolalar doğru yoldur. Ayarlandıktan sonra bunları düşünmenize gerek kalmaz. Kendiliğinden çalışırlar.

Kaynak: PC World