12 yıl önce bilgisayarım hacklendi ve saldırganlar hala sisteme girmeye çalışıyorlar - işte onları nasıl durdurdum

12 yıl önce bilgisayarım hacklendi ve saldırganlar hala sisteme girmeye çalışıyorlar - işte onları nasıl durdurdum

Bir itirafım var: Eskiden şifrelerimi tekrar kullanıyordum.

Bu, güvenlik açısından en büyük günah, ancak 2010'ların başlarıydı, üniversiteden yeni mezun olmuştum ve en iyi şifre yöneticilerinden birini kullanamıyordum çünkü henüz onlardan haberdar değildim ve yeni yeni popüler olmaya başlıyorlardı. Doğrusu, dijital hayatımı güvence altına almaya pek dikkat etmiyordum. Bu büyük bir hataydı.

2013 yılında Adobe hacklendi ve saldırganlar 153 milyon kullanıcı adı ve şifre listesine ulaştı. Bu şifreler şifrelenmemişti, yani insanlar bunları okuyabiliyordu – düz metin olarak saklanıyorlardı – bu nedenle liste ortaya çıktıktan sonra, saldırganlar benim gibi talihsiz Adobe kullanıcılarını hedef almak için ihtiyaç duydukları her şeye sahipti.

İşte o zaman kimlik bilgisi doldurma saldırısının ne olduğunu keşfettim. Adından çok daha basit; saldırganlar çalınan kullanıcı adını ve şifreyi alıp mümkün olduğunca çok sitede deniyorlar. Bunu, kilitli bir kapıda anahtarlıktaki tüm anahtarları denemek gibi düşünün. Ne yazık ki, aynı şifreyi orada da kullandığım için Microsoft hesabıma da bu şekilde girdiler.

Stresli bir dönemdi ve e-posta hesabınız en hassas bilgilerinizden bazılarını barındırdığı için, bu hesaba erişim sağladıklarında, diğer web sitelerinden ve hizmetlerden de sizi dışarıda bırakmak için şifrelerinizi sıfırlayabilirlerdi. Ama onları dışarı attım ve o zamandan beri kendimi nasıl koruyacağımı oldukça hızlı bir şekilde öğrendim.

On yıldan fazla bir süre sonra bile, hala hesabıma girmeye çalışan saldırganlar var, ancak önemli bir fark var: Artık giremiyorlar. Bu yüzden, hatalarımdan nasıl ders çıkardığımı ve aynı şeyin başınıza gelmesini önlemek için güvenliğinizi nasıl kolayca iyileştirebileceğinizi paylaşmaya karar verdim.

1. Şifreleri tekrar kullanmayın

Tamam, bunu hikayenin başından tahmin etmiş olabilirsiniz, ancak Adobe hacklendiğinde yaşadığım en büyük sorunlardan biri, birden fazla sitede aynı şifreyi kullanıyor olmamdı. Bu nedenle, saldırganların kimlik bilgisi doldurma yöntemini kullanarak diğer hesaplarıma da girmeleri oldukça kolay oldu.

Diğerleri gibi, bunu yapmamın nedeni de hatırlanması gereken çok fazla şifre olmasıydı! Açıkçası bir hesabımdan kilitlenmek istemedim ve şifre sıfırlama formları her zaman güvenilir olmuyor, bu yüzden en iyi çözümün tüm sitelerde kullanabileceğim basit, kolay hatırlanabilir bir şifre olduğuna karar verdim.

Sayılar, büyük harfler ve semboller içerdiği için güvenli olduğunu düşündüm. "password" veya "passw0rd" kullanmak kadar riskli değildi, ama çok da uzak değildi.

Bu sorundan kaçınmanın en iyi yolu, 1Password veya Proton Pass (tercih ettiğim seçenek) gibi bir şifre yöneticisi kullanmaktır. Bunlar tüm kimlik bilgilerinizi tek bir yerde güvenli bir şekilde saklar ve kullanmanız için uzun, karmaşık şifreler oluşturabilir, ancak bunları asla hatırlamanıza gerek kalmaz. Çoğunun tarayıcınız, bilgisayarınız ve akıllı telefonunuz için uygulamaları da vardır, böylece şifrelerinize her zaman erişebilirsiniz.

2. İki Faktörlü Kimlik Doğrulamayı Etkinleştirin

Saldırganların bazı hesaplara bu kadar kolay erişebilmesinin nedenlerinden biri, kullanıcı adınızı ve şifrenizi ele geçirdikten sonra sanki sizmişsiniz gibi giriş yapabilmeleridir. Peki ya gerçekten siz olduğunuzu gösteren benzersiz bir belirteç olsaydı ve bu olmadan birisi hesabınıza erişemezse ne olurdu?

İki faktörlü kimlik doğrulamanın (2FA) ardındaki fikir budur. Kişisel hesaplarınızda bunu kullanmadıysanız, iş yerinizde kullanmış olabilirsiniz. Çeşitli biçimlerde gelir, ancak en yaygın olanları bir uygulama tarafından oluşturulan veya telefonunuza SMS ile gönderilen altı haneli kodlardır.

Giriş bilgilerinizle birlikte bu kodlardan birini istemek, yalnızca kullanıcı adını ve şifreyi bildiğinizi değil, aynı zamanda gerçekten sizin giriş yapmaya çalıştığınızı doğrulamaya yardımcı olan bilinen fiziksel bir öğeye sahip olduğunuzu da gösterir.

Bu, şifreleriniz sızdırılsa bile saldırganları hesaplarınızdan uzak tutmanın en etkili yollarından biridir. Microsoft hesabım için bunu kurduktan sonra (akıllı telefonumdaki ücretsiz Authy uygulamasını kullanarak), bilgisayar korsanları hesabıma girmeye çalışmaya devam ettiler, ancak asla başaramadılar. Bu, savunmanızı güçlendirmenin kolay bir yoludur.

Bunu yalnızca Microsoft'un, giriş denemelerinin ne zaman ve nereden geldiğini ve başarılı olup olmadığını gösteren gerçekten kullanışlı bir Hesap Etkinliği sayfasına sahip olması sayesinde biliyorum.

Çevrimiçi hesaplarınız için daha da fazla güvenlik istiyorsanız, bunun yerine fiziksel bir güvenlik anahtarı kullanmayı da düşünebilirsiniz.

3. Kullanılmayan hesapları silin

Bu konuda söylenecek çok fazla şey yok: Artık kullanmadığınız bir hesabınız varsa, silin. Zaman zaman temizlik yapmak iyidir ve eski veya kullanılmayan hesaplardan kurtulmak, daha az karmaşa ve verilerinizin yanlış ellere geçme olasılığının azalması anlamına gelir.

Her site size kolay bir "Hesabı sil" düğmesi sunmayabilir, ancak şirketin gizlilik politikasına (genellikle web sitesinin alt kısmındaki altbilgide bağlantılıdır) bakarsanız, bir gizlilik iletişim bilgisi bulabilir ve verilerinizin silinmesini talep etmek için bir e-posta gönderebilirsiniz.

Ayrıca, benim hesabım hacklendikten sonraki yıllarda, dünya genelindeki yetkililer gizlilik düzenlemelerini güçlendirdi, bu nedenle birçok yerde artık işletmenin isteğinize uyması yasal bir yükümlülüktür. Bu nedenle bugünlerde Google hesabınızı bu kadar kolay bir şekilde silebiliyorsunuz.

4. Have I Been Pwned'dan bildirimler alın

Evet, Have I Been Pwned bir güvenlik web sitesi için garip bir isim (pwn, yetkisiz erişim elde etmek anlamına gelen bir hacker argosudur), ancak hesaplarınızı korumak için en iyi ücretsiz güvenlik kaynaklarından biridir. Sitenin arkasındaki kişi olan Troy Hunt, siber saldırılardan elde edilen verileri toplar ve hesabınızın etkilendiği durumlarda size uyarı gönderebilir.

Bu sayede, MyFitnessPal, NetGalley, LinkedIn ve Last.fm ihlallerinde ve daha birçok sitede (genellikle kaydolduğumu bile hatırlamadığım ve muhtemelen on yıldır bilgilerimi sakladıkları rastgele sitelerde) bilgilerimin sızdırıldığını öğrendim.

Kullanımı kolaydır ve hacklenmiş bir hesapta şifreleri değiştirmeniz gerektiğinde size çok erken bir uyarı verir. Hacklenmiş veriler karmaşık ve doğrulanması zor olabilir, bu nedenle belirli bir şifrenin tehlikeye girip girmediğini kontrol etmek istiyorsanız, aranabilir bir Pwned Passwords veritabanı da mevcuttur.

5. Temiz bir başlangıç yapmayı düşünün

Bilgisayar korsanları sanal kapımı çalmaya başladığında, Hotmail e-posta hesabımı neredeyse 15 yıldır kullanıyordum. Uzun bir geçmişi vardı ve artık hedef haline gelmişti, bu yüzden yeni bir başlangıç yapmanın zamanı geldiğine karar verdim. İşte o zaman Outlook'tan Gmail'e ve daha yakın zamanda da Proton Mail'e (güvenlik açısından en iyi e-posta hizmeti olarak değerlendirdiğimiz) geçtim.

Bu çok fazla iş gerektirdi – size yalan söylemeyeceğim. Sahip olduğum her hesabı tek tek gözden geçirmek, e-posta adresini değiştirmek, yeni bir şifre oluşturmak ve iki faktörlü kimlik doğrulamayı kurmak çok zamanımı aldı. Ama buna değdi. Mevcut adresim sadece bir veri sızıntısına karıştı (teşekkürler Twitter) ve bu sayede verilerimin daha azı ortalıkta dolaşıyor.

Ayrıca, sıfırdan başlamak, daha bilinçli güvenlik seçimleri yapmama olanak sağladı. Hangi hizmetlere kaydolacağımı, bilgilerimi nereye koyacağımı ve hesabı nasıl koruyacağımı daha dikkatli bir şekilde seçmeye başladım. Gerçek telefon numaramı mecbur kalmadıkça nadiren kullanıyorum ve pazarlama listelerinden çıkmayı sağlıyorum.

Bunlar, hesabınızı sonsuza dek güvende tutacak kusursuz teknikler değil; verileriniz, hesabı kontrol eden şirketin insafına kalmış durumda. Ancak bu, daha az güvenlik sorunu yaşadığım, birinin hesabıma gireceğinden endişelenmeme gerek kalmadığı (çünkü giremezler) ve artık neredeyse hiç spam e-posta almadığım anlamına geliyor.

Kaynak: TG