Risk Altındaki Parolalar: En Yaygın Hatalar ve Hesaplarınızı Korumanın En Güvenli Yolu

Mayıs ayının ilk perşembesi tüm dünyada Parola Günü olarak kutlanıyor. Ve "günleri" genellikle ticari birer gelenek olsa da, dijital hesaplarımızı korumamızın ve klasik - ve hala popüler - "123456" gibi zayıf parolaları geride bırakmamızın önemini hatırlamak için yeni bir fırsattır. Ayrıca hesaplarımızda her zaman ikinci kimlik doğrulama faktörünü aktif hale getiriyoruz.

Arjantin'de veri sızıntılarının endişe verici boyutlara ulaştığı bir ortamda, bu tarih her zamankinden daha fazla önem kazanıyor. Son zamanlardaki birkaç vakayı saymak gerekirse, 2024 yılında bir siber suçlu, özel bir forumda 59 milyon Renaper kaydı içeren bir veri tabanı yayınladı.

FortiGuard Labs'ın (Fortinet) istatistiklerine göre, 2024 yılı boyunca karanlık web forumlarında 1,7 milyar çalıntı kimlik bilgisi (yani kullanıcı adı/şifre) paylaşıldı. Başka bir araştırma ise kullanılan şifrelerin %59'unun bir saatten kısa sürede tahmin edilebildiğini gösteren bir örneklem alıyor.

Tartışmanın merkezinde parola güvenliği yer alıyor: Nordpass'a göre "123456" parolası hâlâ yaygın olarak kullanılıyor ve Google ile Harris Poll tarafından pandemi öncesinde yapılan bir çevrimiçi güvenlik araştırması, insanların en az %65'inin parolalarını birden fazla sitede, hatta tüm sitelerde yeniden kullandığını ve bu durumun onları büyük ölçekli kimlik bilgisi hırsızlığı saldırılarına karşı savunmasız bıraktığını ortaya koydu.

"Veri sızıntılarının ve veri çalan kötü amaçlı yazılımların yaygın olduğu bir çağda, yalnızca parola kimlik doğrulamasına dayalı bir güvenlik stratejisi yüksek risk teşkil eder, çünkü kimlik bilgileri çalınırsa saldırgan kullanıcıyı taklit edebilir. Bu doğrultuda, kullanıcının kimliğinin birden fazla şekilde doğrulanması gereken sıfır güven stratejisini benimsemek önemlidir. İki faktörlü kimlik doğrulama veya parolasız kimlik doğrulama gibi araçlar arzu edilir olmaktan gerekli olmaya geçti," diyor siber güvenlik şirketi Check Point'te Güvenlik Mühendisliği Yöneticisi olan Alejandro Botter Clarín'e .

Şifre sızıntıları yapay zeka patlamasından önce de yaygındı ancak bu yeni gelişmeyle durum daha da karmaşık bir hal alıyor.

Akılda tutulması gereken bir nokta, Fortiguard istihbarat raporunun, siber suçluların işlerini kolaylaştıran otomasyon araçlarının kullanımıyla 2024'e kadar siber saldırılarda bir artış olacağını vurgulamasıdır : Bu araçlar, saniyede 36.000 tarama ile aynı anda birden fazla saldırının gerçekleştirilmesine olanak tanıyan botları programlıyor. Bu, "Hesaplarıma neden erişmek istesinler ki?" şeklindeki klasik kullanıcı sorusuyla karşı karşıya kalındığında, artık bir anlamı yok: tüm bilgilerimiz siber suçlular için değerli.

Kaspersky, 2023'te Latin Amerika'da 32 milyondan fazla parola çalma saldırısı girişimi tespit etti; bu rakam, 2022'de kaydedilen 40 milyondan biraz daha düşük. Başka bir araştırmanın sonuçlarına göre, analiz edilen tüm parolaların %45'i dolandırıcılar tarafından bir dakikadan kısa sürede tahmin edilebildi ve yalnızca %23'ü yeterince güçlüydü: Bunları kırmak bir yıldan fazla sürecekti.

Siber güvenlik firması Check Point Research'ün istihbarat bölümü, bu senaryonun ortasında, geleneksel parolaların döneminin sona ermesi ve yerine biyometrik kimlik doğrulama gibi daha modern mekanizmaların getirilmesi gerektiği konusunda bir tartışmanın ortaya çıktığı konusunda uyarıyor.

Fortinet, kimlik bilgisi hırsızlığı yöntemlerinin giderek çeşitlendiğini, kimlik avı ve sosyal mühendislik tekniklerinden, güvenli olmayan ağlardaki hassas verileri yakalayan özel yazılımlar kullanılarak trafik kesintisine kadar uzandığını, bu nedenle her zaman yedekleme yapılması gerektiğini açıklıyor.

Kaspersky endişe verici bir istatistik daha paylaşıyor: Bölgedeki her beş kişiden birinin en az bir çevrimiçi hesabı çalındı. Şili ve Peru gibi ülkelerde bu oran yüzde 23'ü aşarken, Arjantin ve Brezilya gibi ülkelerde ise yüzde 18 civarında.

Check Point anahtarlarımızı geliştirmek için bir rehber sunuyor:

FortiGuard Labs'ta Latin Amerika ve Karayipler için siber güvenlik stratejisti olan Arturo Torres bunu şu şekilde özetliyor: "Parolaların çalınabileceği yolların tam bir listesini derlemek neredeyse imkansızdır. Bu yüzden en baştan güvenli alışkanlıklar edinmek önemlidir."

Peki başlangıç ​​nedir? Bir parola yöneticisi kullanmayı (buraya bakın) veya bu işe yaramazsa "anahtar"lara geçmeyi düşünün.

Bazı teknoloji şirketleri, geçiş anahtarları veya dijital erişim anahtarları gibi alternatif mekanizmaları şimdiden teşvik ediyor. Örneğin Google, bu yöntemleri kullanarak şifresiz giriş yapmanıza olanak sağlıyor.

"Bu, bir kimlik doğrulama yöntemi olarak kullanılan bir tür 'dijital kimlik bilgisi'dir (yani, bir sistemin bir kullanıcının gerçekten iddia ettiği kişi olduğunu doğrulayabilmesi için). Bir paroladan daha güvenlidir çünkü izin verdiği şeye erişmek için hiçbir şeyi hatırlamanıza gerek yoktur. Bu ifadenin kendisi bir çelişki gibi görünebilir, çünkü kaybedebileceğim veya çaldırabileceğim bir şey hafızamda olan bir şeyden nasıl daha güvenli olabilir?" Arjantinli BASE4 Security şirketinin uzmanı Federico Pacheco şöyle açıklıyor:

"Ve paradoks ölçek hakkında düşünülerek çözülür: 100 hizmete, uygulamaya veya web sitesine erişmem gerekirse, ya parolaları tekrarlamam ya da onları unutma ve bir parola yöneticisine ihtiyaç duyma riskine girmem gerekir. Bir Passkey ile, 100 hizmetin tümü için yalnızca bir cihaza ihtiyacım olur. Bana şiirsel bir lisans verirseniz: Bir Passkey, yüzlerce karakterden oluşan parolalar kullanmaya eşdeğerdir," diye ekledi San Francisco'dan uzman, RSA güvenlik konferansında.

Sorun şu ki birçok platform hala geleneksel anahtarlara güveniyor. Finans gibi sektörler fiziksel token veya geçici doğrulama kodları gibi yöntemleri benimsemiş olsa da tam geçiş kolay olmayacak.

Uzmanların tavsiyesi de aynı derecede net: "Bir şifreyi öldürebildiğiniz her zaman öldürün : Dünya daha güvenli bir yer olacak," diyor sektörün deneyimli isimlerinden biri.