En Karmaşık Parolanız Bile Neden Yakında Kırılacak?

Tüm veri ihlallerinin %80'inden fazlası parolalarla ilgilidir. Her hesap için karmaşık ve farklı parolalar kullanmak güvenliği artırabilir. Ancak, güçlü parolalara sahip müşteri hesapları bile hacklenebilir.

Uygulamalar veya web siteleri üzerinden dijital hesaplarda oturum açmaktan bahsettiğimizde, aklımıza bir kullanıcı adı ve parola kombinasyonu gelir. Gizli parolalar binlerce yıldır kullanılmaktadır. Temelinde basit bir kavram yatar: Bireyler arasında gizli tutulan ve kimliği kanıtlamak için kullanılan paylaşılan bir bilgi parçası.

İnsanların hayatlarının büyük bir kısmını çevrimiçi geçirdiği zamanlarda, bu basit kavramın kullanımı yaygındır. Anketler, yeni uygulamaların ve çevrimiçi hizmetlerin patlamasına yanıt olarak, kullanıcı başına parola korumalı hesap sayısının son yıllarda katlanarak arttığını bulmuştur. NordPass tarafından görevlendirilen bir çalışma, 2019 ile 2020 yılları arasında kullanıcı başına parola sayısının %20 artarak ortalama 83'ten 100'e çıktığını ortaya koydu.

Parola korumalı hesapların sayısındaki artış ilk başta bir sorun teşkil etmez. Ancak, kullanıcıların parolaları nasıl ayarladığı ve yönettiği kesinlikle bir sorundur. Bir parola statiktir ve bu nedenle kullanıcı tarafından hatırlanmalı veya yapışkan bir notta ya da bir parola yöneticisinde saklanmalıdır. Ortalama bir kişi yalnızca 7 harf veya rakamdan oluşan bir kombinasyonu hatırlayabildiğinden, 100 ayrı parolayı hatırlamak oldukça zahmetli olabilir. Sonuç olarak, kullanıcılar aile üyelerinin adları, doğum tarihleri veya internette hala en çok kullanılan parola olan 123456 gibi basit parolalar kullanma eğilimindedir. Peki ama parolalar neden en başta bir güvenlik sorunudur?

Parolaların yeniden kullanılması, güvenlik ihlallerinin bir numaralı nedenidir#

Tüm hesaplarını yönetmek için kullanıcıların %52'si, parolaları ciddi sonuçlara yol açacak şekilde yeniden kullanıyor. Bu, bilgisayar korsanlarının en zayıf halkaya (en düşük güvenlik standartlarına sahip web sitesi) saldırarak çeşitli hesaplara erişmesini sağlar. Örneğin, Facebook hesabınız karmaşık bir parola ve güçlü güvenlik standartlarıyla korunmaktadır. Ancak, kimlik bilgilerinizin MySpace'in 2008'de yaşadığı ve 359.420.698 kimlik bilgisinin çalındığı gibi önceki bir veri ihlaline karışmış olma ihtimali yüksektir. Ve bu sadece bir örnektir. Forbes'a göre, çalınan kimlik bilgilerinin sayısı 2018'den bu yana %300 arttı. Bugün, 100.000 veri ihlalinden elde edilen 15 milyardan fazla kimlik bilgisi internette herkes tarafından satın alınabiliyor. Bilgisayar korsanları bu kimlik bilgileriyle, hesaplarınıza erişmek için yüzlerce platformda büyük ölçekli oturum açma istekleri (kimlik bilgisi doldurma (credential stuffing) saldırıları olarak adlandırılır) gerçekleştirir.

Karmaşık parolalar bile güvenli değildir#

Bilinen bu riske rağmen, ihlal edilen kimlik bilgilerinin %70'i hala kullanılmaktadır. Genel olarak, kimlik bilgisi doldurma saldırıları, her platformdaki her hesap için parola yöneticileriyle birlikte farklı, karmaşık parolalar kullanılarak önlenebilir. Ancak, karmaşık parolalar bile saniyeler içinde kolayca kırılabilir. Geçen yıl, akla gelebilecek her parolayı üretmeye çalışan bir bilgisayar rekor kırdı. Saniyede 100.000.000.000 tahminden daha yüksek bir hıza ulaştı. Rastgele kullanıcı adı/parola kombinasyonlarını denemek için bu tür komut dosyalarını kullanmaya kaba kuvvet (brute force) yöntemleri denir.

Ancak parolanız kaba kuvvetle kırılmasa bile, yine de tamamen güvenli değildir. Bir müşteri olarak, oturum açtığınız platformların güvenlik standartlarına güvenmek zorundasınız. Zayıf bir koruma durumunda, ne kadar karmaşık olursa olsun herhangi bir parola çalınabilir.

Bilgisayar korsanları yaratıcıdır ve yöntemlerini sürekli geliştirmektedir#

Ne yazık ki, kimlik bilgisi doldurma ve kaba kuvvet, müşteri hesaplarına yetkisiz erişim elde etmenin tek yöntemleri değildir. Yaygın bir başka teknik ise, kullanıcıları kandırarak kimlik bilgilerini girmelerini sağlamak için orijinal sitenin sahte bir kullanıcı arayüzünün kullanıldığı oltalama (phishing) yöntemidir. Diğer yöntemler, halka açık WiFi ağları gibi iletişim akışlarının kesildiği ortadaki adam (man-in-the-middle) saldırıları veya kimlik bilgilerini ele geçirmek için bilgisayara kötü amaçlı yazılım (malware) yüklendiği tuş kaydetme (keylogging) yöntemleridir.

Parolalar var olduğu sürece müşteri hesapları hacklenecektir#

Yukarıda özetlenen sorunlar, tüm veri ihlallerinin ve bilgisayar korsanlığı saldırılarının %80'inden fazlasının parolalardan kaynaklanmasının nedenidir ve kimlik doğrulamayı yönetmek için yalnızca kullanıcı adı ve paroladan daha iyi bir yaklaşıma ihtiyacımız olduğunu vurgulamaktadır. İki Faktörlü Kimlik Doğrulama (2FA) gibi gelişmeler güvenlik açısından doğru yönde ilerlemektedir, ancak kullanıcı benimseme oranı oldukça düşüktür. Öyleyse neden parolaları tamamen atlayıp parolasız geçiş yapmıyorsunuz? Kulağa ilginç geliyor mu? Corbado'nun parolasız çözümlerini keşfedin ve geleceğin kimlik doğrulaması hakkında ilk izlenimi edinin!

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Benzersiz ve karmaşık bir parola kullanmak hesabımı güvende tutmak için neden yeterli değil?#

Parolayı depolayan platform zayıf güvenlik standartlarına sahipse, karmaşık bir parola bile tehlikeye girebilir. Çünkü gücü ne olursa olsun her parola savunmasız bir sunucudan çalınabilir. Oltalama (phishing), tuş kaydedici (keylogging) ve ortadaki adam (man-in-the-middle) saldırıları gibi teknikler, kimlik bilgilerini şifreleme uygulanmadan önce ele geçirir ve bu da parolayı ne kadar karmaşık olursa olsun en zayıf halka haline getirir.

Kimlik bilgisi doldurma (credential stuffing) nedir ve çalınan kimlik bilgilerinin boyutu onu neden bu kadar tehlikeli kılıyor?#

Kimlik bilgisi doldurma, bir ihlalden çalınan kullanıcı adı ve parola çiftlerini almayı ve bunları yüzlerce başka platformda otomatik olarak test etmeyi içerir. İnternette satın alınabilen 100.000 veri ihlalinden elde edilen 15 milyardan fazla kimlik bilgisi ile saldırganların çalışabileceği devasa veri setleri vardır. Yalnızca 2008'deki MySpace ihlali, kurbanların bu parolaları yeniden kullandığı her yerde istismar edilmeye devam eden 359 milyondan fazla kimlik bilgisini ifşa etmiştir.

Neden bu kadar çok kullanıcı riskleri bilmesine rağmen hala zayıf veya yeniden kullanılan parolalara güveniyor?#

Ortalama bir kişi yalnızca yaklaşık 7 harf veya rakam kombinasyonunu güvenilir bir şekilde hatırlayabilir. Bu da 100 benzersiz, karmaşık parolayı ezberlemeyi pratik olarak imkansız hale getirir. Bu bilişsel sınır, kullanıcıların %52'sinin parolaları farklı hesaplarda yeniden kullanmasına yol açar ve bu da bilgisayar korsanlarının kullanıcının kaydolduğu en az güvenli olan tek platformu hedef alarak birden fazla hizmete erişmesine olanak tanır.

İki faktörlü kimlik doğrulama gibi çözümler, parolaları tamamen değiştirmek için yeterli mi?#

İki faktörlü kimlik doğrulama güvenlik için doğru yönde bir adımdır, ancak makale kullanıcı benimseme oranının oldukça düşük kaldığını ve bunun da pratik etkisini sınırladığını belirtiyor. Daha umut verici yön, oltalama, kaba kuvvet ve kimlik bilgisi doldurma saldırılarının temelinde yatan statik paylaşılan sırrı ortadan kaldıran parolasız kimlik doğrulama yoluyla parolaları tamamen ortadan kaldırmaktır.