BtcTurk Siber Güvenlik Direktörü

Emre Yılmaz

 

BtcTurk Siber Güvenlik Direktörü Emre Yılmaz, Fintechtime okurları için kaleme aldı, “Hesaplar ve parolalar da farkındalığınız kadar güvendedir”.

“Süt Kardeşler” filminde Kemal Sunal ile Şener Şen arasındaki o meşhur sahneyi hepimiz hatırlarız;

  • Hah Buldum! Başak,
  • Bulamadın Şafak!

Herkesi gülümseten bu sevimli sahnedeki parola ve işaret uygulaması askeri terminolojide karşıdaki kişinin gerçekten söylediği kişi olup olmadığını anlamak için kullanılır. Parolalar bilişim güvenliğinde de benzeri bir amaç için kullanılır.

 

Parola kelimesinin sözlük anlamı, çevrimiçi / çevrimdışı varlıklara erişimi kontrol etmek için kullanılan gizli sözdizimleridir. Çoğunlukla “şifre” sözcüğü ile karıştırılır. İşin felsefesinde, şifre ile parola farklı kavramlardır. Şifre, bazı algoritmalar kullanılarak bir veriyi geri döndürülemez hale getirmektir. İdeal dünyada “şifremi değiştirdim” yanlış bir söylemdir. Doğrusu “parolamı değiştirdim” dir. Günlük yaşamda bu iki kavram tamamen birbirine girmiştir.

Her şeyin dijitalleştiği, paranın, kişisel verilerin dijital ortamlarda saklandığı çevrimiçi/çevrimdışı hesapların güvenliği için parola artık tek başına yetersiz kaldı. Bunun için 2. ve 3. doğrulama sistemleri geliştirildi. Bu sistemlerin en yaygını ikinci faktör doğrulama (Two Factor Authentication; kısaca 2FA) sistemleridir. Bu sistemler ile kullanıcı adı/parola ikilisini kişinin doğru kişi olduğundan emin olmak için 2FA uygulamalarından alınan (SMS ya da Authenticator uygulamaları) geçici parolalar da kullanılmaktadır. Yakın geçmişte “2FA destekleyen servisleri tercih edin” söylemi artık yerini “2FA desteklemeyen servisleri kullanmayın” söylemine bırakmıştır. Siber güvenlik profesyonelleri olarak özellikle kişisel veri barındıran, ancak 2FA sistemleri desteklemeyen sosyal medya platformları, finansal siteler gibi hizmetlerin kullanılmasını önermiyoruz.

2FA metotları güvenliği arttırsa da parola güvenliği hala önemini korur. Güvenli parola oluşturabilmek için;

  • Parolalar en az 8 veya daha fazla karakterden oluşmalıdır.
  • Anlamlı kelimelerden (şehir isimleri, plaka kodları, film isimleri) ve rakamlardan kesinlikle parola oluşturulmamalıdır.
  • Harf, sayı ve karakter karmaları kullanılmalıdır.
  • Parolalar ortalama 3 ayda bir defa değiştirilmelidir.

 

Parola güvenliğini en üst düzeyde tutabilmek için bazı prensiplere dikkat edilmelidir.

  • Aynı parolaların birden fazla hesapta ya da sitede kullanılmasından kesinlikle kaçınılmalıdır.
  • Her ne sebeple olursa olsun hesap parolaları hiç kimseyle paylaşılmamalıdır.
  • Parolalar bilgisayarınızın masaüstünde kolayca erişilebilen bir dokümanda asla saklanmamalıdır.
  • E-posta, WhatsApp ya da anlık mesajlaşma uygulamaları ile gönderilen parolalar artık güvenli kabul edilmez, değiştirilmelidir.
  • Kamuya açık alanlarda finansal servislere parolanız ile girmek zorundaysanız, bu parolayı ilk fırsatta değiştirmenizi de öneririz.

 

Onlarca çevrimiçi hesap sahibi olduğumuzu düşünürsek her birine bu düzeyde karışık parola belirlemek ve akılda tutmak imkânsız gibi görünüyor. Neyse ki gelişen teknoloji buna da bir çözüm üretti: Parola yöneticileri.

Parola yöneticileri tüm online hesaplarınızın parolalarını saklayabilen, size karmaşık parolalar üretebilen ve bunları başka hesaplarda kullanmamanızı sağlayan güvenli uygulamalardır. İnternette kolay bir arama ile bu konuda marka olan bu konuda uzmanlaşmış küresel firmaları bulabilirsiniz.

Biyometrik parolalar da gerçek hayatımızın içinde pratik ve güvenli bir çözüm olarak yer alıyor. Parmak izi, retina taraması, yüz tanıma gibi doğrulama sistemleri telefonlar ve bilgisayarlarda standart olarak bulunuyor. Şifre ve parola kavramı gibi felsefik bir yaklaşımla biyometrik verinin asla parola yerine kullanılmaması gerektiğini söyleyebiliriz. Parolaların en önemli özellikleri “değiştirilebilir” olmasıdır. Yani parolanız bir başkasının eline geçerse parolanızı değiştirebilmelisiniz. Biyometrik veri daha sonra değiştirilemediğinden parola prensiplerine uymaz. Varsayılan komplo teorileri de biyometrik tanıma sistemlerinin kullanılmaması yönündedir.

Unutmamak gerekir ki hesaplar ve parolalar da farkındalığınız kadar güvendedir.