Can Şişman / milliyet.com.tr - Yaşadığımız dijital çağda çevrimiçi gizlilik en önemli konulardan biri haline geldi. Bunun en büyük nedeni ise son dönemde pek çok şirket ve kullanıcının siber korsanların hedefinde olması. Siber korsanlar kişisel verilerimizi ele geçirebilmek için her gün yeni yöntemler buluyor. Özellikle sosyal medya ve internet bankacılığı işlemlerinde kullanılan şifreler oldukça büyük öneme sahip. Çünkü bilgisayar korsanları kolay şifreleri sadece birkaç saniye içerisinde kırabiliyor.
Geçtiğimiz günlerde Nordpass şirketi tarafından yayınlanan son araştırma ise şifrelerin güvenliğini bir kez daha gözler önüne serdi. Araştırmaya göre, 2021 yılında dünyada en çok kullanılan şifrelerin '123456', '123456789', '12345', 'qwerty' ve 'password' olduğu ortaya çıktı. İlk sıradaki '123456'yı dünya genelinde tam 103 milyon 170 bin 552 kişi kullanıyor.
Türkiye'de ise ilk 5'te '123456', '123456789', '12345', 'password' ve '12345678' şifreleri yer aldı. Dünya genelindeki ilk sırada yer alan '123456' şifresini Türkiye'de tam 1 milyon 461 bin 585 kişi kullanıyor.
ŞİFRELERİ SADECE 1 SANİYE İÇİNDE KIRIYORLAR
Türkiye'de en çok kullanılan şifreler sıralamasında 'sanane' yedinci, 'galatasaray' 9'uncu, 'asdasd' 10'uncu, 'fenerbahce' 11'inci, 'istanbul' ise 12'nci oldu. Türkiye'deki listede kullanıcıların kendi isimlerini şifre olarak belirlemesi de dikkat çekti. Buna göre 'mustafa' 13'üncü, 'mehmet' 15'inci, 'zeynep' ise 18'inci sırada yer aldı. Listeye göre bu şifrelerin kırılma süreleri de dikkat çekici. Rakamlardan oluşan şifreleri kırmak sadece 1 saniye sürüyor. 'Mustafa' ya da 'Zeynep' gibi özel isimler ya da şehir isimlerinin kırılması ise sadece 2 dakikayı buluyor.
Peki bu tablo bize neyi anlatıyor? Güvenli bir şifre nasıl olmalı? Türk kullanıcılar şifre belirlerken nelere mutlaka dikkat etmeli? Konuyu WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez ve Marmara Üniversitesi İletişim Fakültesi Görsel İletişim Tasarımı Anabilim Dalı Başkanı Doç. Dr. Ali Murat Kırık ile konuştuk.
TÜRKLER EN ÇOK BU HATAYI YAPIYOR
Nordpass şirketinin belirlediği listede diğer ülkelerin aksine Türklerin 'sanane' gibi akla gelen ilk kelimeyi şifre olarak belirlemesi oldukça dikkat çekici. WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, 'sanane' gibi rastgele belirlenmiş şifrelerin daha sonra değiştirilmek üzere kullanıldığını ancak kullanıcıların bu şifreleri değiştirmeyi unuttuklarını söylüyor.
Ona göre Türklerin diğer ülke vatandaşlarına göre önemli bir farkı var. Evmez, "Türkler doğum günü ya da evlilik tarihi gibi özel günleri çok fazla kullanıyor. Bu durum, sosyal mühendislik ile bu şifrelerin çok kolay ele geçirilebileceği anlamına geliyor" diyor.
'BİLE BİLE LADES'
Doç. Dr. Ali Murat Kırık'a göre ise listede dikkat çeken en temel nokta seçilen şifrelerin neredeyse hepsinin bir saniyede kırılacak olması. "Klavyedeki harflerin ve sayıların sıralı bir şekilde yazılması şifrelerin ele geçirilmesine adeta davetiye çıkarmakta" diyen Kırık'a göre kolay şifreleri çeşitli şifre çözme araçlarıyla sadece birkaç saniye içinde kırmak mümkün.
Diğer ülkelere kıyasla Türkiye'de isimlerin ve spor kulüplerinin şifre olarak daha sık tercih edildiğini söyleyen Kırık, "Gerek Türkiye gerekse dünyada şifre güvenliği hep ikinci plana atılıyor" diyor. Sadece harf ya da sadece sayılarından seçilmiş şifrelerin hiçbir zaman güvenliği olmadığının altını çizen Kırık, "Bu durumu 'bile bile lades' olarak tanımlayabiliriz. Hesap güvenliği güçlü şifreler oluşturmakla doğrudan orantılı" diyor.
'ÇOK BÜYÜK RİSK BARINDIRIYOR'
Peki 'Siber güvenlik konusunda dünya ve Türkiye gereken önemi vermiyor' diyebilir miyiz? Siber güvenlik konusunda geçmişe göre daha fazla dikkat edildiğini söyleyen Yusuf Evmez, kullanıcı alışkanlıklarının değişmesinin ise çok daha fazla zaman aldığına dikkat çekiyor. Basit şifrelerin sadece normal kullanıcılar tarafından değil aynı zamanda işini hızlıca bitirmek isteyen IT personelleri tarafından da oluşturulduğunu söyleyen Evmez, "Bu durum büyük bir risk barındırıyor. Çünkü basit şifrelerin şirket kullanıcı hesaplarında kullanılması şirketlerin siber güvenlik önlemlerinin hiçe sayılması anlamına geliyor" diyor. Evmez, değiştirilmesi unutulan bu şifrelerin istenmeyen sonuçları beraberinde getirdiğine dikkat çekiyor.
Doç. Dr. Ali Murat Kırık da son 10 yılda veri ihlalleri ve şifre sızıntılarının birçok şirketi olumsuz yönde etkilediğine vurgu yapıyor. Türkiye'de siber güvenliği ikinci planda tutulduğunu ancak bu hataya düşülmemesi gerektiğini söyleyen Kırık, dijital okur yazar olmanın önemini hatırlatıyor. Kırık, "Çevrimiçi hesaplarınız varsa bilgisayar korsanları muhtemelen en az birinden veri sızdırmıştır. Bir de üstüne çoğunlukla ilk akla gelen rakamların ya da kelimelerin tercih edilmesi verilerin sızdırılmasını, hesapların ele geçirilmesini gittikçe kolaylaştırır" diyor.
'HACK'LENME RİSKİ ÇOK FAZLA'
Hack'lenme olaylarının her yıl daha da arttığı bir dijital çağda kullanıcılar neden 'kırılması' bu kadar kolay şifreleri seçiyor olabilir? Yusuf Evmez, bunun birkaç sebebi olacağını söylüyor. Normal bir insanın hayatı boyunca minimum 80 hesaba sahip olduğunu söyleyen Evmez, her hesap için farklı şifre üretmenin zor olduğunu belirtiyor. "Özellikle şirketlerde bu tarz şifrelerin kullanımı birkaç güvenlik politikası ile yasaklanabiliyor" diyen Evmez, şöyle devam ediyor:
"Ancak yöneticiler, güvenlik politikalarını hiçe sayarak kolay şifreyi tercih edebiliyorlar. Her ne kadar basit şifrelerin değiştirilmesi gerektiği kullanıcılara bildirilse de çoğunlukla iş yoğunluğundan ötürü şifreleri değiştirmek unutuluyor ve ortaya olumsuz bir tablo çıkıyor."
Doç. Dr. Ali Murat Kırık da insanların genellikle kolay hatırlayacakları şifreleri tercih ettiğini söylüyor. Dijital çağda birçok uygulamanın kullanıldığını ve her uygulamanın da bir şifre gerektirdiğini hatırlatan Kırık, şu önemli uyarıyı yapıyor: "Her uygulamada aynı şifrenin kullanılması hack'lenme riskini artırıyor." Bilgisayar korsanlarının en çok rastgele karakter dizilerini kırmakta zorlandığını söyleyen Kırık, sırf akılda kalması için seçilen şifrelerin hesap güvenliğini riske attığının altını çiziyor.
'O ŞİFRELERİ KIRMAK 10 İLE 100 YIL ARASI SÜRER'
Dünyada ve Türkiye'de sadece rakamlardan ya da harflerden oluşan şifreler kullanılıyor. Peki güvenli bir şifre nasıl olmalı? Güvenli bir şifre belirlemek için en doğru yöntem harf hem de rakamları mı kullanmak? Yusuf Evmez, siber güvenlikte yüzde 100 oranında bir güvenlilikten bahsedilemeyeceğini ancak yine de zor kırılabilecek şifrelerin 'güvenli şifre' olarak adlandırıldığını söylüyor. Kolay şifrelerin sadece 1-2 saniyede kırılabildiğini söyleyen Evmez, "Güçlü bir şifre oluşturduğunuzda bunu kırmak şu anki işlem gücüyle 10 ile 100 yıl arası sürebiliyor" diyor.
Saldırganların işini zorlaştırmak için büyük ve küçük harf, rakam ve özel karakterleri kullanmanın önemine dikkat çeken Evmez, şöyle devam ediyor: "Yüzde 100 oranında güvenli bir şifre olmayacağından dolayı mümkün olan her platformda çok faktörlü kimlik doğrulama çözümleri ile ikinci bir doğrulama kullanmak daha güvenli."
Doç. Dr. Ali Murat Kırık ise güvenli bir şifrenin uzun olması gerektiği görüşünde. Kırık'a göre bir şifrenin güvenli olması için 15 karakterden kısa olmamalı, hatta 15 karakterin de üzerine çıkılmalı. Kırık da tıpkı Evmez gibi büyük ve küçük harf, sayılar ve sembollerin güçlü şifre belirlerken mutlaka tercih edilmesi gerektiğini söylüyor. Kırık'a göre sıralı harfleri ve sıralı sayıları kullanmamak da çok önemli.
OLTALAMA SALDIRILARINA DİKKAT!
Siber korsanlar sadece büyük şirketleri değil bireysel olarak kullanıcıları da hedef alıyor. Peki internetteki güvenliğimiz için bireysel olarak nelere özellikle dikkat etmeliyiz? Hangi hataları asla yapmamalıyız? Yusuf Evmez, "Şirketinizin büyüklüğü veya bireysel olarak toplumdaki yerinizin bir önemi yoktur" diyor. Kurumları hedef alan siber saldırganlarının yolunun bireysel hesaplardan geçtiğine dikkat çeken Evmez, "Bireysel hesabınızın saldırıya uğraması ve verilerinizin ifşa olması bir sonraki aşamada bu verilerin kullanılarak şirketinize yapılabilecek bir saldırı için zemin hazırlar" diyor.
En çok yapılan siber saldırı tipinin oltalama saldırıları olduğunu vurgulayan Evmez, mail'lere çok dikkat edilmesi gerektiğini şu sözlerle anlatıyor: "Oltalama saldırıları e-posta adresinize gelen, gerçek olmayan bir mail içerisindeki ek dosya ya da link ile başlıyor. Eğer yeterince dikkat etmiyorsanız fark etmeden saldırganlar hesabınıza erişim sağlayabilir."
BU BİLGİLERİ SAKIN PAYLAŞMAYIN!
Posta kutusuna ulaşan her mail'in gerçekten kullanıcıları ilgilendirip ilgilendirmediğine çok dikkat edilmesi gerektiğini söyleyen Yusuf Evmez, kullandığımız antivirüs yazılımlarının güncel olup olmadığına dikkat edilmesi gerektiğini belirterek şunları ekliyor: "Kurumsal mail adresi ve şifrelerimizi bireysel hesaplarımızda kullanmamalıyız."
Doç. Dr. Ali Murat Kırık da internet güvenliği için şifre belirlerken ad, doğum günü, kullanıcı adı ya da e-posta adresi gibi kişisel bilgilerin asla kullanılmaması gerektiğini vurguluyor. Sözlükte bulunabilecek kelimeleri kullanmaktan kaçınılması gerektiğini söyleyen Kırık, rastgele şifrelerin en güçlü şifreler olduğunun altını çiziyor. Kırık, şunları söylüyor: "Bir tane güçlü şifre oluşturmakta sorun yaşıyorsanız bunun yerine bir şifre oluşturucu kullanabilirsiniz. Rastgele parolaların basit kalıplardan çok daha güçlü olduğunu unutmamalısınız."
NASIL BİR ŞİFRE BELİRLEMELİ?
Peki bir kullanıcının üyelik gerektiren bir sitede belirlediği şifreyi bir başka platformda kullanmaması siber güvenlik için olumlu ve yeterli bir çözüm mü? Bu kadar çok şifre gerektiren bir çağda kullanıcılar her site için farklı şifre mi belirlemeli? Yoksa güvenli bir şifreyi farklı mecralarda kullanmak uygun bir çözüm yolu mu?
Yusuf Evmez, her bir sitede farklı şifre kullanmanın oldukça güvenli gözüktüğünü ancak kullanıcıların sık sık farklı şifreleri unuttuklarını ve böylece tekrar aynı şifrelerin tercih edilmeye başlandığını söylüyor. Kullanıcı alışkanlığı olarak güçlü bir şifrenin çok faktörlü kimlik doğrulama ile korunarak birden çok platformda kullanıldığını da söyleyen Evmez, "Her iki yöntem de siber güvenliğe katkı sağlar" diyor.
'ANAHTARLARI PASPASIN ALTINA BIRAKMAK GİBİ'
Doç. Dr. Ali Murat Kırık ise aynı parolayı kullanan kişilerin risk altında olduğunu şu sözlerle ifade ediyor: "Çevrimiçi bankacılık hizmetlerine, e-ticaret sitelerine ve hassas veriler gerektiren diğer internet tabanlı hizmetlere kaydolurken aynı parolayı kullanan müşteriler farkında olmadan artan hesap dolandırıcılığına katkıda bulunuyor."
Aynı parolayı farklı platformlarda kullanmanın bilgisayar korsanlarına kolay erişim sağladığını söyleyen Kırık'a göre bu durumun anahtarları paspasın altına bırakmak gibi olduğuna dikkat çekiyor. Sahip olunan her hesap için benzersiz ve güçlü bir şifre kullanılması gerektiğinin altını çizen Kırık, hesaplardan biri ele geçirilse dahi farklı ve güçlü şifre kullanımından ötürü korsanların diğer hesaplarınıza girmesini zorlaştırdığını söylüyor.