Şifre Yöneticileri - SANS Securing the Human

advertisement
OUCH! | Ekim 2013
BU SAYIDA...
• Problem
• Çözüm
• Şifre Yöneticileri Nasıl Çalışır?
• Birini Seçmek
Şifre Yöneticileri
Problem
Çoğunlukla kişilerin kendi kimlik ve bilgilerini korumak
Konuk Editör
için öğrendikleri ilk şey güçlü parolalar kullanmaktır.
George Bakos 2001’den beri SANS Enstitüsünde
Güçlü bir parola sadece siber suçluların tahmin
sertifikalı eğitmen ve
Northrop Grumman’ın
etmelerini zorlaştırmak için değil aynı zamanda
istihbarat ve tepki teknik yönetcisidir. George bu
otomatik bilgisayar korsan araçlarına da dayanıklı
Kasım’da Güvenlik502, Detaylı Çevre Güvenliği
olması için gereklidir. Yaygın bir temel kural: şifreniz
dersini vermek için Londra’da olacaktır.
ne kadar uzun ve karmaşıksa o kadar güçlü ve
güvenlidir. Buradaki problem güçlü parolaların zor
hatırlanabilmesidir. Bu yüzden, insanlar genellikle
bir tane güçlü şifre oluşturup bunu ya da bu şifrenin hafif değiştirilmiş halini tüm çevrim-içi hesaplarında,
uygulamarında ve cihazlarında kullanırlar. Daha da tehlikelisi, çoğu insanın aynı şifreyi hem kişisel hem de
işteki hesaplarında kullanmalarıdır. Eğer siz de şifresini birçok hesapta yeniden kullanan kişiler arasındaysanız,
büyük bir risk altındasınız. Siber suçlular sizin şifrenize ulaştığında, siber suçluların bu şifre ile kullandığınız diğer
tüm hesaplara da ulaşması imkan dahilindedir. En nihayetinde size gereken, her hesap için farklı ve güçlü şifre
oluşturmaktır. Bu sayede eğer biri sizin herhangibir hesabınızın şifresine erişse bile diğer hesaplarınız güvence
altında olacaktır. Ne yazık ki çok fazla cihaza ve hesaba sahip olduğumuzdan sayısı sürekli artan şifrelerimizi
hatırlamak neredeyse imkansız hale gelmektedir.
Çözüm
Şifreleri bir kağıda yazmak ya da daha kötüsü kağıda yazıp bilgisayar monitörlerine yapıştırmak (bir kez kapalı
binaların camlarından bakıp moniterlerinin etketlerle dolu olup olmadığına bakın) insanların sıklıkla kullandıkları
bir çözümdür. Başka kişilerin şifrelerinizi bulup okuyabileceklerinden bu çözüm yetersiz bir güvenliğe sahiptir,
özellikle seyahat ediyorsanız ve şifrelerini kaybettiyseniz ya da çaldırdıysanız. Bunun yerine istediğimiz tüm
şifrelerinizi güvenli bir şekilde bir yerde saklayabileceğiniz bir çözümdür. Daha da iyisi sizin yerinize tüm süreci
basitleştiren otomatik bir şekilde şifrelerinizi okuyup web sayfalarına ve uygulamalara giriş yapan bir bilgisayar
programı olacaktır. En iyisi ise size güçlü şifreler oluşturan ve belki de sizin kredi kartı bilgileriniz gibi diğer gizli
bilgilerinizi de saklayabilecek bir programdır. Şanslıyız ki, şifre yöneticileri olarak adlandırılan (bazen şifre kutusu
da denilen) böyle bir çözüm mevcuttur.
OUCH! | Ekim 2013
Şifre Yöneticileri
Şifre Yöneticileri Nasıl Çalışır?
Bir şifre yöneticisi sanal bir kasa gibi davranır. İlk
önce bu sanal kasayı kendi bilgisayarınıza ya da
mobil cihazınıza yüklersiniz. Daha sonra bu program
sizin tüm kullanıcı adlarınızı ve şifrelerinizi alarak bu
bilgileri şifreler, sizin bilgisayarınızda ya da bulutta
bulunan bir vertabanında saklar. Bu veritabanı daha
sonra sizin şifre yöneticisi için oluşturduğunuz özel
bir şifre ile korunur. Böylece sizin şifre yöneticinize
ait olan sadece bir şifreyi hatırlamanız yeterlidir.
Örneğin, ne zaman çevrimiçi bankaya giriş yapmak ya
da e-posta adresinize girmek isterseniz, sadece şifre
yöneticinizin şifresini kodlamanız yeterli olacaktır. Bu
size, binlerce hesabınız olsa da, hesaplara ait şifreleri
hatırlamadan ve hatta görmeden her hesabınız için
özel bir şifreye sahip olmanıza olanak verir. Ancak
şifre yöneticileri hassas bilgilerinizi sakladığından
yönetici şifrenizi unutmayacağınızdan ve şifrenizin
çok güçlü olduğundan emin olun.
Şİfre Yöneticileri birbirinden
farklı hesaplarınıza ait olan farklı
şifrelenizin hepsini güvenli bir şekilde
saklamanızın kolay bir yoludur .
Birçok yeni şifre yöneticisi tarayıcınızla bile entegre çalışabilmektedir. Sevdiğiniz bir çevrimiçi mağazası gibi
bir web sitesini ziyaret ettiğinizde şifre yöneticisi sizin yerinize otomatik olarak giriş yapacaktır. Eğer bu siteye
ait şifrenizi değiştirirseniz şifre yöneticisi de şifrenizi güncelleyecektir. Bazı şifre yöneticileri mobil cihazlarda da
çalışabilmektedir ancak bunların çoğu diğer mobil uygulamalarla entegre çalışmaz. Sadece mobil tarayıcınızla
entegre olabilir.
Birini Seçmek
Seçilebilecek birçok bedava, açık kaynak ve ticari şifre yöneticisi bulunmaktadır. Sizin için en iyisini seçmek
istediğinizde lütfen aşağıdakileri aklınızda bulundurun.
• Sadece iyi bilinen ve güvenilir çözümleri kullanın. Uzun süredir piyasada olmayan ya da az veya hiç
bir topluluk desteği olmayan çözümlere dikkat edin. Siber suçlular sahte çözümler tasarlayarak sizin
bilgilerinizi çalışmalıdır.
• Seçtiğiniz çözüm ne olursa olsun çözümün aktif bir şekilde güncellendiğinden, yamalarının çıkarıldığından
ve son sürümü kullandığınızdan emin olun.
• Çözüm sizin için kullanımı kolay olmalıdır. Eğer anlaması zor ve karışık bir çözüm bulduysanız, yanlışlar
yapmanız daha kolay olacaktır.
OUCH! | Ekim 2013
Şifre Yöneticileri
• Şifrelerinizi endüstri standardlarını, güçlü bir şifreleme, kullanarak şifrelemelidir. Şahsi ya da bilinmeyen
•
•
•
•
bir şifreleme çözümünü reklam yapan çözümlere dikkat edin.
Kullandığınız tüm bilgisayarlarda çalışamalıdır. Bazı gelişmiş versiyonlar mobil cihazlarda da
çalışabilmektedir.
Eğer sanal kasanız kullandığınız farklı cihazlar arasında bilgilerinizi senkronize edebiliyorsa, bu sizin için
yardımcı bir özelliktir. Ancak, senkronize etmeyi sunuyorsa ilk once bilgileri lokalde şifreledikten sonra
merkezi sisteme göndermelidir.
Size gelişigüzel şifreler oluşturan ve şifrelerinizin sürelerinin dolum tarihlerini hatırlamanızda yardımcı
olan araçlar sunmalıdır.
Şeçtiğiniz şifrelerin birbirlerine göre ne kadar güçlü olduklarını belirlemenizde yardımcı olmalıdır.
Daha Fazla Bilgi İçin
Aylık OUCH! güvenlik farkındalığı bültenine üye olun, OUCH! arşivlerine erişin ve
http://www.securingthehuman.org adresini ziyaret ederek SANS güvenlik farkındalığı çözümleri hakkında
daha fazla bilgi edinin.
Türkçe Çevirisi
Selma Süloğlu, ODTÜ Bilgisayar Mühendisliğinde doktora yapmakta olup SOSoft Bilişim Teknolojilerinde
biyometrik güvenlik sistemleri üzerinde çalışmaktadır.
Sema Yüce, Türkiye’nin önde gelen kurumsal şirketlerinde ve özellikle bilişim, telekomünikasyon, sanayi,
perakendecilik gibi sektörlerde; bilgi güvenliği, iş sürekliliği, risk yönetimi, altyapı hizmetleri, yazılım geliştirme ve
proje yönetimi alanlarında yönetici ve danışman olarak 15 yılı aşkın süredir görev yapmaktadır.
Kaynaklar
Şifre Yöneticisi İncelemesi:
http://www.pcmag.com/category2/0,2806,2403435,00.asp
Şifremi Değiştirmeli miyim ? https://shouldichangemypassword.com/all-sources.php
Ortak Güvenlik Şartları:
http://www.securingthehuman.org/resources/security-terms
SANS Günlük Güvenlik Tiyosu:
https://www.sans.org/tip_of_the_day.php
OUCH!, SANS Securing The Human Programı tarafından yayınlanır ve Creative Commons BY-NC-ND 3.0 lisansı altında dağıtılır.
Bülteni değiştirmediğiniz sürece, bu bülteni dağıtabilir ya da kendi farkındalık programlarınızda kullanabilirsiniz. Çeviri ya da daha fazla
bilgi için, lütfen ouch@securingthehuman.org e-posta adresini kullanarak iletişime geçiniz.
Yayın Kurulu : Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis
Download