Bu soruyu yanıtlamak göründüğü kadar basit değil. Parola güvenliği söz konusu olduğunda neleri göz önünde bulundurmanız gerektiğini bu yazımızda bulabilirsiniz.
Son birkaç yıldır parolasız kimlik doğrulama ve geçiş anahtarlarının artan potansiyeli hakkında çok şey söylendi. Akıllı telefon tabanlı yüz tanımanın yaygınlaşması sayesinde, cihazınıza bakarak (ya da başka bir biyometrik kimlik doğrulama yöntemiyle) favori uygulamalarınıza ya da diğer hizmetlere giriş yapabilmek artık pek çok kişi için son derece basit ve güvenli bir gerçeklik haline geldi. Ancak özellikle masaüstü dünyasında bu hala bir norm değil ve çoğumuz hala eski moda parolalara güveniyoruz.
Zorluk burada yatıyor! Çünkü parolalar, dolandırıcılar ve diğer tehdit aktörleri için önemli bir hedef olmaya devam ediyor. Peki, bu kimlik bilgilerini güvende tutmak için ne sıklıkla değişiklik yapmalıyız? Bu soruyu yanıtlamak sandığınızdan daha zor olabilir.
Parola değişiklikleri neden mantıklı olmayabilir?
Kısa bir süre öncesine kadar hırsızlık veya kırılma riskini azaltmak için parolaların düzenli olarak değiştirilmesi öneriliyordu. Bu tavsiye 30 ila 90 gün arasında bir süre için geçerliydi.
Bununla birlikte, zaman değişiyor ve araştırmalar, özellikle belirli bir programa göre sık sık parola değiştirmenin hesap güvenliğini kesin olarak artırmayabileceğini gösteriyor. Başka bir deyişle, parolalarınızı ne zaman değiştirmeniz gerektiği konusunda herkese uyan tek bir cevap yok. Çoğumuzun birkaç ayda bir her bir hesap için (güçlü ve benzersiz) parolalar bulabilmesinin zorluğu bir yana, rahatça takip edemeyeceğimiz kadar çok çevrimiçi hesabımız var. Ayrıca artık parola yöneticileri ve iki faktörlü kimlik doğrulama (2FA) dünyasında yaşıyoruz.
Birincisi, her hesap için uzun, güçlü ve benzersiz parolaları saklamanın ve hatırlamanın daha kolay olduğu anlamına gelir. İkincisi ise parola giriş sürecine oldukça sorunsuz bir ekstra güvenlik katmanı ekler. Bazı parola yöneticileri artık kimlik bilgileri ihlal edildiğinde ve yeraltı sitelerinde dolaştığında otomatik olarak haber vermek için yerleşik karanlık web izleme özelliğine sahiptir.
Her halükârda güvenlik uzmanlarının ve ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) gibi dünya çapında saygın otoritelerin, belirli kriterler yerine getirilmediği sürece insanların parolalarını birkaç ayda bir değiştirmeye zorlanmasını önermemeleri için bazı ikna edici nedenler var.
Gerekçe oldukça basit:
- NIST’e göre: “Kullanıcılar yakın gelecekte değiştirmek zorunda kalacaklarını bildiklerinde daha zayıf, ezberlenmiş parola seçme eğilimindedirler”.
- NIST şöyle devam ediyor: “Bu değişiklikler gerçekleştiğinde, genellikle paroladaki bir sayıyı artırmak gibi bir dizi yaygın dönüşüm uygulayarak eski ezberledikleri parolaya benzer bir parola seçerler.”
- Bu uygulama yanlış bir güvenlik hissi sağlar çünkü önceki bir parola ele geçirilmişse ve siz onu güçlü ve benzersiz bir parolayla değiştirmezseniz, saldırganlar bu parolayı kolayca tekrar kırabilir.
- NCSC’ye göre, özellikle birkaç ayda bir oluşturulan yeni parolaların yazılma ve/veya unutulma olasılığı da daha yüksektir.
NCSC, “Bu, sezgisel güvenlik senaryolarından biridir; kullanıcılar ne kadar sık parola değiştirmeye zorlanırsa, saldırıya karşı genel güvenlik açığı o kadar artar. Son derece mantıklı ve köklü bir tavsiye gibi görünen bu durumun, titiz bir sistem analizine dayanmadığı ortaya çıkıyor,” diyor.
“Artık kuruluşların düzenli olarak parola süresinin dolmasını zorlamamasını tavsiye ediyor. Bunun, düzenli olarak süresi dolan parolalarla ilişkili güvenlik açıklarını azalttığına ve uzun vadeli parola istismarı riskini çok az artırdığına inanıyoruz.” diye ekliyor.
Parolalarınızı ne zaman değiştirmelisiniz?
Özellikle en önemli hesaplarınız için parola değişikliği gerektiren birkaç senaryo vardır:
- Parolanız üçüncü taraf bir veri ihlaline yakalandı. Bu konuda muhtemelen sağlayıcının kendisi tarafından bilgilendirileceksiniz veya Have I Been Pwned gibi hizmetlerde bu tür uyarılar için kaydolmuş olabilirsiniz ya da parola yöneticisi sağlayıcınız dark web’de otomatik kontroller yaparak sizi bilgilendirebilir.
- Parolanız zayıftır ve tahmin edilmesi veya kırılması kolaydır (yani, en yaygın parolalar listesinde yer almış olabilir). Bilgisayar korsanları, içlerinden birinin işe yaraması umuduyla birden fazla hesapta ortak parolaları denemek için araçlar kullanabilir ve çoğu zaman başarılı olurlar.
- Parolayı birden fazla hesapta tekrar kullanıyorsunuz. Bu hesaplardan herhangi biri ihlal edilirse, tehdit aktörleri hesabınızı diğer sitelerde/uygulamalarda açmak için otomatik “kimlik bilgisi doldurma” yazılımı kullanabilir.
- Yeni güvenlik yazılımınız sayesinde cihazınızın kötü amaçlı yazılım tarafından ele geçirildiğini öğrendiniz.
- Parolanızı başka bir kişiyle paylaştınız.
- Paylaşılan bir hesaptan kişileri yeni kaldırdınız (örneğin, eski ev arkadaşları).
- Herkese açık bir bilgisayarda (örneğin, bir kütüphanede) veya başka bir kişinin cihazında/bilgisayarında oturum açtınız.
Parola güvenliği için en iyi uygulama tavsiyesi
Hesabın ele geçirilme olasılığını en aza indirmek için aşağıdakileri göz önünde bulundurun:
- Her zaman güçlü, uzun ve benzersiz parolalar kullanın.
- Bu parolalarınızı tek bir ana kimlik bilgisine sahip olacak ve herhangi bir site veya uygulama için tüm parolalarınızı otomatik olarak geri çağırabilecek bir parola yöneticisinde saklayın.
- İhlal edilen parola uyarılarını takip edin ve bunları aldıktan sonra derhal harekete geçin.
- Hesabınıza ek bir güvenlik katmanı sağlamak için mevcut olduğunda 2FA’yı açın.
- Hesaplarınıza sorunsuz ve güvenli erişim için telefonunuzu kullanarak geçiş anahtarlarını etkinleştirmeyi düşünün.
- Düzenli parola denetimlerini göz önünde bulundurun: tüm hesaplarınız için parolaları gözden geçirin ve yinelenmediğinden veya tahmin edilmesinin kolay olmadığından emin olun. Zayıf veya tekrarlanan ya da doğum günleri veya aile evcil hayvanları gibi kişisel bilgiler içerebilecek olanları değiştirin.
- İyi bir fikir gibi görünse bile parolalarınızı tarayıcıya kaydetmeyin. Çünkü tarayıcılar, parolalarınızı ele geçirmek için bilgi çalan kötü amaçlı yazılımlar kullanabilecek tehdit aktörleri için popüler bir hedeftir. Ayrıca kaydedilmiş parolalarınızı cihazınızı/bilgisayarınızı kullanan başka kişilere de ifşa edebilir.
Parola yöneticiniz (veya ESET’in parola oluşturucusu) tarafından önerilen rastgele, güçlü parolaları kullanmıyorsanız, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bu ipuçları listesine bakın. Mümkün olduğunca izin verilen en uzun parolayı (8-64 karakter) kullanmanızı ve büyük ve küçük harfler, sayılar ve özel karakterler eklemenizi önerir.
Zamanla, Google, Apple, Microsoft ve diğer büyük teknoloji ekosistemi oyuncularının desteğiyle geçiş anahtarlarının nihayet parola dönemini sona erdirmesi umuluyor. Ancak bu arada, hesaplarınızın mümkün olduğunca güvenli olduğundan emin olun.
