Şifreler tarihe karışıyor, güvenlik asla
Şifre risklerine karşı sıfır bilgi ispatlarıyla ileri seviye çözüm
Paylaş
Eskiden şifreler, e-posta hesaplarınızdan bankacılık işlemlerine kadar her şeyi koruyan en önemli güvenlik aracı olarak görülürdü. İnsanlar, sadece yaratıcı bir şifre oluşturmanın yeterli olduğunu sanıyordu.
Ancak bugün bu durum, gerçek bir korumadan çok bir yanılsama gibi.
Şifrelerin zayıf olmasının nedeni yalnızca insanların 123456 ya da qwerty gibi basit şifreler seçmesi değil. Asıl sorun, tüm şifrelerin aynı yerde saklanması. Eğer bütün dairelerin anahtarları tek bir kasadaysa, o kasayı bir kez açmak tüm kapıları açmak için yeterlidir.
Şifreler neden işe yaramaz hâle geldi?
İnsanlar basitliği sever. Uzun ve karmaşık harf, sayı ve sembol karışımlarını ezberlemek zahmetli olduğu için çoğu kişi hızlı ve kolay bir şifreyi tercih eder. Ama diyelim ki karmaşık bir şifre oluşturacak kadar disiplinlisiniz; bu şifre yine de bir şirketin veritabanında saklanır.
Ve veritabanları hacklenebilir.
Sürekli.
Şifre sızıntıları: Üzerinde düşünmemiz gereken bazı örnekler
- McDonald’s, 2025: Yapay zekâ destekli işe alım sohbet botu, “Admin” kullanıcı adı ve “123456” şifresiyle çalışıyordu. Sonuç? Sonuç? 64 milyondan fazla iş başvurusu telefon numaraları, e-posta adresleri, eğitim ve iş geçmişi dahil sızdırıldı. [1]
- Yahoo, 2013: Tarihin en büyük veri ihlali: 3 milyardan fazla hesap şifreler ve güvenlik soruları da dahil ele geçirildi. [2]
Bu örneklerden çıkan ortak ders şu: Milyonlarca dolarlık siber güvenlik bütçesine sahip şirketler bile hatalardan tamamen korunamıyor.
Şifreleri güvenli saklamak için en iyi yöntemler
Şifrelerin kullanımı azalmaya başlasa da hâlâ çok yaygın. Bu yüzden özellikle bir platform ya da uygulama yönetiyorsanız, şifrelerin nasıl doğru saklanması gerektiğini bilmek önemli.
Şifreleri asla düz metin olarak saklamayın
Şifreler mutlaka bcrypt veya argon2 gibi güçlü algoritmalar kullanılarak geri döndürülemez bir biçimde saklanmalıdır. Böylece şifreler ele geçirilse bile çözümlenmesi çok zor ve maliyetli olur.
Şifreye ek bir güvenlik değeri ekleyin (salt)
Salting iki kullanıcının aynı şifreyi seçmesi durumunda bile ortaya çıkan hash değerlerinin (verinin güvenlik amaçlı oluşturulmuş dijital özeti) farklı olmasını sağlar. Bu yöntem, rainbow table (şifrelerin hash değerlerini çözmek için kullanılan bir saldırı yöntemi) saldırılarına karşı kritik bir koruma sunar.
Key stretching (şifreyi defalarca işleyerek, kırılmasını zorlaştırma yöntemi) uygulayın
Bu teknik, brute-force saldırılarını (tüm olası şifreleri deneyerek doğruyu bulma saldırısı) ciddi şekilde yavaşlatır. Olası bir veri ihlalinde size zaman kazandırır ve riski azaltır.
Ancak tüm bu önlemlere rağmen, kullanıcı şifrelerinin sunucularda saklanıyor olması onları her zaman bir hedef hâline getirir. Bu yüzden asıl hedef, şifre saklama ihtiyacını tamamen ortadan kaldırmak olmalıdır.
Şifre oluşturma ve tekrar kullanımında en iyi yöntemler
Eğer şifre kullanmak zorundaysanız, bunu güvenli şekilde yapmak için şunlara dikkat edin:
Uzun ve rastgele şifreler kullanın
Uzunluk, karmaşıklıktan daha önemlidir. Rastgele oluşturulmuş 20 karakterlik bir şifre, kısa ve semboller içeren bir şifreden çok daha güvenlidir. Örnek: qH7T#sY9!GmK3*vBxZlP
Şifreleri tekrar kullanmaktan kaçının
Bir şifreyi tekrar kullanmak, tüm hesaplarınıza erişim riskini artırır. Veri sızıntıları sayesinde saldırganlar, ele geçirdikleri kullanıcı adı ve şifreleri farklı sitelerde kolayca deneyebilir. Bu yönteme “credential stuffing” (ele geçirilen kullanıcı adı/şifreleri başka hesaplarda deneyerek sisteme sızma saldırısı) denir.
Bir şifre yöneticisi kullanın
Bu araçlar, her site için benzersiz ve güçlü şifreler oluşturmanıza ve saklamanıza yardımcı olur. Böylece şifreleri akılda tutma yükünüz azalır ve güvenliğiniz artar.
Ama unutmayın, en iyi şifre bile hâlâ sadece bir... şifredir. Tahmin edilebilir, oltalama (phishing) yoluyla ele geçirilebilir, sızabilir veya brute-force ile kırılabilir.
Çok Faktörlü Kimlik Doğrulama (MFA) nedir ve neden önemlidir?
Çok Faktörlü Kimlik Doğrulama (MFA), güvenliği artırmak için ikinci (veya üçüncü) bir koruma katmanı ekler. Bu yöntemler; bildiğiniz bir bilgi (şifre), sahip olduğunuz bir cihaz veya size özgü biyometrik özellikler olabilir. Örneğin:
- Şifre + SMS ile gönderilen kod
- Şifre + mobil doğrulama uygulaması (TOTP)
- Şifre + parmak izi taraması
MFA, özellikle şifreler sızdırıldığında veya çalındığında hesapların ele geçirilme ihtimalini büyük ölçüde azaltır. Ama mükemmel değildir:
- SMS kodları SIM değiştirme saldırılarıyla ele geçirilebilir
- Doğrulama uygulamaları, bulundukları cihaz kadar güvenlidir. Yine de, şifre tabanlı sistemlerde MFA kullanmak şarttır. Bu, basit bir kilide güvenmek yerine kapınıza ek bir çelik kilit takmak gibidir.
Eski şifre modelinin temel sorunu
Şifre, tek bir anahtar gibidir. Bunu bir başkasına teslim edersiniz ve onun koruyacağına güvenirsiniz. Ancak o kişi başarısız olursa, tanımadığınız biri “evinize” girebilir. O zaman sorulması gereken soru şudur: Tek anahtarınızı gerçekten başka birine emanet etmeli misiniz?
Hesaplar ortadan kalktığında: NymVPN'in Yaklaşımı
Şöyle bir hizmet hayal edin:
- Giriş yapılacak hesap yok
- Şifre yok
- Hacklenebilecek devasa kullanıcı veritabanı yok
Geleneksel hesaplar yerine NymVPN, sizin gizli anahtarınız gibi çalışan bir anahtar kelime kullanır. Yani kayıt yapmanıza, kullanıcı adı veya şifre oluşturmanıza gerek yok ve kimliğinizin yönetimi için merkezi bir kuruma bağlı değilsiniz.
Anahtar kelime nedir?
Anahtar kelime, bazen recovery phrase (kurtarma ifadesi) veya secret phrase (gizli ifade) olarak da adlandırılır, genellikle 12 veya 24 rastgele kelimeden oluşan bir dizidir. Bu dizilim, sizin kriptografik kimliğinizi temsil eder ve gizli anahtarları güvenli bir şekilde oluşturmak için kullanılır.
Örnek (bunu kullanmayın):
acoustic banana fluid melt virus black turtle flavor cement famous onion swim
Bu kelime dizisi yalnızca kurulum sırasında size gösterilir. NymVPN sunucularında saklanmaz ve internet üzerinden gönderilmez. Bu dizinin tek sahibi ve koruyucusu sizsiniz.
Bu neden daha güvenli
Çünkü sunucuda hiçbir veri tutulmaz. NymVPN hacklense bile, saldırganların ele geçirebileceği bir bilgi yoktur:
- Kullanıcı adı veya parola veritabanı yok
- Kimlikle ilişkilendirilmiş oturum kayıtları yok
- Taklit edilebilecek kurtarma e-postaları yok
Anahtar kelime yalnızca sizin cihazınızda bulunur. En güvenlisi, bunları kağıda yazarak ya da güvenli bir parola yöneticisi veya donanım cüzdanı kullanarak çevrim dışı saklamaktır.
Sıfır bilgi ispatları nedir ve neden önemlidir?
Sıfır bilgi ispatları (Zero-Knowledge Proofs, ZKP), bir bilginin doğru olduğunu kanıtlarken o bilginin kendisini paylaşmanıza gerek bırakmayan güçlü bir gizlilik teknolojisidir.
Örneğin, doğum tarihinizi paylaşmadan 18 yaşından büyük olduğunuzu kanıtladığınızı düşünün. Ya da kimliğinizi ve ödeme ayrıntılarını açıklamadan, bir hizmet için ödeme yaptığınızı ispatladığınızı. ZKP’lerin gücü tam olarak burada ortaya çıkar: Doğrulamayı, hassas verilerden ayırırlar.
Nym bağlamında, zk-nyms adı verilen sıfır bilgi ispatları, kullanıcıların NymVPN’e erişimini veya katılımını doğrulamasını sağlar. Bu işlem sırasında belirli bir hesaba bağlanılmaz ve hiçbir kişisel bilgi paylaşılmaz. Bu yaklaşım, Nym gibi gizliliği korumayı amaçlayan altyapıların temelini oluşturur. Böylece kimliğinizi ortaya çıkaran izler bırakmadan güvenli biçimde etkileşim kurabilirsiniz.
ZKP’ler, interneti ‘bir şeyi kanıtlamak için her şeyi göster’ yaklaşımından çıkarıp daha akıllı bir yöntem sunar. Artık sadece gerekli bilgi paylaşılır ve gizlilik varsayılan olarak korunur.
zk-nyms nedir?
Anahtar kelime ile erişim nasıl sağlanır
NymVPN'i her açtığınızda:
- Anahtar kelimenizi girerek erişim bilgilerinizi yeniden oluşturabilirsiniz
- Veya her seferinde girmemek için onu yerel olarak saklayabilirsiniz (şifrelenmiş)
Kurtarma kelimesi, kim olduğunuzu kanıtlayan kriptografik bir kimlik oluşturmak için kullanılır; bu sayede giriş yapmanıza veya e-posta adresinizi doğrulamanıza gerek kalmaz.
Bu yöntem şunları garanti eder:
- VPN kimliğinize yalnızca siz erişebilirsiniz
- Kurtarma kelimenizi kullanarak erişiminizi herhangi bir cihazda geri alabilirsiniz
- Dijital kimliğiniz taşınabilir, merkeziyetsiz ve sansüre karşı dayanıklıdır
Bu yaklaşım yalnızca akıllı bir giriş yöntemi sunmakla kalmaz; çevrimiçi kimlik ve gizliliğin nasıl çalıştığına dair tamamen yeni bir bakış açısı sağlar.
Sırada ne var
Şifreler geçmişte kaldı. Bugün, siber saldırganlar için birincil hedef durumundalar. Yarın muhtemelen sadece siber güvenlik tarih kitaplarında anılacaklar.
Gelecek, erişim anahtarının tamamen size ait olduğu ve başkalarının sunucularına güvenmek zorunda kalmadığınız bir modelde şekilleniyor.
Kaynaklar
[1] Wired
[2] Reuters
Şifre güvenliği: SSS
Tek bir şifre birden fazla sitede tekrar kullanıldığında, bir güvenlik ihlali tüm hesaplarınızı açığa çıkarabilir. Bigisayar korsanları çalınan giriş bilgilerini diğer servislerde denemek için “kimlik bilgisi doldurma saldırıları” (credential-stuffing) kullanır ve böylece kişisel ve finansal verilerinize anında erişim sağlayabilirler.
Saldırganlar, giriş bilgilerini ele geçirmek için oltalama siteleri, tuş kaydediciler (keylogger) ve ağ dinleme araçları kullanır. Güvenli gibi görünen web siteleri bile tehlikeye girebilir, bu yüzden şifre yöneticileri ve gizlilik araçları ekstra koruma için önemlidir.
Her hesap için benzersiz ve karmaşık şifreler oluşturup saklamak için bir şifre yöneticisi kullanın. Bunu iki faktörlü kimlik doğrulama ve NymVPN gibi bir VPN ile birleştirerek, giriş sırasında ağ düzeyindeki müdahaleleri önleyin.
Evet. Bir VPN, internet trafiğinizi şifreleyerek, giriş oturumları sırasında giriş bilgilerinizi veya kimlik doğrulama çerezlerinizi ele geçirmeye çalışan dinleyiciler ve halka açık Wi-Fi saldırganlarını engeller.