?>

"LastPass" Gibi Şifre Kasaları Nasıl Güvenlik Sağlıyor? - Webtekno

Kabaca düşünerek 50 sitede yer alan giriş bilgilerimizi, adresimizi ve banka kartı bilgilerimizi emanet ettiğimiz şifre yöneticileri, bilgilerimizi tam olarak nasıl koruyor?

Teknoloji - 1 yıl önce

Bilgisayarların her eve girmeye başladığı dönemlerde kullandığımız 123456789’lu ve QWERTY’li şifrelerimizi bırakıp, onlara nazaran oldukça karışık olan yeni şifrelerimize geçmemizin temelinde siber güvenlik endişeleri bulunuyordu. Her geçen gün daha çok web sitesi ve uygulama çıktığı için de hatırlamamız gereken şifre sayısı kabardıkça kabarıyor.

Bu yüzden de çoğumuz ya her yerde aynı/benzer şifreyi kullanıyoruz ya da birbirinden farklı bir sürü şifreyi kafamızda tutmak zorunda oluyoruz. Fakat bazı uygulamalar periyodik olarak şifre değiştirmemizi istediğinde her şey altüst olabiliyor. Hem bu yüzden hem de şifre sayısı giderek arttığından, çoğu kişi şifre yöneticisi kullanıp kullanmama konusunda kararsız kalıyor.

En temel soru: Nedir bu şifre yöneticisi?

Şifre yöneticileri; şifrelerinizin yanında adres, telefon numarası ve banka kartı gibi bilgileri de saklamanıza imkân tanıyan dijital kasalardır. Şifrelerinizi barındıran bu kasa, siz bir yere giriş yapmak istediğinizde şifrenizi ve adres bilgilerinizi otomatik olarak doldurarak kolaylık sağlıyor.

Bir alışveriş yapmak istediğinizde de cüzdanınızdan kartınızı çıkarıp numaraları girme zahmetine gerek kalmadan kart bilgilerinizi aktarabilmeniz sağlanıyor. Tüm bunlar kulağa hoş gelse de verilerimizi girdiğimiz bu uygulamalardan birine siber saldırganların eriştiğini düşünsenize. Sadece tek uygulamaya erişen bu kişiler, tüm şifrelerimizi kolayca ele geçiremez mi?

Bunun neden ekstrem derecede zor olduğunu, kafaları karıştırmadan anlatalım.

Çok yaygın olduğu için bu şifre yöneticilerinden LastPass’ı temel alalım. Siz şifrelerinizi burada saklamak istediğinizde öncelikle LastPass hesabı oluşturuyor ve bu hesap için bir ana şifre belirliyorsunuz. Elbette bu, örneğin Webtekno üyeliğinde kullandığınız şifreden farklı oluyor.

Hesabınızı oluşturduğunuz zaman da eklenti veya uygulama olarak şifre yöneticisi, girdiğiniz sitelerdeki kullanıcı bilgilerinizi kaydetme izni istiyor. Bu sayede bilgileriniz size özel kasanıza yerleştiriliyor. Daha sonra ise Google’ın otomatik form doldurma özelliğini LastPass devralabiliyor.

Şifrelerinizi içeren LastPass kasanız, LastPass’ın kendisi bulut temelli bir hizmet olduğundan LastPass sunucularında saklanıyor. Peki buradaki güvenlik nasıl sağlanıyor?

Siz şifre kasanıza erişmek istediğinizde öncelikle bu kasayı açmak için bir anahtar oluşturuyorsunuz. Bunun için önce ana şifrenizi giriyorsunuz. Doğrulama adımının ardından ana şifrenizle mail adresiniz, son güncellemelerle birlikte 600.000 kombinasyondan geçerek bir kasa anahtarı oluşturuyor.

Bunun ardından sunucudaki kasamıza erişmek kalıyor. Bunun için de mail adresimizin ve şifremizin 600.000 kez kombinasyonlanması sonucu oluşan şifre, tekrardan ana şifremizle 600.000 kombinasyona girerek sunucudaki kasaya iletiliyor ve bu sayede sunucu, ana şifremizi görmeden kasaya erişmeye çalışanın biz olduğunu anlıyor.

Bunun sonucunda bir adet doğrulama, bir adet de kasa anahtarı elde etmiş oluyoruz. Doğrulama anahtarı sunucudaki kasaya erişmemizi sağlarken kasa anahtarı da onu açabilmemizi mümkün kılıyor. İki anahtarın da güvenliği için ana şifrenizin sağlam olması gerekiyor.

Yani sizin oluşturduğunuz bir anahtar, kasaya giden bir anahtarı açarken ona ek olarak oluşturduğunuz diğer anahtar da o kasayı açmanıza yarıyor.

Ve siz en başta bu anahtarı oluşturmak için gereken şifreyi LastPass gibi şifre yöneticilerine iletmiyorsunuz. Bu yüzden kasanızın kopyası, birazdan değineceğimiz üzere ele geçirilmiş olsa bile açılması neredeyse imkânsız oluyor. “Neredeyse” kısmı bu noktada önemli.

“Peki şu anda bunlara güvenebilir miyiz?” sorusu kişisel bir karara varacak olsa da biz, LastPass’in yakın zamanda yaşadığı talihsiz olaylara değinelim.

LastPass, geçtiğimiz yılın farklı zamanlarında siber saldırılara maruz kaldı. Bunun sonucunda da şifrelerin kayıtlı olduğu internet sitelerinin isimleri, fatura adresleri, telefon numaraları ve IP adresleri gibi bilgiler saldırganların eline geçti. Bunlara ek olarak kullanıcıların kasa yedekleri de ele geçirildi. Bunların içinde de hem şifrelenmemiş hâldeki internet sitesi adresleri hem de kullanıcı adı ve şifreler gibi şifrelenmiş bilgiler yer alıyordu.

Fakat biz, LastPass’ın ana şifremizi bilmediğini ve kasaların sadece bu şekilde açılabileceğini söylemiştik. Şirket de açıklamasında buna yer verdi. Yine de saldırganların bu kasaları brute force ve oltalama yöntemleriyle açmayı deneyebileceğini belirten şirket, özellikle de ana şifresi zayıf olan kişilerin kaydettiği parolaları değiştirmelerini önerdi.

Geçtiğimiz Ocak ayında ise LastPass’ın üst şirketi GoTo, söz konusu saldırılardan şirket çatısı altındaki diğer hizmetlerin de etkilendiğini açıkladı. Fakat bu sefer tamamen olmasa da bazı kullanıcı isimlerinin, şifrelenmiş hâldeki şifrelerin ve 2 adımlı doğrulama ayarlarının da sızdığına yönelik açıklama geldi. Bu, başlı başına hesaplar tamamen sızdı demek olmasa da telefon numaralarının, adreslerin ve e-postaların saldırganların elinde olduğu anlamına geliyor.

Bu da bilgileri ele geçirilen kişilere daha kolay ulaşacaklar demek.

Etkisi hâlâ süren bu konu ile ilgili olarak en son, farklı kişilerin kripto cüzdanlarının boşaltıldığını öğrenmiştik.

25 Ekim’e dayalı verilere göre LastPass verileri sızıntısından etkilenen 25 kişinin kripto para cüzdanına sızıldı ve toplamda 4,4 milyon dolar değerinde soygun yapıldı. Metamask ve ZachXBT tarafından söylenene göre de toplamda 80 kripto para cüzdanı saldırıdan etkilenmiş. Bunun sonucunda da aşağı yukarı 35 milyon dolar para çalınmış.

İyi de bizim için bu kadar güvenlik sağlayan şirketin kendisi nasıl böyle bir saldırıya maruz kaldı?

12 Ağustos tarihindeki ilk saldırıda, yazılım mühendisi olan bir çalışanın cihazında tutarsız hareketler gözlemlendi. Geliştirici kaynaklarına erişen bilgisayarın ele geçirildiği anlaşılınca kaynaklara olan erişimi kesildi. VPN ile kendi yerini gizleyerek geliştirme ortamına erişen saldırgan, bunu yapmak için o çalışanın domain bilgilerini ve iki adımlı doğrulamasını ele geçirmişti. Bu saldırıda sadece kaynak kodları ele geçirildi.

Bulut ortamından veri yedeklerinin çekildiği İkinci saldırı ise ilkinin devamı olarak gelmişti. Edindiği bilgilere erişebilmek isteyen saldırgan, bunun için gerekli olan anahtara sahip 4 geliştiriciden birinin evindeki kişisel bilgisayarına keylogger kurdu. Bu sayede geliştirici, şifreyi girdiği sırada saldırgan da şifreyi öğrendi. Bu sayede hâlâ etkisini gördüğümüz sızıntı durumu patlak verdi.

Şimdi biz bunlara güvenelim mi, güvenmeyelim mi?

Bu -bulut tabanlı- uygulamaların nasıl çalıştığını LastPass örneği üzerinden size anlattık. Böyle bir olay yaşanmasaydı bile en kıymetli şifrelerinizi farklı yerlere emanet etmemenizi önerirdik, hâlâ da bunun daha mantıklı olduğunu söyleyebiliriz. Söz konusu açıklar ortaya çıkar çıkmaz geliştiriciler o boşluğu kapatıyor. Fakat bu, şifre yöneticilerinin temelde hâlâ daha güvenli olduğu gerçeğini değiştirmiyor.

Sonuç olarak sizin hesabınıza erişilmiş olsa dahi şifreleri görebilmek için yine sizin belirlediğiniz şifrenin kombinasyonlanmış hâlinin bilinmesi gerek. Bu yüzden de bizim üstümüze düşen, bu konuya yönelik bilgileri verdikten sonra son kararı size bırakmak oluyor.

Kaynaklar: Cybernews, Computerphile, Shannon Morse, TechTarget

Haftanın Öne Çıkanları

29 Ekim Cumhuriyet Bayramı için İstanbul Boğazı'nda 100 gemiyle geçit töreni yapılacak

2023-10-26 14:03 - Gündem

Milyon dolarlık arabalar, İstMarina AVM’de görücüye çıkıyor

2023-10-27 11:23 - Ekonomi

Markaların Birbirinden Oluşturıcı Cadılar Bayramı Reklamları - Webtekno

2023-10-30 22:23 - Teknoloji

Altay Bayındır kimdir? Kaç yaşında, hangi takımda oynuyor?

2023-10-26 19:57 - Spor

O bir klasik: Yeni BMW 5 serisi yola çıkmaya hazır!

2023-10-28 18:13 - Teknoloji

Vaiz Hüsnü Şener Hakk'a yürüdü

2023-10-30 12:57 - Gündem

Dilan ve Engin Polat çiftinin lüks ciplerini 2 hafta önce satışa çıkardığı ortaya çıktı

2023-10-28 01:38 - Gündem

BİST 8 hisse ve 7 yatırımcı hakkında tedbir kararı aldı

2023-10-31 19:18 - Ekonomi

Oyuncu Sevcan Yaşar, Yalı Çapkının kadrosuna dahil oluyor

2023-11-02 12:48 - Magazin

Porsche Modellerinin İsimleri Nereden Geliyor? - Webtekno

2023-10-28 10:48 - Teknoloji

İlgili Haberler

ÖTV Muafiyetli Araçlarda Yerli Üretim Şartı Geldi

00:02 - Teknoloji

iPhone 16 Almak İçin Türkiye'de Kaç Gün Çalışmak Gerekiyor?

23:58 - Teknoloji

Yeni Asgari Ücret ile Alınabilecek En İyi Akıllı Telefonlar

23:52 - Teknoloji

Yapay Zekâ Rekabeti Kızışacak: Elon Musk’ın Yeni Yapay Zekâ Uygulaması Grok Tanıtıldı

23:23 - Teknoloji

Asus'tan Dünyanın En Hafif Dizüstü Bilgisayarı Geliyor

23:18 - Teknoloji

Günün Manşetleri

Sergen Yalçın, Mourinho'yu hedef aldı! "Arkadaş o kadar zeki ki..."

23:48 - Spor

Konyaspor’da Olağanüstü Genel Kurul kararı

23:13 - Spor

Hüseyin Eroğlu, 1. Lig'e geri döndü!

23:07 - Spor

Isparta’da taşımalı eğitime kar engeli

23:03 - Eğitim

Sinop'ta deniz çekildi!

22:58 - Gündem