Birkaç ay önce, LastPass önemli bir ihlal yaşadı. Bilgisayar korsanları, şifrelenmiş gizli kasalar ve düz metin meta verileri dahil olmak üzere hem kaynak kodunu hem de kullanıcı verilerini aldı. Bu, LastPass’in maruz kaldığı ilk ihlal değil.
Bu ihlal bende garip bir durum yarattı. Birkaç yıldır gizli kasaları kullanmanın şampiyonu olmuştum. Kısa bir deneme ve inceleme sürecinden sonra daha önce ihlal edilmiş olmasına rağmen LastPass’i seçtim. Tuhaflıklarına ve denemeye alışmaya rağmen deneyimden memnun olduğum için, değer verdiğim herkese – aileme, arkadaşlarıma ve meslektaşlarıma – kullanımını tavsiye ettim. Onlara katılmalarına ve rastgele şifreler oluşturmalarına, uygulamayı her yere yüklemelerine ve gerçekten iyi bir ana şifre bulmalarına yardım ettim. Bazı durumlarda, bu kolay olmadı ve benim açımdan çok fazla rehberlik ve ikna gerektirdi.
O zamanlar fark edemediğim bariz gerçek, bu kadar güçlü bir tavsiyenin üstü kapalı bir sorumluluk getirdiğiydi. Bu kişiler artık bilgisayar korsanlarına ait şifreleriyle ilgili büyük bir haber gördüklerinde, soru sormak için bana ulaşıyorlar. Haklılar – onları bu pisliğin içine ben soktum, değil mi?
Gizli Yöneticileri Neden Evangelize Edersiniz?
Gizli yöneticilerin, özellikle de kendi bulut altyapısına sahip ticari yöneticilerin iyi bir fikir olduğuna her zaman ikna olmamıştım. Bir genç olarak, daha fazla insanın yaptığı gibi, her şey için tek bir “iyi parola” kullanarak, doğrudan parola tekrarını önlemek için hizmete özgü bir önek veya sonek ekleyerek başladım. Ayrıca, beni her 30 günde bir parolamı değiştirmeye zorlayan bir kuruluşta çalışmak gibi talihsiz bir deneyim yaşadım. Parolanızın sonuna eklenen sayı, o kuruluştaki kıdemin bir simgesiydi. 40’larda bir sayıya ulaştım ve kendimle ve ne kadar deneyimli olduğumla gerçekten gurur duydum. Elbette, bir şeyle gurur duyduğunuzda, onu gerçekten paylaşmak istersiniz. Biz de öyle yaptık.
Parolamın büyük kısmını hizmetler arasında paylaşmanın kötü bir fikir olduğunu her zaman biliyordum. Bilgisayar korsanlarının bu yaygın ama hatalı taktikleri kendi avantajlarına nasıl kullandıklarını anlamaya başladığımda bu bilgi gerçeğe dönüştü. “İyi parolanıza” iki harf eklemek, bir saldırganın güvenliği ihlal edilmiş bir parolayı temel alarak diğerinin güvenliğini ihlal etmesini engellemez. Sadece kötü bir politikaya uyma konusunda kendinizi iyi hissetmenizi sağlar. Neyse ki, aylık şifre değişiklikleri artık geçerli.
Ancak parola sorunumu çözmeye yönelik ilk girişimim, babamın özel olarak oluşturulmuş C tabanlı parola yöneticisini kullanmaktı. Çok basitti: bir metin dosyasını şifreleyin ve şifresini çözün. Şifrelenmiş dosyayı bir paylaşımlı sürücüye açtınız ve tebrikler, gizli bir yöneticiniz var! Elbette bunun, mobil desteğin olmaması, otomatik doldurma veya şifre oluşturma gibi açık dezavantajları vardır. Ayrıca bulut ve yerel anahtar kasalarının üzerine kendi cli-tabanlı arayüzümü yazdım. Harikaydı, ama yine de yardımcı program yok. Bu iki seçeneği uzun süre kullandım. Hala bu yardımcı özelliklerle ilgili çözümler arıyordum, ancak içinde “bulut” kelimesi geçen herhangi bir şey kapı eşiğinde reddedildi.
Sonra bilgisayar bilimi yüksek lisans programının bir parçası olarak ileri düzey bir kripto kursu aldım. Merkel ağaçlarının güzelliği ve sıfır bilgi kanıtları hayal gücümü heyecanlandırdı ve gerçek dünya uygulamalarını aramak için Web’i yutmamı sağladı. Gizli kasaları açıklayan bilimsel bir makaleyle karşılaştım ve fikir birden aklıma geldi. Tabii ki, çok mantıklı! Parolalarımın gerçekten güvenli olmasının tek yolu, kasa sağlayıcısının kötü niyetli olduğunu varsaymak ve yine de önemli bir şey başaramayacaklarından emin olmaktır. Teoriyi takip eden bir şifre yöneticisinin kullanımının güvenli olacağı sonucuna vardım.
Parolamı almak için diğer tehdit vektörü, kötü niyetli bir satıcı veya o satıcı içindeki taraftır. Örneğin, istemci uygulamasından ana parolamı çalarak teorik korumaları geçersiz hale getirebilirler. Farklı şifre yöneticisi istemcilerini inceleme altına alan incelemeleri okuduktan sonra, uygulamaların standartlara uygun olduğuna ve geçiş zamanının geldiğine ikna oldum.
Birkaç yıl sonra kendimi şifre yöneticim tarafından yönetilen yüzlerce otomatik oluşturulmuş şifreyle buldum. Değer verdiğim insanları da bu yolculuğa çıkmaya ikna edebildim. Bu konuda gerçekten mutluydum.
Ya Kasam İhlal Edilirse?
Bilgisayar korsanları düz metin parolalarıma gerçekten erişirse, incinmiş bir dünyada olacağım. Önemli herhangi bir şeyde MFA’yı etkinleştirdim, ancak MFA’yı zaten başarmanın çok zor olduğu biliniyor. Tüm bu şifreleri manuel olarak almayı düşünmek bile başımı ağrıtıyor. Ailemi de hesapları için bunu yapmaya ikna edebileceğimi düşünmüyorum.
Kısacası, bu senaryo felaket olur.
Bekle, Parola Yöneticiniz Az Önce İhlal Edilmedi mi?
Evet, kesinlikle. Geçenlerde tavsiyem üzerine LastPass’ı seçen bir iş arkadaşım ilgili bir makaleyi okuduktan sonra bana iki soru sordu. Ne oldu? ve Nasıl tepki vermeli?
İlk soruya cevabım daha kötü olamazdı. Bilgisayar korsanları hem kodu hem de verileri ele geçirdi. Veriler, e-posta adresleri ve şifrelenmiş şifrelerimiz dahil olmak üzere düz metin meta verileriyle birlikte kasalarımızı içerir.
İkinci soruya cevabım çok farklıydı. Bilgisayar korsanlarının istemciyi kötüye kullanarak ana parolaları çaldığına dair bir belirti yok. Bunun olmadığını varsayabiliriz, yoksa endüstri genelinde bir dizi reprodüksiyon görürdük. Bu nedenle, ana parolanız kırılmayacak kadar güçlüyse ve önemli olan her konuda MFA’nız varsa, sorun değil. Hâlâ şüpheli hissediyorsanız, önemli parolalarınızı yuvarlayın.
İhlalden etkilendiyseniz atmanız gereken somut adımlar:
- Ana parolanızı yuvarlayın.
- MFA’yı etkinleştirin ve önemli olan her yerde parolaları yuvarlayın.
- Ana şifreniz zayıfsa, tüm şifrelerinizi döndürmenizi şiddetle tavsiye ederim.
Nasıl olabilir? Bu Cevaplar Çelişkili Değil mi?
Bu iki yanıtın görünüşte çelişkili doğası, hassas verilerin depolanmasından kaçınmanın ne kadar güçlü olduğunu gösteriyor.
LastPass ihlal edildi. Defalarca. Saldırganlar alınacak her şeyi aldı. Etki şiddetli, ancak en azından şu anda bildiklerimize göre felaket değil. Bu, sistem tasarımının harika bir özelliğidir.