02 Şubat Krallığınızın Anahtarlarını Hacklemek
Bloglarda, Videolarda
Parola yöneticilerine güvenilebilir mi?
– Paul John Spaulding
Northport, NY – 2 Şubat 2023
Parolalarınız güvenli değil.
Devlet kurumları ve siber güvenlik sağlayıcıları, işletmelere ve tüketicilere parola yöneticilerini önerir. Örneğin, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve önde gelen bir güvenlik farkındalığı eğitim şirketi olan KnowBe4, zaman kazandıran ve koruyucu uygulamaları onaylıyor.
Bununla birlikte, KnowBe4’te Veriye Dayalı Savunma Evangelisti Roger Grimes, oturum açma kimlik bilgilerinin kasaya alınmasıyla ilgili en büyük endişeye dikkat çekiyor: “Eğer [an] Saldırgan parola yöneticisini tehlikeye atarsa, saldırgan muhtemelen kullanıcının tüm parolalarına (ve bunların ait olduğu sitelere) bir kerede erişebilir ve bunları elde edebilir.”
Parola yöneticileri nasıl çalışır (çalışmaz)
Şifre yöneticisi telefonunuzda, tabletinizde veya bilgisayarınızda bulunan ve şifrelerinizi saklayan bir uygulamadır, böylece onları hatırlamanıza gerek kalmaz. Yalnızca oturum açma kimlik bilgilerinizi saklamakla kalmayan, aynı zamanda Sosyal Güvenlik numaranız ve kredi kartı bilgileriniz gibi hassas bilgileri de barındıran bir ana parola ile şifrelenmiş bir dijital “kasa” kullanırlar.
Siber Suç Radyosu: Theresa Payton, Beyaz Saray Eski CIO’su
“Her şey hacklenebilir, hiçbir şey yanılmaz değildir.”
Bir parola yöneticisine giren bir siber suçlu, yalnızca hesaplarınıza erişim elde etmekle kalmaz, aynı zamanda alışkanlıklarınızın çevrimiçi bir profilini de oluşturabilir. Parolalarınızı değiştirseniz bile, her parola belirli bir URL’ye bağlı olduğundan, dijital ayak izinizin izini sürmelerine ve size karşı gelişmiş kimlik avı saldırıları başlatmalarına olanak tanıyan bir siber saldırgan, çevrimiçi olarak nerede alışveriş yaptığınızı ve bankacılık işlemleri yaptığınızı yine de bilir.
Bir parola yöneticisi, finansal krallığınızın anahtarlarını saklar. En kötü senaryo, banka hesabınızın, kripto hesabınızın ve sahip olduğunuz her şeyin bir bilgisayar korsanı tarafından bir anda boşaltılmasıdır.
Kim Hacklendi?
Çoğu popüler şifre yöneticisi ihlal edildi ve bazıları birden fazla kez ihlal edildi.
Gen Digital (önceden Symantec / NortonLifeLock), bilgisayar korsanlarının geçen ay Norton Password Manager’a girip 8.000 kullanıcı hesabına eriştiğini müşterilerine bildirdi.
Geçen ay, 25 milyon kullanıcıya sahip bir şifre yöneticisi olan LastPass, siber suçluların müşterilerinin şifre kasalarının yedek bir kopyasını çaldığını doğruladı. Bu, LastPass’in ikinci kez saldırıya uğraması.
Daha az isimli bazı şifre yöneticileri de hedef alındı. Avustralya merkezli Click Studios, Nisan 2021’de Passwordstate şifre yöneticisini ihlal etti ve ardından kimlik avına maruz kaldı. Korkunç bir şekilde şirket, bazı müşterilerin kendilerini terk edilmiş hissetmesine yetecek kadar uzun süre sessiz kaldı.
Parola yöneticilerine parmak verilsin mi?
Parolasız kimlik doğrulama satıcılarındaki artış şaşırtıcı değil. Parolaları ortadan kaldırmayı ve biyometri ve yüz tanıma yoluyla uygulamalarınızda oturum açmanızı vaat ediyorlar.
Hayatının doğuşu olan Frank Abagnale’e göre “Parolalar ağaç evler içindir”. Yakala yakalayabilirsen2002 yapımı bir Steven Spielberg filmi. Abagnale, FBI da dahil olmak üzere büyük kuruluşlarla siber güvenlik konusunda 40 yılı aşkın bir süredir çalıştı ve şu anda hesaplarınıza erişmek için telefonunuzu geçiş anahtarı olarak kullanmak adına parolaları değiştirmeyi amaçlayan bir şirket olan Trusona’nın danışmanı.
Trusona, teknoloji devleri Microsoft ve Google ile birlikte şifresiz oturum açmayı hedefleyen birçok şirket arasında yer alıyor, ancak bunun günlük tüketici tarafından benimsenmesi yıllar alabilir.
Şimdi ne olacak?
Birkaç farklı parola yöneticisi tarafından saldırıya uğrayan kullanıcılar, onları batan gemiler olarak görebilir ve fiziksel bir parola defteri kesinlikle bir cankurtaran botu olabilir, ancak tek parola değildir.
New York Times, şu anda Android, iOS ve Windows’ta şifresiz çalışabileceğinizi söylüyor. Parola yöneticileri Dashlane ve 1Password de desteği duyurdu.
WIRED, LastPass kullanıcıları için hemen yeni bir şifre yöneticisine geçmenizi, tüm şifrelerinizi değiştirmenizi ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirmenizi önerir.
Tek bildiğim, bir sonraki oturum açışımda şifresiz olacağım.
– Paul John Spaulding Cybercrime Magazine’de GM Production’dır.