Malwarebytes olarak yıllardır insanlara şifrelerini tekrar kullanmamalarını ve şifre yöneticisinin çevrimiçi hesaplarınız için ihtiyacınız olan tüm şifreleri hatırlamanın güvenli bir yolu olduğunu söylüyoruz.
Ancak aynı zamanda, özellikle yeni başladığınızda, bir şifre yöneticisinin bunaltıcı olabileceğini de biliyoruz. Onlarca, hatta yüzlerce şifrenizi sakladıktan sonra, bir şifre yöneticisinin kullanımı ve güncel tutulması nispeten kolaydır. Ancak önce bu aşamaya gelmeniz gerekiyor ve herkes aynı düzeyde bilgisayar okuryazarlığına sahip değil.
Yani başka bir yol olup olmadığını merak etmiş olabilirsiniz. Hiç şüphe yok ki, tarayıcınızda şifrenizin bir dahaki sefere kaydedilmesini isteyip istemediğinizi soran açılır pencereleri görmüşsünüzdür. Aslında birçok tarayıcı bunu şifre yöneticisi olarak adlandırıyor.
Tarayıcınız genellikle şifreye ihtiyaç duyan uygulama olduğundan çok kullanışlıdır, ancak bu iyi bir fikir mi?
Her zamanki gibi artıları ve eksileri var.
Şifreleme. Bir tarayıcı şifre yöneticisiyle, tarayıcınıza erişimi olan biri şifrelerinizi açık metin olarak görebilir, ancak Windows kimlik doğrulama isteyecek şekilde ayarlanabilir (cihazınızın başlangıcında kullandığınızla aynı).
“Şifreyi göster” seçeneği
Parolaları gerçek bir parola yöneticisinde görmek için, saldırganın parola yöneticisinin parolasını veya kurtarma ifadesini bilmesi gerekir; bunları bulmak genellikle Windows kimlik doğrulamasından (ayarlanmışsa) çok daha zordur.
Burada bir uyarı: Bazı şifre yöneticilerinin oturumunuzu saatlerce, hatta günlerce açık tutma seçeneği vardır. Herhangi birinin fiziksel erişim elde etme şansı varsa, bu tür ayarlar, şifre yöneticisinin ek güvenliğini ortadan kaldırır çünkü saldırgan, şifre yöneticisini açabilir ve şifrelerinize tarayıcınızda görebildiği şekilde hemen hemen aynı şekilde bakabilir.
Benzer kimlik avı siteleri. Hem bağımsız bir şifre yöneticisi hem de tarayıcınızdaki şifre yöneticisi sizi burada koruyacaktır. Alan adı, şifreyi kaydettiğiniz alan adı ile eşleşmiyorsa şifrenizi doldurmazlar; bu, bir kimlik avı sitesi olduğunu gösterebilir. Bu çok yararlı olabilir ve bu, parolayı bir kağıda yazmaktan veya bir metin dosyasına saklamaktan daha iyidir. Sahte bir site kurmaya değer alan adlarının genellikle çok faktörlü kimlik doğrulama (MFA) eklemenizi tavsiye edeceğimiz alan adları olduğunu eklemeliyim.
Senkronizasyon. Şifrelerinizi tarayıcıda sakladıysanız ve tarayıcınızı cihazlar arasında senkronize etmeyi seçtiyseniz, şifreleriniz de taşınacaktır. Bu kesinlikle çok kullanışlıdır, ancak birisinin cihazlarınızdan birine erişmesi aynı zamanda potansiyel bir tehlikedir. Gerçek bir şifre yöneticisi, farklı cihazlardaki aynı tarayıcı arasında senkronizasyona dayanmaz. Şifre yöneticisini bir cihaza yükledikten sonra, onu herhangi bir tarayıcıda veya diğer uygulamalarda kullanmak kullanışlı olacaktır.
Çevrimdışı. Birçok şifre yöneticisi şifrelerinizi yerel olarak önbelleğe alır, böylece bağlantınız kesildiğinde de erişime sahip olursunuz. Tarayıcı şifre depolama alanı buna izin vermez.
İş cihazları. BT departmanının, hangi kullanıcının tarayıcısında hangi şifrelerin kayıtlı olduğunu takip etmesi zordur. İşletmelere yönelik şifre yöneticileri onlara daha iyi bir fikir verir ve gerektiğinde şifreleri iptal etmeyi kolaylaştırır.
Şifre hırsızları. Cihazınızdan şifreleri toplayabilen kötü amaçlı yazılım türleri vardır. Tarayıcıların şifrelerini ve şifreleme anahtarını tam olarak nerede sakladıklarını biliyorlar, böylece kimlik bilgilerini çalıp saldırgana gönderebilirler. Şifre yöneticileri tarayıcıdan ayrı olduğundan aynı şekilde risk altında değildirler.
Veri ihlalleri. Birkaç şifre yöneticisi, kimlik bilgilerinizin bir veri ihlaline karıştığını tespit ederse sizi uyaracaktır, böylece bunları değiştirebilirsiniz. Tarayıcı depolaması bunu yapmaz.
Karmaşık şifreler. İnsanlar karmaşık şifreler oluşturma ve hatırlama konusunda kötüdür. Bir şifre yöneticisi ve bazı tarayıcılar, gerekli karmaşıklığı karşılayan bir şifre oluşturmanıza ve onu hatırlamanıza gerek kalmayacak şekilde saklamanıza yardımcı olabilir.
Yan kanal saldırıları. Safari’de yakın zamanda yaşanan bir hatada gördüğümüz gibi, saldırganlar bir siteye ilişkin oturum açma kimlik bilgilerini toplamak için tarayıcıdaki otomatik doldurma özelliğini kullanabilir. Bu yalnızca otomatik doldurmayı etkinleştirdiyseniz çalışır; bu nedenle işleri biraz daha güvenli hale getirmek için tarayıcınıza verileri doldurmadan önce onayınızı beklemesini söyleyebilirsiniz. İşte nasıl…
Otomatik doldurma nasıl devre dışı bırakılır
- Cesur: Ayarlar > Otomatik doldurma ve şifreler > Şifre Yöneticisi > Ayarlar. “Otomatik olarak oturum aç” seçeneğini kapatın
- Krom: Ayarlar > Otomatik doldurma ve şifreler > Google Şifre Yöneticisi > Ayarlar. “Otomatik olarak oturum aç” seçeneğini kapatın.
- Kenar: Ayarlar > Profiller > Şifreler > Ayarlar. Burada şifreler ve Kişisel veriler için otomatik doldurmayı ayrı ayrı kapatabilirsiniz.
- Firefox: Ayarlar > Gizlilik ve Güvenlik. Oturum Açma Bilgileri ve Parolalar bölümüne ilerleyin ve “Oturum açma bilgilerini ve parolaları otomatik doldur” seçeneğinin işaretini kaldırın.
- Opera: Ayarlar > Gelişmiş Ayarlar > Otomatik Doldurma > Parola Yöneticisi > Ayarlar. “Otomatik Oturum Açma”yı kapatın.
- Safari: Safari (menü çubuğunda) > Ayarlar > Otomatik Doldur. “Kullanıcı adları ve şifreler” ve “Kredi kartları” seçeneğinin işaretini kaldırın.
Peki tarayıcınızın şifrelerinizi hatırlamasına izin mi vermelisiniz?
Tarayıcı şifre yöneticiniz size “kullanım kolaylığı” sağlar ancak bu, güvenliğinizin bir kısmına mal olur. Elbette şifre yöneticileri de kusursuz değildir, bu nedenle şifrelerinizi nerede saklayacağınıza kendiniz karar vermeniz önemlidir.
Web sitesinin güvenli olduğundan ve hesabınız altında siteye erişebilen herkesin yeni bir şey öğrenmeyeceğinden eminseniz, şifreyi tarayıcınızda saklamaktan çekinmeyin, ancak otomatik doldurmayı devre dışı bırakın, böylece kontrol sizde olsun.
Mümkün olduğunda MFA’yı kullanın. Birisinin şifrenizi ele geçirmesi riskini büyük ölçüde azaltır. Kredi kartı bilgilerinizi veya diğer hassas kişisel bilgilerinizi (örn. tıbbi bilgiler) saklamak için tarayıcı şifre yöneticisini kullanmaktan kaçının.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.