Tanınmış bir toplum mühendisi olan Rachel Tobac’ın bu tweeti bana kısa bir blog yazısı yazma konusunda ilham verdi.
Ayrıca şifre yöneticisi tuzlama kavramından da bahsettim. @dashlane. Bu taktiğin nasıl kullanılacağı ve bu taktiğin, gergin insanları şifrenin yeniden kullanımından kaçınmaya nasıl ikna ettiği ve aynı zamanda “tüm yumurtalar tek sepette” şifre paranoyasını hafiflettiği hakkında daha fazla ayrıntıyı burada bulabilirsiniz. https://t.co/b65HOpWNfU pic.twitter.com/Z0Hf0J6g6t
— Rachel Tobac (@RachelTobac) 28 Ağustos 2021
Bütün yumurtalar tek sepette, bu gerçekten bir sorun mu?
Pek çok insan tüm sırlarını bir şifre yöneticisinde saklama konusunda gerçekten endişeli. (Bulut) şifre yöneticilerinin muhaliflerinden düzenli olarak “tüm yumurtaları aynı sepete koymanın” kötü bir fikir olduğu yanıtını alıyorum.
Peki tüm yumurtalarınızı tek bir sepete koymak, ya da bu durumda tüm sırlarınızı tek bir alete koymak gerçekten bu kadar büyük bir risk mi?
Güvenlikte sıklıkla olduğu gibi… Duruma göre değişir.
- Bu, belirli bir şifre yöneticisinin (güvenliğine) bağlıdır.
- Bu, özel tehdit modelinize bağlıdır.
Yeterli güvenliğe sahip bir şifre yöneticisi kullanıyorsanız – bu blog yazısında bir şifre yöneticisi seçmek için hangi kriterleri kullandığım hakkında daha fazla bilgi edinebilirsiniz – sırlarınızın ele geçirilmesi veya benzetmeye devam etmek için yumurtalarınızın kırılma riski düşüktür.
Eğer ulus destekli saldırganlardan korkmanız gerekiyorsa ekstra veya başka savunmalara ihtiyacınız olabilir, ancak çoğu ölümlü için iyi bir şifre yöneticisi işinizi görecektir.
Zaten tüm yumurtaları tek sepete koyuyoruz
Bütün yumurtalar tek sepette sözü sıklıkla şifre yöneticileri hakkında yapılıyor.
Peki aynı açıklama neden insan beyni veya şifre kitabı gibi şifreleri yönetmenin diğer yaygın yolları hakkında nadiren yapılıyor?
Her ikisi de aynı zamanda insanın sırlarını içeren tek bir sepettir.
Sık sık aldığım tepkilere dayanarak benim en iyi tahminim, çoğu insanın (bulut) şifre yöneticilerine güvenmemesidir çünkü sırlarının saklanması üzerinde hiçbir kontrolleri yoktur.
Ve bu önyargı yalnızca insana özgüdür. Ancak genel resme bakmalı ve sırlarımızı yönetmek için en iyi sepetin hangisi olduğu konusunda bilinçli bir karar vermeliyiz.
İnsan beyni birden fazla rastgele, benzersiz ve uzun şifreyi saklama kapasitesine sahip olmayan bir sepettir. Çoğu insanın sahip olduğu çok sayıda çevrimiçi hesap göz önüne alındığında, bu, optimalin altında ve genellikle kötü, kolayca tahmin edilebilir şifrelerin (yeniden) kullanılmasına yol açar. Şifreler, zayıf yapıları nedeniyle depodan (beynimiz) çalınamasa da tahmin edilebilir, kaba kuvvetle yapılabilir veya diğer veri ihlallerinde bulunabilir. İkincisi birincisine göre çok daha büyük bir risktir.
Bir (fiziksel) şifre kitabı da tek bir sepettir. Teknolojiye daha az meraklı kişiler için geçerli bir alternatif olabilir, sadece bir şifre yöneticisinden çok daha az pratiktir. Ve şifreleri kopyalayıp yapıştırmak mümkün olmadığından, bu durum neredeyse kesinlikle insanları rastgele olmayan şifreler kullanmaya itiyor. Bununla birlikte, şifrelerin ezberlenmesinden kaynaklanan şifrelerin yeniden kullanılmasından hala çok daha iyidir.
Genellikle gözden kaçırılan bir diğer sepet ise e-posta hesabıdır. Çoğu kişi aynı e-posta hesabıyla çok sayıda çevrimiçi hesap kaydeder. Saldırganlar bu e-posta hesabına eriştiklerinde, parola sıfırlama veya kurtarma yoluyla potansiyel olarak diğer tüm hesaplara da erişim sağlayabilirler.
E-posta hesapları krallığın anahtarıdır.
Bunlar çok sayıda kişisel bilgi içerir ve birinin postasına erişerek, söz konusu hesapla hangi çevrimiçi hizmetlere kaydolduğunu öğrenebilirsiniz.
Daha da kötüsü, pw sıfırlama veya kurtarma yoluyla bu hizmetlere erişim sağlayın.#bilgi saniyesi https://t.co/iAFexlpm44
— John Opdenakker (@j_opdenakker) 31 Ağustos 2021
İnsanların e-posta hesapları zayıf şifrelerle ve MFA olmadan zayıf bir şekilde korunduğunda, saldırıya uğrama olasılıkları şifre yöneticisi hesaplarına göre çok daha yüksektir.
Çözüm
Tüm yumurtaları tek bir sepete koymak istemediğiniz için (bulut) şifre yöneticisi kullanmamak aslında tartışmaya yer yok. Zaten onları aynı sepete koyuyorsun. Bunu söyleyen insanlar muhtemelen yumurtaların sepette nasıl saklanacağını kontrol edememekten hoşlanmıyorlar.
İyi güvenlik sunan ve bu konuda şeffaf olan saygın bir satıcıdan bir şifre yöneticisi seçmek kesinlikle önemlidir.
Benzersiz, rastgele ve uzun şifreleri oluşturma, saklama ve (otomatik) doldurma yeteneği, şifre yöneticisini, insanları zayıf şifreleri yeniden(kullanmaya) teşvik eden diğer şifre yönetimi yollarından ayıran şeydir.