1- Kullanılmayan Hesaplarınızı Kapatmalısınız
Eğer kullanmadığınız sosyal medya hesaplarınız varsa bunları açık tutmak, aktif olarak kullandığınız sosyal medya hesaplarının da güvenliğini tehdit eder. Sosyal medya hesabınızı aktif olarak kullanmasanız da şifresi diğer sosyal medya hesaplarınızla aynı olabilir veya hesabın içerisinde güvenlik sorularınızla ilgili veriler yer alıyor olabilir. Bunun yanında Facebook gibi özel mesajlaşma bölümü olan bir sosyal ağdan bahsediyorsak arkadaşlarınızın sizin isminiz kullanılarak dolandırılmasına bile neden olabilir.

2- Şifre Yöneticisi Kullanmalısınız
Örneğin; 1Password ve LastPass gibi şifre yöneticileri, internet üzerindeki hesaplardaki giriş bilgilerinizi yönetmenin yanı sıra, her hesap için aynı şifreyi kullanma zorunluluğu ortadan kaldırıp güvenli şifreler oluşturmanızı sağlar.

3- Şifre Sıfırlama Özelliğini Korumalısınız
Sitelerin şifre sıfırlama sistemi birbirinden farklı olabilir. Hesabınızı oluşturup gerekli ayarları yaptıktan sonra mutlaka şifre sıfırlama sistemini kontrol edin ve bir sorun oluşması durumunda hesabınızı geri alabileceğinize emin olun. Bunun yanında bir başkasının sizin şifre sıfırlama sayfanızda istenen bilgileri bulamayacağından da emin olun.

4- Hesap Etkinliklerini Kontrol Etmelisiniz
Hesap etkinlikleri sık sık kontrol etmelisiniz. Zira sizin giriş yapmadığınız bir saatte hesaba giriş yapıldığı görünüyorsa veya hesabınızdan sizin gerçekleştirmediğiniz yorum yazma gibi bir eylem yapıldıysa, bu hesabınızın çalınmış olduğu anlamına geliyor olabilir.

5- İki Adımlı Doğrulama Kullanmalısınız
İki adımlı doğrulama özelliği, büyük sosyal medya platformlarının birçoğunda kullanılabilen bir özelliktir. İki adımlı doğrulama sayesinde biri şifrenizi ele geçirse bile SMS veya uygulama üzerinden gönderilen bir kod girilmeden hesabınıza erişemeyecektir. Bu nedenle eğer mümkünse kullanılmasını şiddetle tavsiye ediyoruz.

6- Güvenmediğiniz 3. Taraf Bağlantıları ve Uygulamaları Silmelisiniz
Özellikle Twitter, Facebook ve Instagram gibi sosyal ağlarda API üzerinden hesabınızın tüm kontrolüne erişebilen uygulamalar sıklıkla bulunmakta. Ufak bir “Hangi ünlüye benziyorsunuz?” gibi bir uygulama bile sizin bir anlık dalgınlığınızdan yararlanarak hesabınızdan tam yetkilendirme almış olabilir. Tam yetkilendirme alan bir uygulama sizin şifrenizi görüp değiştiremese de yorum yazma, paylaşma ve beğenmeden takip etmeye kadar hesabınızı sonuna kadar kullanabilir. Yetki vermiş olduğunuz bir uygulama şuanlık zararsız gibi görünse de ileride istemeyeceğiniz işlemler yapabileceğinden güvenmediğiniz uygulamalara verdiğiniz izinleri şimdiden kaldırmanızda fayda var. İzin kaldırma işlemi genellikle Ayarlar kısmındaki Uygulamalarım bölümünden yapılabilir.

7- Antivirüs Programları Gibi Güvenlik Yazılımlarından Yardım Almalısınız
Eğer sadece birinci sınıf sitelerde dolaşan çok tecrübeli bir internet kullanıcısı değilseniz bilgisayarınızda ve diğer mobil cihazlarınızda mutlaka özellikle “İnternet Security” olarak adlandırılan, internet güvenliği üzerine yoğunlanmış virüsten koruma yazılımları kullanmalısınız. Bu tür yazılımlar kimlik avı, phishing ve DNS zehirleme saldırısı gibi çok etkili zararlı virüslerden sizi, hesaplarınızı ve kredi kartı bilgilerinizi koruyacaktır.

8- Yazılımlar ve İşletim Sistemi Güncel Tutmalısınız
Özellikle işletim sistemi ve tarayıcı olmak üzere eski yazılım, program ve uygulamalar sizi saldırılara açık halde bırakır ve virüslerden daha kolay etkilenmenize neden olur. Bu yüzden kullandığınız yazılımları otomatik güncelleyecek şekilde yüklemelisiniz veya güncelleme sıklığına göre haftalık veya aylık periyotlarla güncellemeleri denetlemelisiniz.

9- Hesap Şifrelerinizi Sık Sık Değiştirmelisiniz
Özellikle kısa şifreler kullandığınız platformlardaki şifrelerinizin “brute attack” veya Türkçesiyle kaba kuvvet saldırısı denilen deneme yanılma yöntemiyle bulunamaması sağlamak için şifrelerinizi 3-4 ay gibi zaman aralıklarıyla yenilemelisiniz.

10- Facebook Gibi Sosyal Ağlarda Güvenilir Kişileri Belirtin Uygulamasını Kullanmalısınız
Güvenilir kişiler sistemini şuana kadar sadece Facebook’ta gördüm ancak yine de başka sosyal ağlarda da olabilir. Bu yöntem ile Facebook’a güvendiğiniz kişileri önceden iletebilir, ileride hesabınıza erişemediğiniz durumda da bu kişilere kod göndertip o kodu Facebook’a yazarak hesabınıza erişiminizi geri kazanabilirsiniz. Güvendiğiniz kişilere sadece gerçek hayatta iletişiminiz olan ve güvendiğiniz kişileri eklemenizi tavsiye ediyoruz.

11- Hesaplarınızı Kimseyle Paylaşmamalısınız
Çevrenizdeki kişiler sosyal medya hesaplarınıza herhangi bir nedenle erişim istese de onlarla sosyal medya hesabınızı asla paylaşmamalısınız. Karşı taraf bunu bir güven göstergesi olarak görüyor olabilir ancak sosyal medya hesapları bireyseldir. Hesabınızı paylaştığınız kişi tamamen iyi niyetli olsa bile cihazındaki bir yazılım hesabınıza erişiminizi kaybetmenize veya arkadaşlarınızın zarar görmesine neden olabilir.

Sosyal Medya Hesaplarınızı Daha Güvenli Hale Getirecek 11 Tavsiye yazısı ilk önce Webellek'te yer aldı.

Patent, önceden belirlenmiş bir parmak kombinasyonuyla parmak okuyucuya dokunulduğunda herhangi bir şey belli etmeden arka planda sağlık ve polis ekiplerine sizin konumunuzu ve kişisel bilgilerinizi iletiyor. Örneğin bir soygunun ortasında kaldığınızda veya biri size saldırmaya çalıştığında arama yapıp telefonla konuşmaya uğraşmak yerine sadece parmak izi sensörüne işaret, serçe, işaret parmağı gibi bir kombinasyonla dokunduğunuzda ekiplere size yardımcı olmak için gereken bilgiler iletiliyor.

Buraya kadar Apple Watch’un bir tuşa basılarak acil yardım çağrısı yapabilen SOS özelliğine çok benzediğini söyleyebiliriz ama bundan daha fazlası da var. Patent aynı zamanda cihaz kamerasının görüntü ve ses kaydını anlık olarak polis ekiplerine iletilmesini amaçlıyor. Bunu gerçekleştirebilmek için de Apple’a çok sayıda özel izin sağlıyor.

Bu kamera görüntüsü ve ses aktarımının tamamen gizli yapıldığı düşünüldüğünde bu patentin güvenliğin sağlanmasının yanında kişi haklarının ihlal edilmesine yol açabileceği de bir gerçek. Bir hacklenme durumunda saldırganlar bu özellik sayesinde farkedilmeden kullanıcıyı izleyebilir ve dinleyebilir.

⇓⇓ Bu özellik sizce gelmeli mi? Görüşlerinizi yorumlarda belirtebilirsiniz ⇓⇓

Apple Acil Durum Çağrısı Patenti Aldı yazısı ilk önce Webellek'te yer aldı.

Tanıtım Videosu

Aslında bu video hazırlandığı sırada eklentiyi satmayı planlıyorduk ancak sonradan ücretsiz dağıtma kararı alınca bazı uyuşmazlıklar oldu video ile 😛 Sonradan güncelleyeceğiz.

Project Safe ne işe yarar?

Project Safe’in temel amacı eğer WP-Admin dizinine giriş yapmaya çalışan kişinin IP adresi, Project Safe’in yönetim panelinde kayıtlı değilse; WP-Admin’e girmeye çalışan kişiyi, WP-Admin yerine Project Safe yönetim paneli üzerinden ayarlanmış adrese yönlendirmektir. Tabii ki bunun dışında ayarlanabilir ek özellikleri de vardır.

Project Safe Yönetim Panelinden Yapılabilecek Diğer İşlemler

IP Adresi işlemleri

• IP adresi kaydetme
• IP adresi silme
• IP adreslerini toplu silme
• Kayıtlı IP adreslerini tarih gibi detaylı bilgilerle görüntüleme

Kullanıcı işlemleri

• Yönetici hesap hesabı oluştur, sil, şifre değiştir, detaylı listele (Project Safe yönetim paneline girip ayar değiştirme vs. yetkisi olan)
• Standart hesap oluştur, sil, şifre değiştir, detaylı listele (Project Safe yönetim ayarlarını değiştiremeden sadece kendi IP adresini kaydetme yetkisiyle)

Ayarlar ve Güncelleme

Ayarlar sayfasında, “IP adresi kayıtlı değilse WP-Admin giriş yapılıyken IP adresi kontrol edilsin mi?”, “IP adresi kayıtlı değilse hangi adrese yönlendirme yapılsın?” ve “Project Safe panelinde SSL aktifleştirilsin mi?” gibi ayarlar bulunuyor.

Güncelleme sayfasında ise otomatik sürüm kontrolü ve güncelleme adımları yer alıyor.

Project Safe, sitemi nasıl koruyacak?

• Herhangi bir açıktan yararlanarak sitenizin yönetim paneline erişim sağlayabilecek kötü amaçlı bir kişi bu eklenti sayesinde şifreyi bulmuş veya kendine bypass yöntemleriyle doğrudan geçiş sağlamış olsa bile Project Safe, yönetim paneline giriş yapmasını engeller.
• Yönetim paneline giriş yapamayacağından kimse sitenize kaba kuvvet (brute attack) saldırısı yapamaz.
• Kötü amaçlı bir kişi keylogger gibi programlarla şifrenizi ele geçirse bile yönetim panelinize giriş yapamaz.
• Bir yerde yönetim panelini açık unuttuğunuzda, veritabanıyla uğraşıp vakit kaybetmeden kolayca mobil cihazınızdan bile IP adresi kaydını silerek yönetim panelinden çıkışınızı yapabilirsiniz.

Nasıl İndirir ve Yüklerim?

Kurulum

Eklentinin WordPress’den bağımsız çalışabilmesi gerektiği için kurulumu standart eklenti kurulumundan biraz daha uzun ancak yine de çok kolay bir kuruluma sahip.

Kurulum Adımları

Dosyayı indirin: İndirmek İçin Tıklayın

Adım 1:
İndirdiğiniz zip dosyası içindeki “ip” klasörünü FTP’de genellikle “public_html” veya “www” olarak adlandırılan ana (root) dizinine yükleyin. (klasör ile birlikte)

Adım 2:
Seçenek 1: İndirdiğiniz zip dosyasının içindeki “project-safe” klasörünü FTP’deki “wp-content/plugins” dizinine atın.
Seçenek 2: Bu arşivin içindeki eklenti.zip dosyasını arşivden dışarı çıkardıktan sonra WordPress yönetim panelindeki “Eklentiler -> Yeni Ekle” kısmından Eklenti Yükle’ye gelin ve “eklenti.zip” dosyasını seçip yükleyin.

Adım 3:
Wordpress yönetim panelinden “Eklentiler -> Yüklü eklentiler” kısmına gelin, Project Safe isimli eklentiyi bulun ve “Etkinleştir” butonuna tıklayın.

Adım 4:
http://siteniz.com/ip/moderate.php (siteniz.com kısmını değiştirin) adresine gidin, sağ üstteki “Yönetim’e Git” tuşuna tıkalyın. Kullanıcı adı: 1 ve Şifre: 123 şeklinde giriş yapın. Önce kendinize yeni bir yönetici hesabı oluşturun sonra giriş yaptığınız “1” kullanıcı adına sahip olan hesabı silin ve daha sonrasında menüden ayarlara giderek eklentiyi kullanımınıza uygun olacak şekilde yapılandırın.

Ayarlarların Yapımı

Ayarları tamamen kendi istediğiniz şekilde ayarlayabilirsiniz. Ben burada sadece ayarların açıklamalarını yapacağım:

Kontrol ve Yönlendirme

IP adresi nerede kontrol edilsin bölümünde: “Giriş ve WP-Admin içerisinde kontrol et” ayarı daha güvenlidir ancak sürekli IP adresinizi kaydetmekle uğraşmak istemiyorsanız “Sadece girişte kontrol et” ayarını seçebilirsiniz.

Yönlendirme kısmında ise tamamen sizin isteğinize bağlı. Varsayılan olarak eğer WP-Admin girişi yapıldıysa “ip” dizinine (Eğer sonraki adımda Project Safe adresi ayarını değiştirirseniz bunu değiştirmeniz gerekli.) eğer WP-Admin girişi yapılı değilse ana sayfaya yönlendiriyor, tavsiye ettiğim ayar da budur.

Project Safe Adresi

Bu ayarı kesinlikle değiştirmenizi öneriyorum. Yeni vereceğiniz değer için tavsiyem, içerisinde admin ve yönetim gibi kelimeler geçmeyen bir adres olması.

SSL Ayarı

Eğer sitenizde SSL kullanıyorsanız aktifleştirmenizi öneririm, eğer kullanmıyorsanız zaten kesinlikle aktifleştirmeyin.

Eklentiden Görüntüler

Bazı ekran görüntüleri son güncellemelerden önce alınmış olabilir. Görsel anlamda ufak farklılıklar olabilir.

Webellek’ten Ücretsiz WordPress Güvenlik Eklentisi Project Safe yazısı ilk önce Webellek'te yer aldı.

Bildiğiniz üzere internet sitelerine, adres çubuğunda gördüğünüz HTTP (http://) protokolü ile bağlanıyoruz. Bazı internet sitelerinde ise bu protokolün HTTPS (https://) ile değiştiğini ve adres çubuğunun yeşil renge döndüğünü mutlaka görmüşsünüzdür. HTTP sonuna S eklenerek HTTPS olması HTTP Secure yani güvenli anlamına gelir. Ancak bu güvenli yazısı internet sitesinin güvenli olduğu anlamına gelmez. Bu yazı internet sitesi ile cihazınız arasındaki bağlantının güvenli olduğu anlamına gelir. Yani sizin siteye gönderdiğiniz her türlü veri, siteye şifrelenerek ulaşır.

Eğer yazılı anlatım kafa karıştırıcı geldiyse yukarıdaki şema ile durumu çok daha rahat anlayabilirsiniz. İnternet sitesine yazdığınız “123456” şifresi SSL sayesinde şifrelenerek internet sitesine “Qp7p6kc” (temsili) olarak ulaşır. İnternet sitesi, elinde bunu çözecek anahtar olduğundan bu verinin “123456” olduğunu anlar ve işleme “123456” şifresi ile devam eder. Bağlantıya sızmaya çalışan bir hacker olursa gerçek şifreyi değil de “Qp7p6kc” verisini elde eder. Elde ettiği veri 40-2048 bit arasında şifrelendiği için bu veriyi çözüp bunun “123456” olduğunu anlaması da oldukça zor olacaktır.

HTTPS Sitenin Güvenli Olduğunu Göstermez!

İşte dikkat etmeniz gereken kısım da tam burası. Toplumda HTTPS kullanan sitelerin tamamen güvenli olduğuna yönelik bir algı mevcut. Büyük firmaların destekleriyle yapılan sunumlarda bile insanlara “Girdiğiniz sitenin gerçek olup olmadığını veya dolandırıcı olup olmadığını adres çubuğunda HTTPS olup olmadığına bakarak anlayabilirsiniz.” gibi hatalı bilgiler veriliyor.

Sitenin SSL ile şifrelenmesi ve HTTPS protokolünü kullanması sadece site ile bağlantınızda araya üçüncü bir kişinin sızamamasını sağlar. Ancak HTTPS kullanan bir sitenin sizi kandırabilmesini ve dolandırabilmesini sağlayacak pek çok durum mevcut. Bu durumların bazıları:

• Site tamamen dolandırıcılık amacıyla açılmış bir E-Ticaret sitesiyse ve siz HTTPS kullanıyor diye siteye güvenirseniz kredi kartı gibi önemli bilgilerinizi kaydedebilir ve çalabilir. Aradaki bağlantı şifreli olsa da neticede siteye şifresiz veriler gidecektir.
• Eğer siz sitenin tam adına değil de sadece adres çubuğundaki HTTPS protokolüne dikkat ederseniz faceb00k (çift sıfır) gibi bir site açan dolandırıcı, 40TL gibi bir fiyata SSL sertifikası satın alabilir ve sitesini HTTPS protokolüyle erişilebilir hale getirebilir. Sonrasında da sizin Facebook’a girdiğinizi sandığınız bilgilerinizi ele geçirebilir.

HTTPS Gereksiz Midir?

Bu yazdıklarımızdan kesinlikle böyle bir anlam çıkarılmasın. HTTPS özellikle kullanıcıların bilgilerini girdiği internet sitelerinde gereklidir ve standart haline gelmesi gereken bir protokoldür. Yalnızca HTTPS’nin işlevini tam olarak bilmeyenlerin HTTPS kullanan sitelere girdiğinde kendilerini tamamen güvende hissetmeleri yanlış bir algıdır.

HTTPS (SSL) Kulllanan İnternet Siteleri Güvenli Midir? yazısı ilk önce Webellek'te yer aldı.

Stock Rom Nedir?

Stock Rom, Android işletim sistemli cihazınızı satın aldığınızda içine üreticisi tarafından yüklenmiş cihazın orijinal yazılımıdır.

Custom Rom Nedir?

Custom Rom, Android işletim sistemli cihazlar için 3. parti topluluk veya kişilerin geliştirdiği yazılımlardır. Custom Romlar cihaz üreticileri tarafından desteklenmez ve yüklenmesi durumunda cihazınız garanti dışı kalabilir veya kullanılmaz hale (brick) gelebilir.

Custom Rom Kullanmanın Genel Avantajları:

• Kişiselleştirilebilir oluşu.
• Genellikle daha güncel Android sürümüne geçiş imkanı.
• Genellikle daha hızlı çalışan, hafif ve basit bir sistem.

Stock Rom Kullanmanın Genel Avantajları:

• Genellikle minimum düzeyde hatalar içeren işletim sistemi.
• Garanti kapsamı dışına çıkmamak.
• Üreticinin özel uygulamaları. (Bu bazen dezavantaj da olabiliyor)

Hangisi Daha Güvenli?

Hangisi daha güvenli sorusuna genelleme yaparak cevap vermek yanlış olur. Eğer Custom ve Stock Rom’un Android sürümleri aynıysa muhtemelen Stock Rom kullanmak daha güvenli olacaktır. Ancak eğer Stock Rom’un Android sürümü çok geride kaldıysa ve Custom Rom ile güncel bir Android sürümüne geçiş şansı varsa Android’in eski sürümündeki güvenlik açıkları nedeniyle Custom Rom kullanmak daha güvenli olabilir.

Hangisi Daha Hızlı Çalışıyor?

Custom Romlarda genellikle gereksiz özellikler çıkarılmış küçük boyutlu sistem uygulamaları (kişiler, mesajlaşma…) kullanılır ve genellikle üreticinin saf Android’de bulunmayan özel uygulamalarına yer verilmez. Bu da sistem uygulamalarına girişlerin hızlı olmasını ve ram kullanımının az olmasını sağlar. 2GB üstünde Ram’e sahip cihazlar için bu büyük bir fark yaratmaz ancak düşük Ramli cihazlarda boştaki Ram kullanımının az olması cihazın çalışma hızında büyük bir avantaj sağlayacaktır.

Bunun dışında uygulama performansı olarak her Custom Rom’da farkı CPU yapılandırması ve Kernel kullanılır bu da performans ve batarya ömrü arasındaki dengeyi değiştirir. Her romda farkı bir performans ve batarya ömrü almanıza neden olur. Yani uygulama performansı olarak her Stock Rom her Custom Rom’dan hızlı veya yavaş değildir.

Hangisinin Şarjı Daha Uzun Dayanıyor?

Bu konu da tamamen CPU yapılandırması, Kernel ve Android sürümüne göre değişiyor. Genellikle yakın süreler oluyor.

Android Custom Rom Mu? Stock Rom Mu? yazısı ilk önce Webellek'te yer aldı.

Ortaya çıkan açık aslında zararlı gözükmese ve çok basit olsa da kolay kullanılabilir olması sebebiyle Skype kullanıcıları arasında hızlıca yayıldı ve çok sayıda kişi açığı arkadaşları üzerinde uyguladı.

Microsoft tarafından yakın zamanda kapatılan bu açık herhangi birinin size “http://:” yazması durumunda ortaya çıkıyor ve mesajı alan kişinin Skype’ını donuduruyor, kapanmaya zorluyordu. Hatta bazı durumlarda programı bilgisayardan kaldırıp tekrar yüklemek bile gerekebiliyordu. Mesajı yollayan kişide ise mesaj göneriliyor olarak gözüküyor, karşı tarafa ulaşmasına rağmen gönderildiye dönüşmüyordu. Ayrıca açığın eski sürümlerde olmayıp son güncellemelerin biri ile ortaya çıkması da dikkatleri çekti.

Eğer sizde Skype kullanıcısıysanız bu sinir bozucu açık ile karşılaşmadan Skype’ı güncellemenizi öneriyoruz.

Skype’ı Kapamaya Zorlayan Açık Kapatıldı yazısı ilk önce Webellek'te yer aldı.

Bu makalemize güvenli şifre seçimi hakkında yanlış bilinenler ile başlayalım.

Yanlışlar:

Yanlış 1: “Doğum tarihi gibi kişisel bilgilerinizi şifrenizin içinde kullanmayın.”

Bu belki 1900’lü yıllarda 4 haneli şifreler kullanıldığı zamanlarda geçerliydi ancak günümüzde şifrelerimizin genellikle 8 haneden kısa olmasına izin verilmiyor. Bu durumda deneme/yanılma ile şifre bulmak neredeyse imkansız bir hale geliyor ve kötü amaçlı hackerlar veritabanına erişmek veya brute attack* yapmak zorunda kalıyorlar. Bu da şifrenizin içinde kişisel bir bilginizin bulunmasının şifrenizin kırılma ihtimalini değiştirmeyeceğini gösteriyor. Ayrıca kötü yanın aksine dikkatli kullanıldığında şifrede kişisel bilgi kullanmak hatırlamayı kolaylaştırıyor. Yine de sizden bankamatiklerdeki gibi 4 haneli bir şifre isteniyorsa kişisel bir bilginizi şifre olarak seçmeyin. Ayrıca şifrenizin tamamının da birbiri ile bağlantısı olan kişisel veri olmaması gerekiyor.

*Kaba kuvvet saldırısı. Bilgisayar olabilecek tüm sonuçları tek tek deneyerek şifreyi bulmaya çalışır (a1111, a1112, a1113, …). Uzun, içinde rakam, büyük-küçük harf ve karakter bulunan şifreleri bu yol ile çözmek neredeyse imkansızdır.

Yanlış 2: “Şifrenizi unutmamak için her yerde aynı şifreyi kullanın.”

Siz kuantum bilgisayarların bile kolay kolay kıramayacağı bir şifre seçmiş olsanız bile sizin elinizde olmayan veritabanının hacklenmesi gibi sebeplerden şifreniz kötü amaçlı hackerların eline geçebilir. Her ne kadar veritabanı içinde de şifreler md5 gibi yöntemler ile şifrelenmiş olsa da günümüzde çözülemeyen bir şifreleme metodu yoktur.  Şifreniz kötü amaçlı hackerların eline geçtiğinde sizin kullanıcı adınız ve şifreniz ile başka hesaplarınıza da erişmeyi deneyeceklerdir. Bu sebeple her yerde farklı bir şifre kullanmak daha güvenli olacaktır. Yazımızın üçüncü bölümünde her seferinde farklı bir şifre kullanırsanız bu kadar çok şifreyi unutmamak için ne yapmanız gerektiğine değineceğiz.

Yanlış 3: “Tüm şifrelerinizi bir yere not edin.”

Eğer tüm şifrelerinizi bilgisayarınızda bir not defterine kaydederseniz bilgisayarınıza bir zararlı bulaştığında kolayca tüm hesaplarınızı ele geçirebilirler. Evinizde bir kağıda yazmanız durumunda da evinize erişimi olan biri veya evinize girecek bir hırsız hesaplarınıza ve eğer yazdıysanız kredi kartı gibi bilgilerinize erişebilir. Yine de evinize yazdığınızda bunun istenmeyen bir kişinin eline geçme olasılığı zararlının text dosyasını ele geçirip şifrelerinizi öğrenme olasılığından çok daha düşük. Yazımızın sonunda bir kağıda veya text dosyasına nasıl güvenli bir şekilde yazabileceğinize de değineceğiz.

Yanlışlardan yeterince bahsettik. Şimdi ise güvenli şifreler oluşturmak için uygulamamız gereken kurallara gelelim.

Kurallar:

Kural 1: “Mümkünse büyük-küçük harf, rakam ve karakter barındıran şifreler koyun.”

Şifrelerin güvenliğini belirleyen en büyük etmen büyük-küçük harf, rakam ve karakter* bulunmasıdır. Bunların her birinin bulunması şifrenin uzunluğu kadar önemlidir. Karakter içeren şifreler eskiden her yerde desteklenmese de günümüzde pek çok yerde desteklenmekte. Eğer desteklenmiyorsa karakter kullanılmaması ciddi bir sorun teşkil etmez. Şimdi büyük-küçük harf, rakam ve karakterin önemini anlatmaya çalışacağım. 4 hanelik bir şifremiz olduğunu düşünelim. Bu sadece harflerden oluşuyorsa alfabemizde 29 harf olduğunu düşünürsek 29^4 den (29 üstü 4) 707281 olasılık olabilir. Eğer bu şifremiz karakter, büyük-küçük harf ve rakam da içeriyorsa 29 küçük + 29 büyük harf + 10 rakam + en az 200 sembolden her hanede 268 olasılık olabilir. Buradan 268^4 den (268 üstü 4) şifremiz 5158686976 olasılık içerebilir. Bu da karakter, rakam, büyük-küçük harf içeren 4 hanelik şifremizin sadece harf içerenden 6 hanelik şifremizden 7293 kat daha güvenli olduğunu gösterir (4 hanelik şifre için. Hane sayısı arttıkça bu fark da artar).

*Sembol, örnek: ! ? # $ £ @ % ” ‘ > < : . ,

Kural 2: “Ne kadar uzun o kadar güvenli.”

Şifremizin güvenliği uzunluğu ile doğru orantılı olarak artar. Yani şifremiz ne kadar uzunsa o kadar güvenliğinin artacağını söyleyebiliriz. Yine de uzunluğun yanında diğer kurallara da dikkat etmemiz gerekir. Uzunluğu çok fazla abartmaya gerek yok. Günümüzde bu kadar zor şifreleri kırabilecek piyasa bilgisayarları yok yine de büyük Google gibi firmaların elinde olan kuantum bilgisayarları ile veya onlarca-yüzlerce bilgisayar birlikte çalışacak şekilde programlanarak şifreler kırılabilir. Eğer sizde normal biriyseniz kimse sizin şifrenizi büyük bir bilgisayar ordusuyla kırmaya çalışmaz. Bu yüzden uzunluğa önem verirken akılda tutulamayacak kadar uzun şifreler koymaya gerek yok. Son olarak bir şifre için 8-10 hanenin ideal olduğunu söyleyebiliriz.

Şimdi yukarıdaki kural ve yanlışların açıklamasında yazılanlara uymanız durumunda güvenliği etkilemeyecek ama işinizi kolaylaştıracak tavsiyelerimize geçelim.

Tavsiyeler:

Tavsiye 1: “Taban Şifreye Özel Ek Metodu”

Bu metodu kendim geliştirdim ancak büyük ihtimalle benden başka kişilerin de aklına gelmiştir. Bu metod şu şekilde işliyor. Öncelikle kendinize bir taban şifre seçmeniz gerekiyor. Bu şifre her yerde aynı olacak. Örneğin taban şifremiz 1234Abcd olsun. Şimdi Twitter’a kaydolacağız. Twitter’ın baş harfi T. Bu durumda Twitter şifremizi 1234AbcdT yapıyoruz. Burada T‘yi nereye koyacağınız, küçük-büyük harf ile koyacağınız tamamen size bağlı. İsterseniz T1234Abcd isterseniz 1234AbcdTT gibi kendiniz bu yöntemi geliştirip kendinize özgü bir şey yapabilirsiniz. Ayrıca bu metod sayesinde her sitede aynı tabanı kullanıyor ve özel eki site adından bulabilecek olduğunuzdan unutma şansınız da azalıyor.

Tavsiye 2: “Şifreyi Şifreleyerek Kaydetme Metodu”

Bu metod diğer metodun devamı gibi. Diğer metod olmadan bu metodu uygulamanın anlamı kalmıyor. Bunu da kendim geliştirdim ancak benden başka kişilerin de aklına gelmiş olabilir. Eğer çok fazla yere kaydolan ama güvenliğine de önem verdiğinden her yere farklı şifre koyan biriyseniz bütün bu şifreleri aklınızda tutmanız çok zor olacaktır. Eskiden siteler günümüzdeki kadar önbellekleme yapmıyordu. Her seferinde tekrar şifreyi girmekten hafızamıza kazınıyordu ancak günümüzde bir siteye her gün bile girsek şifremizi 1 sene boyunca tekrar yazmak zorunda kalmayabiliyoruz. Araya bu kadar zaman da girince ister istemez unutabiliyoruz. Bu durumla karşılaşmamak için bütün şifrelerimizi bir text dosyası içinde güvenli bir şekilde depolayacağız. Diğer metod sayesinde buna gerek yokmuş gibi görünüyor ancak bazen sadece mobil cihazlar, akıllı televizyon ve playstation gibi yazı yazmak zor olan cihazlardan girdiğimiz şifreler olabiliyor. Bu tür durumlarda yazmak zor olacağından karakteri, büyük küçük harfi olan şifreler koymak istemeyebiliyoruz. Bazı durumlarda da ilk metoddaki yöntemi kullanarak taban şifrenize ek sadece T harfi koyduktan sonra başka bir T harfi ile başlayan site ile karşılaşınca farklı bir şifre koymak isterseniz karışıklıklar olabiliyor. Önceki metodu uyguladığımızı var sayarsak taban şifremiz 1234Abcd olsun. Zaten bunu her siteye girdiğimizden unutma şansımız yok. Bunu text dosyasının içine 1*d gibi bir şekilde şifreleyerek yazıyoruz. Örneğin metodu tabanın sonuna sitenin baş harfini büyük bir şekilde yazarak uyguluyorsak N koyuyoruz. İki tane koyuyorsak NN koyuyoruz. N bilinmeyeni temsil ediyor. Fazla uzatmadan bir örnek yapalım:

Şifre.txt:

Twitter  (1. site)    –   1*dN     (“1*d” tabanı, “N” T harfini temsil ediyor)

T***  (2. site)         –   1*dn      (“1*d” tabanı, “n” t harfini temsil ediyor)

T***  (3. site)         –   1*dNN  (“1*d” tabanı, “NN” TT harflerini temsil ediyor)

T***    (4. site)       –   1*dnn     (“1*d” tabanı, “nn” tt harflerini temsil ediyor)

Bunu düzenleyerek size göre en kolay hale getirebilirsiniz. Eğer herkesçe kolaylaştıracak yöntemler bulursanız diğer insanlara da yardımcı olmak amacıyla bize gönderebilirsiniz.

Nasıl Güvenli Şifre Oluşturulur? Şifre Oluşturma Rehberi yazısı ilk önce Webellek'te yer aldı.