İngiliz İstihbaratından Parola Güvenliği için İpuçları

Dünden beri yoğun saldırı altındayım.
Karizmatik bir cümle ama işin aslı birisi blogumun parolasını tahmin etmeye çalışıyor. Daha önce benzer bir durumla karşılaştığımda bu denemeleri yapan arkadaşa açık mektup tadında bir yazı yazmıştım (http://alperbasaran.com/hacker-arkadasa-acik-mektup/)

Bu seferki biraz daha inatçı çıktı ve yazıyı yazdığım sırada 1368. denemesini yaptı. Belli deneme sayısından sonra IP adresini değiştirmek zorunda kaldığı için bu denemelerin çoğunu farklı IP adreslerinden yapmak zorunda kalıyor.

Blogumda iki kademeli giriş kullanıyorum. Yani arkadaş parolayı bulsa bile telefonuma gelecek kodu da bulmak zorunda kalacak ve tabii bu ihtimal dahilindedir. Bir bloga saldırmanın mantığını hala anlayamadım ama vardır bir amaçları herhalde? İki kademeli giriş kullanmasaydım bu saldırının başarılı olmasını önleyecek tek şey parolam olacaktı ve bu olayın güçlü parola kullanılmasının önemini vurguladığını düşünüyorum.

Geçtiğimiz hafta İngiliz istihbarat örgütü GCHQ (Government Communications Headquarters) parola kullanımına ilişkin bazı önerilerinin bulunduğu bir belge yayınladı. Bahaneyle bu belgenin önemli kısımlarını aktarmak istiyorum.

Belge parola sorununa da değinmekte ve parolaların ele geçirilmesinde kullanılan yöntemleri aşağıdaki gibi sıralamaktadır;

  1. Sosyal mühendislik (oltalama/phishing saldırıları)
  2. Doğum tarihi vb. bilgiler kullanılarak parola tahmini
  3. Ağ üzerinden iletilen parolaların yakalanması
  4. Parolayı yazılırken görmek
  5. Klavye hareketlerini kaydeden (keylogger) zararlıları
  6. Dijital olarak saklanan parolalar (Alper’in notu: SONY’de parolaların “parolalar” adlı bir dosyada tutulduğunu görmüştük)
  7. Kaba kuvvet kullanarak tahmin
  8. Not kağıdına veya deftere yazılan parolaların bulunması
  9. Yaygın olarak kullanılan parolaların denemesi

Son maddeyle ilgili olarak eklemekte fayda gördüğüm bir not var. Geçenlerde hacklenen Ashley Madison “arkadaşlık” sitesine ait parolalar yayınlandı ve 11 milyon parola üzerinde yapılan incelemeler en sık kullanılan ilk 3 parolanın “123456” (120,000 kişi), “12345” (48,000 kişi) ve “password” (39,000 kişi) olduğunu gösterdi. Bu da, bir saldırganın sadece “123456” gibi basit bir parolayı farklı kullanıcı adlarıyla deneyerek sonuca ulaşabileceğini gösteriyor.

GCHQ tarafından verilen parola “ipuçları” ise şöyle;

  • Bütün fabrika çıkışlı parolaları değiştirin
  • Kullanıcılarınızın parolalarını yönetmelerini kolaylaştırın. Parola yönetimi yazılımı kullanmak farklı sistemler için farklı parola kullanmalarını kolaylaştıracaktır.
  • Kullanıcılar tarafından belirlenen parolaların zayıf olabileceğini kabul edin. Parola politikalarını belirlemez ve bunların uygulanması için gerekli teknik önlemleri almazsanız kullanıcılar her zaman basit parola kullanmayı tercih edecektir.
  • Otomatik olarak atanan parolaların da sorunlu olabileceğini kabul edin. Bilgisayar tarafından oluşturulan süper karmaşık bir parola güzeldir tabii ki ama hatırlaması zor olacağından kullanıcıların bunu bir yere not edebileceğini düşünmemiz gerekir. Bu nedenle otomatik olarak oluşturulan parolaların daha kolay hatırlanabilmesini sağlayacak bazı kurallar belirlemekte fayda olabilir.
  • Kullanıcı ve yetkili hesapları farklı yönetin. Kullanıcıların güçlü parola kullanması yeterli olabilir belki ama yetkili hesaplara girişin iki kademeli bir doğrulama ile yapılması uygun olacaktır.
  • Hesapları kilitleyin. Belli bir sayıda yanlış parola denemesi yapıldığında hesabın kilitlenmesini sağlayın. Bunun dışında giriş denemeleri ve benzeri saldırgan davranışları da izleyecek bir sistem kurulmalıdır.
  • Parolaları düz metin olarak tutmayın. Her hesap için tekil olan bir girdi (salt) ile birlikte hash değerlerini tutun.

GCHQ tarafından yayınlanan belgeye https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-_simplifying_your_approach.pdf adresinden ulaşabilirsiniz.