Uzun yıllardır BT sektöründe farklı konumlarda çalıştım. Dijital bilgi güvenliğim ve tecrübem gelen bir e-posta ile tepetaklak oldu. Hacklenmiştim!
Yaklaşık 20 sene boyunca insanlara en az sekiz karakterden oluşan, tahmin edilmesi güç, karmaşık harf, rakam ve sembollerden oluşan parolalar kullanmalarını tembihledim. İnternete ilk girdiğim yıllarda yaşadığım bir e-posta adresi kaptırma olayı dışında sicilim temizdi. Derken 2018’in Kasım ayında bir e-posta aldım.
E-postayı gönderen kişi kendimdim. Sıkça yaşanan bir durumdur, kişiyi korkutmak ve e-posta kaynağının takip edilmesini güçleştirmek için kendi adresinizden gelen bir e-posta kurgusu yapılır. Teknik olarak basit bir işlemdir. Bunu pek dert etmedim, başlığındaki “Seni hackledik Ahmeeeet!” tarzındaki ifade de pek inandırıcı gelmedi. Ama ilk paragrafı okuyunca şoke oldum; benim o güçlü ve muhteşem kırılmaz parolam orada kabak gibi yazıyordu.
Panik olmadım desem yalan söylerim, bu öyle herkesin tahmin edebileceği, deneme yanılma ile çözülebilecek bir parola değildi. Ama karşımda duruyordu. E-postayı okumaya devam ettim.
“Hesabını ele geçirdik, tüm cihazlarına sızdık, tüm arkadaş listelerini ele geçirdik, sistemlerine kamera görüntülerini alacak uygulamalar yükledik, porno izlerken senin karanlık fantezilerini görüntüledik, şu adrese şu kadar Bitcoin yollamazsan işin yaş, dünya aleme rezil olacaksın!”
Rahat bir nefes almıştım zira porno izleme gereği duymam J
Biraz araştırınca olay netleşti, güçlü olduğunu düşündüğüm bu parolayı çok eski bir zaman diliminde muhtemelen farklı bir servis için de kullanmıştım. Hacklenen hesabım değil, diğer servisti. Saldırganlar e-posta adres ve parola ikililerine toplu mail atıyor, “kimi kandırıp Bitcoin cukkalarsak kârdır” düşüncesi ile hareket ediyordu.
Neyse ki ben uzun süre önce tüm hesaplarımın parolalarını farklı olacak şekilde kurgulamıştım. Ayrıca e-posta adresimde 2FA (iki yönlü doğrulama) özelliği olduğu için sadece parolayı ele geçirmek hesaba giriş için yeterli değildi.
Çıkartılan dersler, öncesinde ve sonrasında aldığım önlemler
- Artık parolalar çağında yaşıyoruz. Kaç tane parolanız olursa olsun mutlaka hepsi bir birinden farklı olsun.
- Bunca farklı parolayı hatırlayacak ve yönetecek bir zihin tanımadım. Benim 700’den fazla parolam var. Bu yüzden bir parola yönetim aracı şart. Ben 1Password kullanıyorum, tavsiye ederim. Denediğim servisler içinde en iyisi.
- 8 karakterli, harf, rakam ve sembol içeren parolalar artık tarih oldu. Bilgisayar sistemleri çok güçlü, rahatlıkla bunlar deneme yanılma (brute force) ile kısa sürede çözülebiliyor. Bunları unutun.
- Uzun cümleler oluşturacak parolalar önemli veya 16-32 karakterli parolalar tercih edilmeli. 1Password size bu yapılarda otomatik parola üretebiliyor. Örneğin “kardeşim elma yemeyi sevmez ama incire bayılır” à işte bu parolayı deneme yanılma yöntemi ile kırmak imkansız.
- Kullandığınız servis destekliyorsa mutlaka 2FA özelliğini aktif hale getirin. SMS doğrulaması son zamanlarda aşılabiliyor ama hiç olmamasından daha iyidir.
- Parola kurtarmak için kullandığınız güvenlik sorularınızı basit şeyler seçmeyin. Annenizin kızlık soyadı, ilk arkadaşınızın soyadı, tuttuğunuz takım gibi şeyler çok rahatlıkla bulunabilir.
- Gerçek olmayacak kadar iyi maillere inanmayın, değiller.
- Hiçbir zaman banka ve farklı servis temsilcileri sizden parola veya SMS onay kodunu istemez, asla bunları paylaşmayın.
- Belli aralıklar ile farklı siteler ele geçirilip e-posta buna bağlı hash halindeki veya açık parola bilgileri çalınabiliyor. 1Password bunları takip edip listeliyor ve parolanızı değiştirmeniz için uyarıyor. Bu yüzden aynı parolayı birden fazla yerde kullanmamak, ele geçirilen servislerde acilen parola değiştirmek önemli.
- Düzgün bir hayat yaşamak daha önemli, muhtemelen porno sitelerde gezinsem çok daha fazla panik olabilirdim J