Site Üyeliklerinde E-posta ve Şifre Güvenliği

İnternette sitelere üye olurken E-posta ve Şifrelemizin güvenliği önemli bir husustur. Çünkü e-posta adresi ve şifre kombinasyonunun aşılmasının ardından kişisel bilgilerimiz çalınabilir, isteğimiz haricinde kullanılabilir, bizim adımıza paylaşılmarda bulunulabilir. Bun durumların önüne geçebilmek için 2 tarafa da yani hem kullanıcıya hem de site sahiplerine iş düşüyor.

Kullanıcılar açısından güvenlik önlemleri:
– Hesap şifrelerinizin aynı olmamasına özen gösterin. Örneğin e-posta adresinizle ve internette kaydolduğunuz bir siteye girdiğiniz şifre aynı olursa site sahibinin artniyetli olması durumunda E-posta adresinizden bir çok kişisel bilginize erişilebilir.
– Eğer her bir hesap için farklı şifreyi aklınızda tutamıyorsanız ya da tutmak istemiyorsanız Önemli hesaplarınız için (yani E-posta(hotmail,gmail vs), MSN, Skype, Facebook, Twitter vb) için ayrı ayrı şifreler belirleyin. Geri kalan forum siteleri vb gibi ıvır zıvır siteler için tek bir adi şifre kullanın. Önemli hesaplarınıza sık sık erişeceğiniz için bu şifreleri hatırlamakta zorlanmazsınız ancak daha az ziyaret ettiğiniz forum siteleri vb sitelerin şifrelerini hatırlamakta zorlanabilirsiniz. Bu yüzden bu tarz siteler için adi şifre kullanmanızda yarar var.
Adi Şifre: Önemsiz sitelere kaydolurken kullandığınız tek bir şifredir, hesap çalınsa bile önemli olmayan hesaplar için kullanabilirsiniz.
– Şifre seçiminiz her zaman harf ve sayıların karışık kombinasyonundan oluşsun. Eğer siteler izin veriyorsa +,%,&,/,(,) gibi özel karakterler kullanın.
– Bir siteye üye olduktan sonra “Şifremi Unuttum” seçeneğini kullanın.
-> Eğer site size doğrudan şifrenizi gönderiyorsa o site güvensizdir. Çünkü şifreniz o sitenin veri tabanında şifrelenmemiş halde yani açık halde saklanıyordur. Güvenilir sitelerin veri tabanlarında şifreler tek yönlü şifreleme fonksiyonlarından geçirildikten sonra hashlenmiş halde tutulurlar.
-> Eğer site size “Şifreni Sıfırla” linki gönderiyorsa bu site biraz daha güvenlidir, çünkü elinde şifrenizin saf hali mevcut olmayabilir. Ancak bu durum da tam olarak güvenilir sayılmaz, çünkü sitenin veri tabanında şifrenizin saf hali de saklanıyor olabilir.
-> Eğer site size “Rastgele (random) üretilmiş bir şifre” gönderiyorsa bu site de güvenilir sayılmayabilir. Çünkü bilgisayar dünyasında rastgelelik diye bir kavram gerçekleştirilemez. Sitenin kullandığı rastgelelik fonksiyonu kırıldığı anda tüm kullanıcıların şifrelerinin sıfırlanma riski vardır.

Site sahipleri açısından güvenlik önlemleri:
– Kullanıcı şifrelerini her zaman “hash”leyerek saklayın, çünkü o kullanıcının güvenliğinden siz de sorumlusunuz. Ayrıca tüm üyelerin bilgileri çalındığında maddi olarak zarara uğrayacak olan yine sizsiniz.
– Üye girişi kısmına sınır ve süre koymanız gerekmektedir. Eğer üye girişi denemelerine sınır koymazsanız (bu sınır aşıldığında belli bir süre bekleme limiti de koymalısınız) yönetici girişinin şifresini kırmak için botlar brute force (kaba kuvvet) saldırısı düzenleyip şifrenizi kırabilir.
– Üye olma esnasında aktivasyon mail’i yöntemi sizi bir yere kadar idare eder. Çünkü akıllı botlar artık aktivasyon linklerine tıklayıp hesap aktivasyonu yaptıktan sonra sitenizi reklam-spam vb içerikle doldurabiliyorlar.
-> Bunun önüne geçmek için google’ın geçen senelerde satın aldığı reCAPTCHA hizmetini kullanabilirsiniz. Bu sistem sitenizi sıradan botlara karşı koruyabilir.
-> Eğer botlara karşı tam koruma istiyorsanız, Aktivasyon işleminden sonra sadece insanların bilebileceği sorular ekleyin. Bu sorular rastgele kullanıcıların karşısına çıksın. Şöyle ki:
Siteye üye oldum ve aktivasyon linkine tıkladım, karşıma 5 tane resim gelsin ve ben hayvan olmayan resmi seçip üyeliğimi aktive edeyim gibi. Bu sistemi botların aşabilmesi için;
1- doğal dil işleme kullanması gerekir (soruyu anlayabilmek için)
2- Görüntü işleme kullanması gerekir (resimdeki cismi,eşyayı, hayvanı vs tanımlayabilmesi için)
Bu 2 özelliğe sahip botu yazabilecek olan kişilerin bir siteye spam postlar atmak gibi bir niyeti olmaz zaten.

Hiçbir sistem %100 güvenli değildir, ancak bu güvenliği artırmak bizim elimizde. Okuduklarınızın daha açıklayıcı ve daha akılda kalıcı olması için bir örnek olay vermek istiyorum.
“Haziran 2012 – LinkedIn Sızıntısı”
Haziran ayının ilk günlerinde Linkedin (dünyanın en önde gelen iş dünyası sosyal ağı, 170+ milyon üyeye sahip) sitesinin veri tabanından 6,5 milyon üyeye ait e-posta şifre kombinasyonu çalınmıştı. Sadece 1 hafta sonrasında bu şifrelerin 1 milyon 355 bin tanesinin kırıldığı açıklandı ve raporu yayınlandı.
Peki ama nasıl oldu bu iş?
1- Hackerlar linkedin sitesinde açık bulup veri tabanına sızdı ve verileri çaldı.
2- Linkedin sitesi şifrelerin sadece “hash”lenmiş (MD5 ile hashlenmiş olabilir, tam olarak hangi hash metodunu kullanıyor linkedin bilmiyorum) hallerini saklıyordu.
3- Hackerlar şifrelerin geriye dönüştürülemeyeceğini bildikleri için şöyle bir yöntem kullandılar:
En çok kullanılan kelimeler, şifreler, harf kombinasyonları, sayı kombinasyonları, harf-sayı kombinasyonları vb şeklinde bir dictionary (sözlük) hazırladılar.
4- Ardından bu sözlükteki tüm kelimeleri “hash” fonksiyonundan geçirdiler.
5- Kendi hash değerleri ile Linkedin’den çaldıkları hash değerlerini karşılaştırıp kullanıcılara ait şifreleri ele geçirdiler.

İşte Linkedin raporundan bazı örnekler:
En çok kullanılan kelimeler
kelime / şifre olarak kullananların sayısı / kırılan şifrelere göre oranı
link = 1808 (0.13%)
alex = 1215 (0.09%)
mike = 1146 (0.08%)
june = 1065 (0.08%)
july = 891 (0.07%)
john = 882 (0.07%)
chris = 766 (0.06%)
love = 749 (0.06%)
april = 725 (0.05%)
mark = 669 (0.05%)

Kısacası 1808 kişinin linkedin’e erişmek için kullandığı şifre “link”miş. Buna benzer olarak Microsoft’un açıkladığı yüzbinlerce kişinin MSN Şifresi: 123456 gibi bir örneği verebiliriz. (Linkedin Sızıntısının tam raporu için tıklayınız.)

Sonuç olarak internette kişisel güvenliğiniz için kullandığınız/kullanacağınız şifrelerin önemi büyüktür. Bu yüzden kırılması zor, karmaşık şifreler kullanmanızda yarar vardır.

4 comments on “Site Üyeliklerinde E-posta ve Şifre Güvenliği

  1. yazınız çok faydalı oldu teşekkürler. bu arada sizden şifre isteyen sistemlerde db. işlemlerinden önce araya fonksiyonlar yazmaları mümkün farklı bir tablo da md5 siz tutabilir ler

    • Aslında bahsettiğiniz uyarıyı “Şifremi Sıfırla” ile başlayan kısmın sonunda söylemek istemiştim, olumsuz olarak kullanmışım “saf hali saklanmıyor olabilir.” düzeltiyorum hemen teşekkürler 🙂

  2. Pingback: Twitter Lamer’i Furina_ – Hasan Hüseyin Çakır

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir