MySpace bir dönemin en büyük sosyal medya ağı idi. Derken Facebook çıkageldi ve MySpace’i tahtından etti. Sonrasında giderek kan kaybeden bu sosyal ağın son yıllarda adını duymaz olmuştuk. Ta ki Time Inc bu yılın başında MySpace’in sahibi Viant’ı satın alana kadar. Şirketin yeni sahibi bir süre sonra önemli bir gerçeğin farkına vardı. MySpace’in verilerinin önemli bir kısmı çalınmıştı. Şirket tam rakamı açıklamasa da Leakedsource.com’un haberine göre 360 milyon kişiye ait e-posta bilgi ve şifreler çalınmıştı. Nitekim bir hacker bu bilgileri internete koydu. “Ne olmuş sanki, kaç yıldır kimsenin kullanmadığı bir sitenin profil bilgileri çalınmışsa,” diyebilirsiniz. Ancak birçok insanın aynı e-posta ve şifre bilgilerini başka yerlerde de kullandığı düşünülürse durumun ne kadar ciddi olduğu anlaşılıyor.
Nitekim geçtiğimiz aylarda bir hacker’ın 117 milyon LinkedIn e-posta ve şifresini, başka bir hacker’ın da 65 milyon Tumblr e-posta ve şifresini internette satışa çıkardığı haberlerini okuduk. Bu hesaplardan biri belki de sizinkisi. Böyle bir durumda ne yapabilirsiniz? Hemen yazıyı okumayı bırakıp tüm şifrelerinizi değiştirmek ilk akla gelen çözüm. Peki, bu ne kadar doğru bir çözüm?
Hack’lenmiş olanlar ve hack’lendiğinin farkında olmayanlar
İnternette birçok sitede hesabımız var. Bunların önemli bir kısmına da e-mail ve şifre ile giriyoruz. Bunların hepsini hatırlamak bile zor. Çoğu zaman birçoğuna da aynı e-posta ve şifre bilgileri ile üye oluyoruz. Ortalamada her iki kişiden biri aynı şifreyi birden fazla hesapta kullanıyor. Bu şifreleri ne kadar zorlaştırırsanız o kadar da hatırlaması zorlaşıyor. İnsanların yüzde 88’i şifrelerini en azından bir kere unutmuş. Dünyaca ünlü Rus siber güvenlik şirketi Kaspersky ve online şifre oluşturan Lastpass gibi şirketler bile yakın zamanda hack’lendiler. Nitekim dünyanın en önemli BT şirketlerinden Cisco’nun eski CEO’su John Chambers’ın meşhur sözünü hatırlatmakta fayda var: “Dünyada iki çeşit şirket vardır. Hack’lenmiş olanlar ve hack’lendiğinin farkında olmayanlar”
Dünyanın ilk bilgisayar şifresi
Aslında dünyanın ilk bilgisayar şifresi 1961 yılında Amerika’nın meşhur MIT Üniversitesi’nde kullanılıyor. O zaman birçok kişinin ortak kullandığı bu bilgisayarda her kullanıcının kendine ait özel dosyaları bulunuyor. Kullanıcılara verilen şifreler sayesinde ise herkes kendi oturumunda kendi dosyalarına erişim sağlayabiliyor. Sonrasında bu şifre mantığı birçokları tarafından kullanılıyor. Bir süre şifreler oldukça da başarılı oluyor. Ancak bu başarıda şifrelerin etkinliğinden daha çok hacker’ların şifre kırmaya ilgisizliği daha çok ön plana çıkıyor. İnternette kişisel bilgilerin giderek artması doğal olarak hackerların kişisel hesaplara da odaklanmasına neden oluyor. Bugün izlediğiniz TV şovlarından banka hesap bilgilerinize kadar birçok bilginiz bulutta saklanıyor. Tüm bu bilgiler de şifreler aracılığı ile korunmaya çalışılıyor. Bugün birçok sitede şifre bilgileriniz kriptolanmış şekilde bile saklanmıyor. Bu da şifrelerinizin kolaylıkla ele geçirilmesine imkân sağlıyor.
Aslında tek ihtiyacınız bir e-posta adresi
Riskin boyutuna ikna olduysanız şimdi bir de olaya başka bir pencereden bakalım. Hesaplarınızdan birinin şifresini unuttunuz diyelim. Ne yaparsınız? Ben sizi yormayıp cevabı vereyim. Hesabınızdaki şifremi unuttum seçeneğini seçip mail adresinize bir link gelmesini bekler ve bu linkle yeniden şifre oluşturarak siteye girersiniz. Gördüğünüz gibi sizi binbir riske sokan ve hatırlarken de yoğun stres yaşadığınız bu şifreye aslında pek de ihtiyaç yok. Her ne kadar internet sitelerinde ona bu isim verilmese de birçok internet sitesi size şifresiz giriş imkânı sunuyor. Sadece bunun adına şifresiz giriş değil de “şifremi unuttum” adını veriyorlar. Oysa bunun adı bal gibi de şifresiz giriş. Aslında sürekli her yerde kullanacağınız hatırlaması dert şifreler oluşturacağınıza birçok siteye “şifremi unuttum” diyerek şifresiz bağlanabilirsiniz. Böylece sizin bile bilmediğiniz şifrenizi bir hacker’ın da ele geçirme ihtimali ortadan kalkar. Bunun için ise ihtiyacınız olan sadece bir e-posta adresi. Tabii, bu e-posta adresi için bir şifreye ihtiyacınız olacak ama sadece bunun için.
Peki, tüm hesaplarınıza girmek için kullandığınız e-posta adresiniz hack’lenirse ne olur? Bu risk her zaman var. Sonuçta siz hesaplarınıza girmek için şifre kullanıyor olsanız da, e-posta adresinizi ele geçiren birisi sizin diğer şifrelerinize ihtiyaç duymadan diğer hesaplarınızı ele geçirebilir.
Tek bir e-posta ile tüm hesaplarınıza şifresiz girebileceğinize göre e-posta adresinizden girerken yakında unutacağınız sizin hesabınızı riske eden bir şifreyi yeniden oluşturmaya ne gerek var? E-postanıza gelen bağlantı ile doğrudan hesabınıza girebilmek daha pratik bir çözüm olabilir. Nitekim bu durumun farkına varan şirketler de yok değil. Bazı teknoloji şirketleri şifreli girişleri kaldırmaya başladılar bile. Medium bunlardan bir tanesi. Bir süredir Medium hesabınıza girmek istediğinizde sosyal ağlarla bağlanma imkânının yanında e-posta ile bağlanmak istediğinizde size e-postanıza bir link göndererek bağlanma imkânı sunuyor. Bu linke tıkladığınızda hiçbir şifre oluşturma ihtiyacı duymadan siteye bağlanıyorsunuz.
Facebook’a en son ne zaman şifre ile giriş yaptınız?
Şifrelerin oluşturduğu sıkıntı birçok başka online platformun da yeni çözümler geliştirmesine neden oluyor. Bugün birçok internet sitesi siz özellikle belirtmezseniz sizin oturumunuzu kapatmıyor. Bilgisayarınızı kapatıp açtığınızda bile doğrudan siteye girebiliyorsunuz. En son ne zaman Facebook ve Gmail hesaplarınıza şifre girdiniz? Bu platformlar şifrenizi unutabileceğinizin farkındalar ve sizi şifre hatırlama sıkıntısı ile uğraştırmak istemiyorlar.
Bazı şirketler yeni çözümleri çalışanlarına kullandırıyor. Örneğin Google’da bazı cihazları kullanabilmeleri için çalışanlara özel kodlu bir USB ya da yüzük verilmesi planlanıyor. Biyometrik şifreleme de üzerinde çalışılan çözümlerden bir diğeri. Nymi adlı bir bileklik sizin kalp ritminizi şifre olarak kullanmanıza imkân veriyor. Bu şifreleme yönteminin en büyük handikabı ise biyometrik bilginiz kopyalanırsa faklı bir kalp ritmi ile onu değiştirme şansınız yok. Yine parmak izi bilginizi değiştiremeyeceğiniz gibi. Hal böyle olunca da en mantıklı çözüm şifrelere güvenmeyip, hesaplarınız her an ele geçirilebilirmiş gibi tetikte olmaktan geçiyor. Yoksa yıllar geçse de ele geçirilen şifre bir gün sizi mutlaka gelip buluyor. Aynı MySpace şifrelerinin yıllar sonra kullanıcılarının başına bela olduğu gibi…
Osman Kurt
Yorumlar