Birinin şifresini bulmak mı istiyorsunuz? Hayattaki seçimlerinizi gözden geçirin ve onun yerine şifrenizi bilgisayar korsanlarından korumaya çalışın.
Güvenlik ihlali diye bir söz duyunca aklınıza ne geliyor? Erkek bir hacker bilgisayarın karşısında oturmuş ve Matrix filminin başlangıcındaki gibi dijital sayılara mı bakıyor?
Veya 3 haftadır güneş yüzü görmemiş bir gencin bodruma kapanarak birilerini hacklemeye çalıştığını mı görüyorsunuz?
Peki ya eğer süper güçlü bir bilgisayar tüm dünyayı hacklemeye çalışıyorsa?
Hacklemek sadece tek bir şeyle alakalıdır: şifreniz. Eğer birisi şifrenizi tahmin edebilirse, hackleme tekniklerine yada süper bilgisayarlara gerek kalmaz. Hesabınıza giriş yaparak tıpkı sizmişsiniz gibi davranmaya başlar. Eğer şifreniz kısa ve basit ise, sizin için oyun bitti demektir.
Bilgisayar korsanları şifrenizi çözmek için 8 popüler taktik kullanır.
1. Sözlük Yöntemi
Tanımlanmış bir sözlükteki tüm kelimeleri otomatik olarak dener ve bu şekilde şifreyi bulmaya çalışır. Yani okulda kullandığınız sözlükle ilgisi yoktur.
Buradaki sözlük kavramı aslında küçük bir dosyadır ve bu dosyada tüm dünyada en çok kullanılan şifrelerin kombinasyonları yer alır. Bunlardan bazıları doğum tarihleri, 123456, seniseviyorum, şifre, parola, hunter2, avcı, mühendis, Fener-Galatasaray-Beşiktaş kuruluş tarihleri veya içinde bulunduğumuz yıl mesela 2022 olabilir.
Yukarıdaki resimde 2016 yılında en çok kırılan şifrelerin bir listesi gösterilmiştir. Bunlar internette kullanıcı adı ve şifre olarak yayınlanır.
Aşağıdaki resimde ise 2020 yılında en çok kırılan şifreler yer almaktadır. Her iki resimdeki şifreler arasında çok da bir fark görünmüyor. Çünkü maalesef insanlar her zaman benzer şifreler kullanıyor.
Artıları: Hızlı: Hüzünlü bir şekilde korunan bazı şifreleri çok kolay bir şekilde bulabiliyor.
Eksileri: Bilinçli olarak tercih edilmiş güçlü şifreleri kırması çok zor.
Güvende olun: Her hesabınız için ayrı bir şifre kullanın ve tüm şifrelerinizi bir şifre yönetme programı yada tarayıcı eklentisinde saklayın. Üstelik bu araçlar sayesinde sitelerdeki hesaplarınıza tek tıkla otomatik giriş yapabiliyorsunuz.
2. Brute Force Yöntemi
Bu yöntemde hacker mümkün olan tüm karakter kombinasyonları dener.
Denenen şifreler, karmaşıklık kurallarının spesifikasyonlarıyla eşleşiyor.
Örneğin bir büyük harf, bir küçük harf ve Pi sayısının ondalık sayıları gibi şeyler.
Brute Force saldırısında öncelikle en çok kullanılan alfanümerik karakter kombinasyonları denenmektedir.
Yukarıdaki resimlerde gördüğünüz şifreler de buna dahildir. Tabii ki 1q2w3e4r5t, zxcvbnm ve qwertyuiop gibi şifreleri de kapsar.
Bu yöntem ile bir şifreyi kırmak çok uzun bir zaman alabilir. Aslında şifre ne kadar güçlü ise o şifreyi çözmek de o kadar uzun sürer.
Artıları: Teoride tüm kombinasyonları deneyeceği için zayıf veya güçlü bütün şifreleri kırar.
Eksileri: Şifrelerin uzunluğuna ve zorluk derecesine bağlıdır. Çok güçlü bir şifreyi çözmesi için beklemeye insan ömrü yada dünyanın ömrü yeter mi orası şüpheli.
Güvende olun: Daima karakter kombinasyonları kullanın ve aralara özel semboller eklemeyi ihmal etmeyin.
3. Phishing (Yemleme) Yöntemi
Bu yöntemde hackerlar milyonlarca kişiye çeşitli hediye ve kampanyalar içeren cezbedici e-postalar yollayarak insanların linklere tıklamasını sağlayıp şifrelerini çalmaya çalışır.
Dünyada en çok tercih edilen yöntemlerden biridir.
Dünyada bir günde gönderilen tüm e-posta mesajlarının yaklaşık yarısı spam maillerden oluşur. Kaspersk şirketi 2021 yılında 148 milyon mailin zararlı dosya barındırdığını açıkladı.
Ayrıca 253 milyon mailde yemleme linki olduğunu ilan etti. Fakat bunlar sadece Kaspersky’nin tespit edebildikleri. Şüphesiz bundan çok daha fazlası var.
Artıları: Kullanıcılar kendi şifrelerini kendi elleriyle teslim eder. Bazı servislere ve bazı insanlara kolay bir şekilde uygun hale getirilerek şifreleri çalınabilir.
Eksileri: Spam mesajlar kolayca filtrelenebilir, spam domainler kara lsiteye alınabilir ve Google gibi popüler mail sağlayıcılar güncelleme yaparak korunmanın yolunu bulabilir.
Güvende olun: E-postalara şüpheyle yaklaşın ve spam filtrenizi en güçlü ayarlara alın.
4. Sosyal Mühendislik
Kısaca ekran dışında gerçek hayattaki yemleme yöntemidir. Herhangi bir güvenlik denetiminin temel bir parçası, tüm iş gücünün ne anladığını ölçmektir.
Mesela bir güvenlik şirketi denetledikleri işletmeye telefon eder. Bu noktada hacker telefonu açan kişiye kendisinin yeni teknik destek elemanı olduğunu belirtir ve bazı nedenlerden dolayı şifreyi bilmesi gerektiğini söyler.
Şüpheci olmayan birileri bu durumda şifresini verir.
Bu yöntemin ne kadar çok işe yaradığını tahmin bile edemezsiniz. Sosyal mühendislik aslında asırlardır uygulanıyor.
Bu saldırılardan korunmanın yolu eğitimden geçer. Çünkü hackerlar her zaman sizden direkt olarak şifrenizi söylemenizi istemez. Bazen sizi telesekretere aktarıyorum der şifrenizi sadece sistem bilecek ve bu son derece güvenlidir diyerek sizi kandırır.
Artıları: Yetenekli sosyal mühendisler büyük bir kitleden çok önemli veriler elde edebilir. Her insana uygulanabilen bir yöntemdir. Yeter ki zayıf noktasını bulun.
Eksileri: Bir sosyal mühendislik hatası, başarmaya az kalan bir saldırıda şüpheleri ve doğru bilginin temin edilip edilmediği konusunda belirsizliği artırabilir.
Güvende olun: Güvenlik bilinci ve eğitimle donanmanız gerekiyor aksi halde her zaman bir sosyal mühendislik saldırısının kurbanı olabilirsiniz. Ülkemizde hakimleri, öğretmenleri ve Canan Karatay gibi ünlü doktorları bile bu şekilde dolandırdılar.
5. Rainbow Tablosu (Gökkuşağı Tablosu)
Genellikle çevrimdışı bir şifre kırma saldırısıdır.
Bu yöntemde bir hacker kullanıcı adı ve şifrelerden oluşan bir liste elde etmiştir ve bu listeyi şifreleyerek tamamen farklı bir metin gibi gösterir.
Mesela diyelim ki sizin şifreniz logmein olsun. MD5 şifrelemesinden sonra şifreniz bu şekilde görünecek: “8f4047e3233b39e4444e1aef240e80aa.”
Bize saçma sapan bir yazı gibi görünür ama aslında hacker bu yazıyla birçok deneme yaparak şifremizi çözmeye çalışır. Ama bu yöntemde her defasında şifreler denenip hash koduyla karşılaştırma yapılmak zorundadır. Dolayısıyla pratik değil ve engellenmesi kolay bir saldırı.
Bu noktada devreye Rainbow tablosu tekniği girer. Binlerce şifreyi tek tek işlemek ve sonuçlarının hash şifreleme sonuçlarıyla karşılaştırma yerine, önceden hazırlanmış bir algoritmaya özel hash değerleri Rainbow tablosunda depolanır. Dolayısıyla şifre kırma sürecini oldukça hızlandırarak zamanı azaltır. Fakat bu yöntem de mükemmel sayılmaz çünkü hackerlar bu rainbow tablolarını parayla satın almak zorunda kalıyor.
Artıları: Kompleks (karmaşık) şifreleri kısa bir zaman diliminde kırabilir.
Eksileri: Rainbow tablolarını kaydetmek için çok büyük miktarda bir alana ihtiyaç duyar. Ayrıca hackerlar bu yöntemde tablodaki verilerle kendilerini sınırlandırmış olur.
Güvende kalın: Rainbow tabloları çok sayıda saldırı potansiyeli sunar. Parolaları şifrelemek için SHA1 veya MD5 kullanan sitelerden uzak durun. Şifreyi kısa tutmaya zorlayan veya şifre seçerken karakterleri sınırlayan bir siteden uzak durun.
6. Zararlı Yazılım / Keylogger (Casus Yazılım)
Zararlı yazılımlar da kolayca giriş bilgilerinizi çalabilir. Günümüzde zararlı yazılımlar artık her yerde bulunuyor ve her türlü zararı verebilir. Eğer zararlı yazılım bir tür keylogger yazılımı yani casus yazılım ise, o zaman tüm şifreleriniz ele geçirilmiş demektir.
Zararlı yazılımlar bazen özellikle kişisel verileri hedef alabilir veya uzaktan erişim sağlayan bir Trojan ile kullanıcı adı ve şifrelerinizi çalabilir.
Artıları: Binlerce farklı türde zararlı yazılım mevcut. Birçoğu kişiselleştirilebilir ve kolayca dağıtılabilir.
Eksileri: Zararlı yazılımların düzgün çalışmama ihtimali var veya veriye ulaşmadan önce karantinaya alınabilir. Yani işe yarayacağının pek garantisi yoktur.
Güvende kalın: Mutlaka bir antivirüs programı kullanın ve düzenli olarak güncelleyin. Ayrıca korsan yazılımlardan ve korsan sitelerden uzak durun.
7. Spidering
Bu yöntem daha çok sözlük saldırısına benzer. Eğer bir hacker belirli bir kuruluşu yada şirketi hedef alıyorsa, bu şirket yada kuruluşla alakalı özel bir takım şifreleri deneyebilir. Bu şirketle ilgili birçok terim okuyup sıraya koyarak listeleyebilir veya bu iş için bir arama örümceği kullanabilir.
Arama örümceği tıpkı Google gibi arama motorlarının siteleri taraması işlemine benzer şekilde çalışır. Topladığı özel kelime listesi daha sonra deneme yanılma yöntemiyle tek tek denenir.
Artıları: Bir şirketteki yüksek rütbeli kişilerin yetkili olduğu programlara ve web sayfalarına erişim için idealdir. Sözlük saldırısına ek olarak bu yöntem kolayca denenebilir.
Eksileri: Eğer şirketin güvenlik ağı iyi bir şekilde yapılandırıldıysa, başarısızlıkla sonuçlanabilir.
Güvende kalın: Uzun ve tahmin edilmesi zor şifreler seçin. Her hesabınız için başka bir şifre kulanın ve kullanacağınız şifreler iş yerinizle, şirketinizle yada kişiliğinizle ilgili olmasın.
8. Omuz üzerinden bakarak şifreyi görme yöntemi
Şifre kırma yöntemleri listemizdeki sekizinci ve son seçenek en temel yöntemdir.
Siz bilgisayarda, telefonda yada bankamatik önünde şifrenizi girerken birisi omuzunuzun üzerinden bakar ve şifrenizi ezberler.
Böyle bir şey size komik gelebilir ama çok sık yaşanmaktadır. Bir kafede oldukça meşgul bir anınızda şifrenizi yazarken bir yabancı çaktırmadan yanınıza yanaşıp usluca izleyerek şifrenizi öğrenebilir.
Artıları: Şifreleri çalmak için düşük teknolojili bir yaklaşımdır. Hacker için masrafsız bir yöntemdir.
Eksileri: Şifreyi ele geçirmeden önce hedefteki kişiyi iyice analiz etmelisiniz. Şifreyi görmeye çalışırken yakalanabilirsiniz.
Güvende kalın: Şifre girerken dikkatli olun ve etrafınıza bakın.
Daima farklı ve güçlü şifreler kullanın
Hackerların şifrenizi çalmasını nasıl önlersiniz? Kısaca cevaplamak gerekirse hiçbir zaman %100 güvende olamazsınız. Çünkü hackerlar sürekli yeni yöntemler geliştiriyor. Ayrıca internette şifreleri tahmin etmenin ve çalmanın yolları videolu eğitimlerle anlatılmaktadır.
Yapacağınız en iyi şey, her hesabınız için başka bir şifre seçmek ve şifrelerinizi olabildiğince uzun ve güçlü yani tahmin edilmesi zor bir şekilde seçmektir.