İçinde bulunduğumuz dijital çağda data sızıntılarının kaçınılmaz olduğu açık. O denli ki, en azından birkaç şifrenizin bir taarruzlarda ele geçirilmemiş olması neredeyse imkansız. Lakin, birtakım şifrelerinizin internette bir yerlerde olduğunu bilmek ile milyarlarca şifrenin basitçe satın alınabilecek halde toplanmış olduğunu bilmek ortasında kıymetli bir fark var.
TechRadar tarafından bildirildiği üzere araştırmacılar, tamamı düz metin olarak saklanan yaklaşık 10 milyar eşsiz şifre içeren, rockyou2024.txt isminde bir metin evrakının internette gezdiğini keşfettiler. Diğer bir deyişle bu evrakta, bir hücum sonrasında ele geçirilmiş 10 milyar şifre açık açık listeleniyor. Yani, erişimi olan herkes bu evrak üzerinde kolay bir arama ile istediği şifreyi bulabiliyor.
Elbette bu belge yalnızca bir gecede oluşturulmadı. Bu şifreler vakit içinde, son 20 yılda yapılan çeşitli hücum ve sızıntılardan toplandı. Saldırganlar, sadece 2021 yılından bu yıla kadar 1,5 milyar kadar şifreyi evraka ekledi. Ayrıyeten bu şifrelerin her birinin eşsiz olması, listede tekrar eden şifre olmadığı manasına geliyor.
Ancak, listeye sahip herkesin kolay bir arama ile istediği rastgele bir şifreyi arayabilmesi bu durumun en tehlikeli yanı değil. Bunun yerine, berbat maksatlı saldırganlar bunun üzere listeleri kaba kuvvet ve kimlik bilgisi doldurma taarruzlarında kullanabilirler. Kaba kuvvet taarruzunda, makûs niyetli şahıslar bir hesaba sızmak için çok sayıda parolayı süratli bir biçimde arka arda dener. Kimlik bilgisi doldurma da benzeridir fakat beşerler aynı şifreyi birden fazla hesap için kullanma eğiliminde olduğundan dolayı, bilinen kullanıcı adı/şifre kombinasyonları üzere başka hesaplarda sızdırılmış kimlik bilgilerinin kullanılması mümkün olur.
10 milyar eşsiz şifre
Elbette bu tıp taarruzlar elle gerçekleştirilmiyor ve çok kısa müddette bu şifrelerden milyonlarcasını deneyebilecek bilgisayarlar kullanıyorlar. Bilgisayar saldırganları, 10 milyar eşsiz şifreden oluşan bir data tabanıyla, hem şahıslara hem de benzeri kuruluşlara karşı kaba kuvvet ve kimlik bilgileri doldurma hücumlarını çok daha rahat bir halde gerçekleştirebilecektir.
Neyse ki birey olarak kendinizi bu çeşit akınlardan müdafaaya yardımcı olmak için yapabileceğiniz pek çok şey bulunuyor. Öncelikle, kimlik bilgilerinizin bu data tabanında yahut öbür bir yerde makus hedefli bireylerin kullanımına açık olup olmadığını görmek için sızdırılmış bir şifre denetleyicisi kullanabilirsiniz. Şifrelerinizden rastgele birinin ele geçirildiğini görürseniz çabucak değiştirmenizde yarar olacaktır.
Ayrıca, hesaplarınızın her biri için güçlü ve eşsiz bir şifre kullanmanız, bir hesabın kimlik bilgilerinin sızdırılması durumunda, öteki hesaplarınızı bu ataklardan muhafazaya yardımcı olacaktır.
Elbette bu kadar fazla eşsiz şifreyi aklınızda tutmak epey sıkıntı olacaktır. Bu yüzden sağlam bir şifre yöneticisi kullanabilirsiniz. Uygun bir şifre yöneticisi, şifrelerinizi yönetmeye yardımcı olurken, şifre oluşturucular üzere özelliklerle eşsiz şifreler yaratmanıza yardımcı olacak ve 2FA kodları üzere ek güvenlik tedbirleri sunacaktır.
