Şifre Yönetici Seçerken Nelere Dikkat Edilmeli?

In Makale by Muhsin Bayram4 Comments

Eğer sık sık internet sitelerine kayıt oluyorsanız, şifre güvenliğiniz için doğru şifre yönetici yazılımını seçmeniz ve kullanmanız çok önemlidir.

İnternet sitelerine kayıt olurken güçlü bir şifre oluşturmak, kişisel bilgi ve hesap güvenliğiniz için önemli bir faktördür. Söz konusu güçlü şifrelerin kolayca tahmin edilememesi ve büyük/küçük harfler içermesi gibi özelliklere sahip olmasına dikkat edilmesi gerekir. Ancak oluşturulan şifrelerin güvenliğini artırdıkça şifrenin akılda kalıcılığı azalır. Üstelik farklı siteler için farklı güçlü şifreler oluşturan bir kullanıcıysanız, şifreleri sık sık girmediğiniz takdirde unutmanız oldukça kolaydır. İşte bu gibi durumlarla karşılaşmamak için şifre yönetici (password manager) yazılımlarını kullanabilirsiniz.

Şifre yönetim yazılımları, aşılması zor karmaşık şifreler oluşturup bu şifreleri hafızasında saklama yeteneğine sahip yazılımlardır. Dilerseniz halen oluşturmuş olduğunuz şifreleri bu yazılımlara kaydedebilir, dilerseniz de kayıt esnasında bu tür yazılımlar ile aşılması zor şifreler oluşturabilirsiniz. Pek çok şifre yönetici yazılımı, tarayıcı ile senkronize çalışan eklentilere sahiptir. Bu sayede bütün önemli şifreleriniz tek bir eklenti tarafından kontrol edilir ve şifre kutucukları, eklenti tarafından otomatik olarak doldurulur.

Hız ve kullanım kolaylığı açısından bu yazılımlar oldukça çekici gelse de, yanlış şifre yönetici seçimi veya bu tip yazılımların yanlış kullanılması çok daha büyük zarara yol açabilir. Zira bu yazılımları kontrol eden tek bir güçlü şifrenin aşılması durumunda bütün kişisel hesaplarınıza dair şifreler, kötü niyetli kullanıcıların eline geçebilir. Bu tip sorunlarla karşılaşmamak için doğru yazılımı seçmek hayati önem taşıyor.

Doğru yazılımı seçmek

Doğru yazılıma karar vermek için bu servisi sunan yazılımlarda ilk olarak, zero-knowledge olarak tabir edilen ve servisin hiçbir şekilde oluşturulan şifrelere erişiminin olmadığı sistem aranmalıdır. Bu tip servislerde oluşturulan şifreler, kilitli bir şekilde yazılımın sunucusunda barındırılır. Oluşturulan şifrelere ihtiyaç duyulduğunda ise kilitli şifre dosyaları tarayıcı eklentisine veya doğrudan yazılıma aktarılarak yerel çözümleme yapılır. Bütün çözümleme yerel olarak yapıldığı için servisi sunan firma hiçbir şekilde oluşturduğunuz şifreleri göremez. Bu servisi sunduğunu belirten yazılımlara örnek olarak; LastPass, 1Password, Dashlane ve Twitter tarafından satın alınan Mitro yazılımlarını gösterebiliriz.

İki adımlı doğrulama

Online güvenliği zero-knowledge sözü veren firmalar tarafından sağlamış olmamıza rağmen şifrelerimizin tam anlamıyla güvende olduğu söyleyemeyiz. Zira zero-knowledge sistemi, şifrelerinizi yerel saldırılara karşı koruyamaz. Doğrudan sizin bilgisayarınıza bulaşan keylogger yazılımları, password manager tarafından oluşturduğunuz şifrelere erişebilir. Bu senaryo ile karşılaşmamak için kullanacağınız yazılımın iki adımlı doğrulama sunduğundan emin olun.

İki adımlı doğrulama sistemi, yazılıma erişmek için oluşturduğunu temel şifreyi girdiğiniz zaman, telefonunuza veya e-posta adresinize bir onay kodu gönderilmesini sağlıyor. Bu sayede keylogger yazılımları ile şifreniz ele geçirilse bile, şifre yönetici yazılımına erişim engelleniyor. Elbette bu yöntem de yüzde yüz koruma sağlamıyor. Eğer kullandığınız eklentinin otomatik giriş yapma gibi bir özelliği mevcutsa, saldırganlar ele geçirdikleri temel şifre ile hesaplarınızı yine ele geçirebilirler. Otomatik giriş yapma her ne kadar hız açısından cezbedici olsa da, söz konusu tam güvenlik olduğunda feragat edilmesi gereken lükslerden biri.

Dikkat edilmesi gereken bir diğer nokta ise herhangi bir cihazın güvenilir olarak işaretlenmemesidir. Güvenilir olarak işaretlenen cihazlarda iki adımlı doğrulama kullanılmadığı için risk artmaktadır. Son olarak kullandığınız yazılımın, aktif olmadığınız zamanda otomatik olarak çıkış yapma özelliğine sahip olması da güvenliğinizi bir nebze olsun artırabilir.