Dijital çağda parola güvenliği artık bir zorunluluk  

Günümüzde çevrimiçi hesaplar ve kişisel veriler her zamankinden daha fazla risk altında. Sosyal medya, e-posta, bankacılık ve e-devlet hizmetleri gibi platformlarda kullanılan hesaplar, siber saldırganların öncelikli hedefleri içerisinde yer alıyor. Kişisel verilerin korunması hem bireylerin hem kurumların öncelik vermesi gereken bir güvenlik önlemi ve parola güvenliği önlemler içerisinde ilk sırada bulunuyor. 

ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban dijital teknolojilerin günlük yaşamın bir parçası olduğu bu dönemde parola güvenliğinin önemine dikkat çekti.  Veri sızıntılarının dünyanın her yerinde yaşanabildiğinin altını çizen Erginkurban yakın zamanda gerçekleşen büyük veri sızıntılarına şu örnekleri verdi:

M&S Siber Saldırısı (2025): Marks & Spencer, müşterilerinin kişisel bilgilerinin çalındığını ve bu durumun hizmet kesintilerine yol açtığını açıkladı.  

SIM Swap Dolandırıcılığı Artışı (2024): Birleşik Krallık’ta SIM kart değişimi yoluyla yapılan dolandırıcılık vakaları 2023’te 289 iken 2024’te 3 bine’e yaklaştı.  

RockYou2024 Parola Sızıntısı: Yaklaşık 10 milyar benzersiz parolanın sızdırıldığı, bu verilerin kimlik avı ve hesap ele geçirme saldırılarında kullanıldığı rapor edildi.  Burada yer almayan daha nice olay, çevrimiçi ortamda hesaplarımızı korumak için kullandığımız parolaların güvenilir olmadığını anlamamızı sağlıyor. 

Siber saldırganlar, çeşitli yöntemlerle kullanıcı hesaplarını ele geçirerek bu bilgileri farklı amaçlarla kullanıyorlar: 

• Kimlik Avı (Phishing): Sahte e-postalar veya web siteleri aracılığıyla kullanıcıların giriş bilgileri elde edilir.
• Kötü Amaçlı Yazılımlar (Malware): Bilgisayarlara veya mobil cihazlara bulaşan yazılımlar, kullanıcı bilgilerini toplayarak saldırganlara iletir.
• SIM Swap Saldırıları: Saldırganlar, kullanıcıların telefon numaralarını ele geçirerek iki faktörlü kimlik doğrulama kodlarını alır ve hesaplara erişim sağlar.
• Veri Sızıntıları: Şirketlerin veya kuruluşların sistemlerinden kullanıcı verilerinin çalınması durumu.
• Sosyal Mühendislik: İnsanları manipüle ederek gizli bilgilerini (şifreler, finansal bilgiler vb.) elde etmeyi amaçlayan psikolojik taktiklerdir. Telefon dolandırıcılıkları ve bazı e-posta dolandırıcılıkları bu kategoriye girer.

Ele geçirilen veriler, dark web üzerinde satışa sunularak kimlik hırsızlığı, dolandırıcılık ve diğer yasa dışı faaliyetlerde tekrar tekrar kullanılıyor. 

Parola güvenliği için alınabilecek önlemler

Can Erginkurban kullanıcıların, hesaplarını korumak için alabileceği önlemlerini ve güvenli parola oluşturmanın yöntemlerini  şöyle sıraladı:

•  Güçlü ve benzersiz parolalar kullanılmalı: Her hesap için farklı ve karmaşık parolalar oluşturulmalıdır.
•      İki faktörlü kimlik doğrulama (2FA) tercih edilmeli: Hesaplara ek güvenlik katmanı ekleyerek yetkisiz erişimleri engeller.
•      Yazılımlar güncel olmalı : İşletim sistemi ve uygulamaların güncel tutulması, bilinen güvenlik açıklarının kapatılmasını sağlar.
•    Şüpheli e-postalara dikkat edilmeli: Bilinmeyen göndericilerden gelen e-postalar dikkatle incelenmeli, ekler açılmamalı ve bağlantılara tıklanmamalıdır.
•      Parola yöneticileri kullanılmalı: Güçlü parolaların oluşturulması ve yönetilmesi için güvenilir parola yöneticileri tercih edilmelidir.

Güçlü parolalar, hesap güvenliğinin temel taşlarından biridir. Zayıf parolalar, saldırganların hesaplara kolayca erişmesine neden olabilir.  Parola güvenliği için aşağıdakilere dikkat edin:

• En az 12 karakter uzunluğunda olmalı: Uzun parolalar, kırılmaları daha zor hâle getirir.
• Büyük ve küçük harf, rakam ve semboller içermeli: Karmaşık karakter kombinasyonları, parolanın tahmin edilmesini zorlaştırır.
• Kişisel bilgilerden kaçınılmalı: Doğum tarihi, isim gibi kolay tahmin edilebilir bilgiler kullanılmamalıdır.
• Sözlükte bulunan kelimelerden kaçınılmalı: Sözlük saldırılarına karşı dirençli parolalar tercih edilmelidir.
• Her hesap için farklı parolalar kullanılmalı: Bir hesabın ele geçirilmesi, diğerlerini etkilememelidir.