2024 yılında yapılan bir araştırmaya nazaran, ortalama bir internet kullanıcısının şahsî hesapları için varsayımı 168 parolası bulunuyor. Hesaplar ortasında kimlik bilgilerini paylaşmanın ve kestirim edilmesi kolay parolalar kullanmanın getirdiği güvenlik riskleri göz önüne alındığında çoğumuz bu giriş bilgilerini yönetmek için yardıma, parola yöneticilerine ihtiyaç duyuyoruz.
Dijital hayatımızın anahtarlarını elinde tutan bu kasalar, siber hatalılar için de tanınan bir maksat hâline geldi. Siber güvenlik çözümlerinde dünya lideri ESET altı potansiyel riski ve bu riskleri azaltmaya yönelik tekliflerini paylaştı.
Parola yöneticisinde görülen 6 güvenlik sorunu
Parola yöneticinizde saklanan kimlik bilgilerine erişen tehdit aktörleri, hesaplarınızı ele geçirerek kimlik dolandırıcılığı yapabilir yahut erişim bilgilerini/parolaları diğerlerine satabilir. Bu nedenle, sizi maksat almak için her vakit yeni yollar ararlar.
Ana parolanızın ele geçirilmesi: Parola yöneticilerinin hoşluğu, tek bir hatırlanması kolay parola ile tüm çevrimiçi kimlik bilgilerinizi depolayan kasaya erişebilmenizdir. Lakin bu yaklaşımın sorunu, siber hatalıların bu ana parolayı ele geçirebilirlerse birebir erişim seviyesine sahip olmalarıdır.
Kimlik avı/dolandırıcılık reklamları: Tehdit aktörlerinin, kurbanları e-posta adreslerini, ana parolalarını ve zımnî anahtarlarını (varsa) toplayan geçersiz sitelere çekmek için Google Arama’ya makus hedefli reklamlar yayımladıkları bilinmektedir. Bu reklamların tehlikesi, legal görünüyor olmaları ve parola yöneticinizi Google’da aradığınızda arama sıralamalarında görünebilmeleridir. Temas verdikleri kimlik avı sayfaları, gerçekmiş üzere görünmek için uydurma olarak tasarlanmıştır. Bu türlü bir sayfaya tıklarsanız tüm değerli parola yöneticisi giriş bilgilerinizi çalmak için tasarlanmış, legal görünen bir giriş sayfasına yönlendirilirsiniz.
Parola çalan berbat hedefli yazılım: ESET araştırmacıları kısa mühlet evvel, “DeceptiveDevelopment” isimli Kuzey Kore devleti takviyeli bir kampanyada bu cins bir teşebbüsü tespit etti. Araştırmacılar, Telegram ve FTP aracılığıyla hem tarayıcı uzantılarından hem de parola yöneticilerinden data sızdırma yeteneğine sahip bir art kapı komutu içeren “InvisibleFerret” berbat hedefli yazılımını buldu.
Parola yöneticisi satıcısının ihlali: Parola yöneticisi satıcıları, tehdit aktörleri için kıymetli bir maksat olduklarını bilirler. Bu nedenle, BT ortamlarını olabildiğince inançlı hâle getirmek için kıymetli ölçüde vakit ve kaynak harcarlar. Fakat makûs niyetli şahısların içeri girmesine müsaade vermek için tek bir yanılgı yapmaları kafidir.
Sahte parola yöneticisi uygulamaları: Bazen siber hatalılar, parolaları toplamak ve düzmece uygulamalar aracılığıyla makus hedefli yazılım yaymak için parola yöneticilerinin popülaritesinden yararlanır. Bu tehditler çoklukla çok değerli ana parolayı çalmak yahut kullanıcının aygıtına bilgi çalan makus gayeli yazılım indirmek için tasarlanmıştır.
Güvenlik açığı istismarı: Parola yöneticileri nihayetinde yalnızca birer yazılımdır. Çoğunlukla beşerler tarafından yazılan yazılımlar kaçınılmaz olarak güvenlik açıkları içerir. Bir siber hatalı bu yanılgılardan birini bulup istismar etmeyi başarırsa parola kasasından kimlik bilgilerinizi çalabilir. Alternatif olarak, web tarayıcıları için parola yöneticisi eklentilerindeki güvenlik açıklarını amaç alarak kimlik bilgilerini ve hatta iki faktörlü kimlik doğrulama (2FA) kodlarını çalabilirler. Ya da tıpkı şeyi yapmak için aygıt işletim sistemlerini gaye alabilirler. Parola yöneticinizi indirdiğiniz aygıt sayısı ne kadar fazla olursa bunu yapma fırsatları da o kadar artar.
Parola yöneticisi kullanımınızı nasıl inançlı hâle getirebilirsiniz?
Yukarıda listelenen tehditlere karşı korunmak için aşağıdakileri göz önünde bulundurun:
- Güvenli, uzun ve eşsiz bir ana parola düşünün. Tire ile ayrılmış, hatırlanması kolay dört kelimeyi düşünün. Bu, saldırganların “kaba kuvvet” tekniğiyle parolayı kırmasını zorlaştıracaktır.
- 2FA’yı aktifleştirerek hesaplarınızın güvenliğini her vakit artırın. Bu, bilgisayar korsanları parolalarınızı ele geçirse bile ikinci faktör olmadan hesaplarınıza erişemeyecekleri manasına gelir.
- Tarayıcıları, parola yöneticilerini ve işletim sistemlerini en inançlı sürümlerde tutmak için yeni tutun. Bu, güvenlik açıklarının istismar edilme mümkünlüğünü azaltır.
- Uygulamaları sadece yasal uygulama mağazalarından -Google Play, App Store- indirin ve indirmeden evvel geliştiriciyi ve uygulama derecelendirmesini, uydurma yahut berbat gayeli uygulamalar olup olmadıklarını denetim edin.
- Yalnızca saygın bir satıcıdan parola yöneticisi seçin. Size uygun bir tane bulana kadar araştırın.
- Parola yöneticinizden direkt parola çalmak için tasarlanmış akınların tehdidini azaltmak için tüm aygıtlara saygın bir satıcıdan güvenlik yazılımı yüklediğinizden emin olun.
Parola yöneticileri, siber güvenlik uygulamalarının kıymetli bir modülü olmaya devam etmektedir. Lakin bu, sırf ekstra tedbirler alırsanız geçerlidir. Güvenlik riskleri daima olarak gelişmektedir, bu nedenle çevrimiçi kimlik bilgilerinizin inançta kalmasını sağlamak için yeni tehdit eğilimlerini takip edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
