2024 yılında yapılan bir araştırmaya nazaran, ortalama bir internet kullanıcısının şahsî hesapları için varsayımı 168 parolası bulunuyor. Hesaplar ortasında kimlik bilgilerini paylaşmanın ve varsayım edilmesi kolay parolalar kullanmanın getirdiği güvenlik riskleri göz önüne alındığında çoğumuz bu giriş bilgilerini yönetmek için yardıma, parola yöneticilerine ihtiyaç duyuyoruz.
Dijital hayatımızın anahtarlarını elinde tutan bu kasalar, siber hatalılar için de tanınan bir gaye hâline geldi. Siber güvenlik çözümlerinde dünya lideri ESET altı potansiyel riski ve bu riskleri azaltmaya yönelik tekliflerini paylaştı.
Parola yöneticisinde görülen 6 güvenlik sorunu
Parola yöneticinizde saklanan kimlik bilgilerine erişen tehdit aktörleri, hesaplarınızı ele geçirerek kimlik dolandırıcılığı yapabilir yahut erişim bilgilerini/parolaları diğerlerine satabilir. Bu nedenle, sizi amaç almak için her vakit yeni yollar ararlar.
Ana parolanızın ele geçirilmesi: Parola yöneticilerinin hoşluğu, tek bir hatırlanması kolay parola ile tüm çevrimiçi kimlik bilgilerinizi depolayan kasaya erişebilmenizdir. Fakat bu yaklaşımın sorunu, siber hatalıların bu ana parolayı ele geçirebilirlerse birebir erişim seviyesine sahip olmalarıdır.
Kimlik avı/dolandırıcılık reklamları: Tehdit aktörlerinin, kurbanları e-posta adreslerini, ana parolalarını ve bilinmeyen anahtarlarını (varsa) toplayan geçersiz sitelere çekmek için Google Arama’ya berbat hedefli reklamlar yayımladıkları bilinmektedir. Bu reklamların tehlikesi, legal görünüyor olmaları ve parola yöneticinizi Google’da aradığınızda arama sıralamalarında görünebilmeleridir. İrtibat verdikleri kimlik avı sayfaları, gerçekmiş üzere görünmek için uydurma olarak tasarlanmıştır. Bu türlü bir sayfaya tıklarsanız tüm kıymetli parola yöneticisi giriş bilgilerinizi çalmak için tasarlanmış, yasal görünen bir giriş sayfasına yönlendirilirsiniz.
Parola çalan makus maksatlı yazılım: ESET araştırmacıları kısa mühlet evvel, “DeceptiveDevelopment” isimli Kuzey Kore devleti dayanaklı bir kampanyada bu tıp bir teşebbüsü tespit etti. Araştırmacılar, Telegram ve FTP aracılığıyla hem tarayıcı uzantılarından hem de parola yöneticilerinden bilgi sızdırma yeteneğine sahip bir art kapı komutu içeren “InvisibleFerret” makus hedefli yazılımını buldu.
Parola yöneticisi satıcısının ihlali: Parola yöneticisi satıcıları, tehdit aktörleri için kıymetli bir maksat olduklarını bilirler. Bu nedenle, BT ortamlarını olabildiğince inançlı hâle getirmek için kıymetli ölçüde vakit ve kaynak harcarlar. Lakin berbat niyetli bireylerin içeri girmesine müsaade vermek için tek bir yanılgı yapmaları kafidir.
Sahte parola yöneticisi uygulamaları: Bazen siber hatalılar, parolaları toplamak ve geçersiz uygulamalar aracılığıyla makûs hedefli yazılım yaymak için parola yöneticilerinin popülaritesinden yararlanır. Bu tehditler çoklukla çok kıymetli ana parolayı çalmak yahut kullanıcının aygıtına bilgi çalan makûs maksatlı yazılım indirmek için tasarlanmıştır.
Güvenlik açığı istismarı: Parola yöneticileri nihayetinde yalnızca birer yazılımdır. Çoğunlukla beşerler tarafından yazılan yazılımlar kaçınılmaz olarak güvenlik açıkları içerir. Bir siber hatalı bu kusurlardan birini bulup istismar etmeyi başarırsa parola kasasından kimlik bilgilerinizi çalabilir. Alternatif olarak, web tarayıcıları için parola yöneticisi eklentilerindeki güvenlik açıklarını gaye alarak kimlik bilgilerini ve hatta iki faktörlü kimlik doğrulama (2FA) kodlarını çalabilirler. Ya da tıpkı şeyi yapmak için aygıt işletim sistemlerini amaç alabilirler. Parola yöneticinizi indirdiğiniz aygıt sayısı ne kadar fazla olursa bunu yapma fırsatları da o kadar artar.
Parola yöneticisi kullanımınızı nasıl inançlı hâle getirebilirsiniz?
Yukarıda listelenen tehditlere karşı korunmak için aşağıdakileri göz önünde bulundurun:
- Güvenli, uzun ve eşsiz bir ana parola düşünün. Tire ile ayrılmış, hatırlanması kolay dört kelimeyi düşünün. Bu, saldırganların “kaba kuvvet” sistemiyle parolayı kırmasını zorlaştıracaktır.
- 2FA’yı aktifleştirerek hesaplarınızın güvenliğini her vakit artırın. Bu, bilgisayar korsanları parolalarınızı ele geçirse bile ikinci faktör olmadan hesaplarınıza erişemeyecekleri manasına gelir.
- Tarayıcıları, parola yöneticilerini ve işletim sistemlerini en inançlı sürümlerde tutmak için yeni tutun. Bu, güvenlik açıklarının istismar edilme mümkünlüğünü azaltır.
- Uygulamaları sadece yasal uygulama mağazalarından -Google Play, App Store- indirin ve indirmeden evvel geliştiriciyi ve uygulama derecelendirmesini, geçersiz yahut makûs emelli uygulamalar olup olmadıklarını denetim edin.
- Yalnızca saygın bir satıcıdan parola yöneticisi seçin. Size uygun bir tane bulana kadar araştırın.
- Parola yöneticinizden direkt parola çalmak için tasarlanmış taarruzların tehdidini azaltmak için tüm aygıtlara saygın bir satıcıdan güvenlik yazılımı yüklediğinizden emin olun.
Parola yöneticileri, siber güvenlik uygulamalarının değerli bir kesimi olmaya devam etmektedir. Fakat bu, sırf ekstra tedbirler alırsanız geçerlidir. Güvenlik riskleri daima olarak gelişmektedir, bu nedenle çevrimiçi kimlik bilgilerinizin inançta kalmasını sağlamak için yeni tehdit eğilimlerini takip edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı