İçinde bulunduğumuz dijital çağda veri sızıntılarının kaçınılmaz olduğu açık. Öyle ki, en azından birkaç şifrenizin bir saldırılarda ele geçirilmemiş olması neredeyse imkansız. Ancak, bazı şifrelerinizin internette bir yerlerde olduğunu bilmek ile milyarlarca şifrenin kolayca satın alınabilecek şekilde toplanmış olduğunu bilmek arasında önemli bir fark var.
TechRadar tarafından bildirildiği üzere araştırmacılar, tamamı düz metin olarak saklanan yaklaşık 10 milyar benzersiz şifre içeren, rockyou2024.txt adında bir metin dosyasının internette gezdiğini keşfettiler. Başka bir deyişle bu dosyada, bir saldırı sonrasında ele geçirilmiş 10 milyar şifre açık açık listeleniyor. Yani, erişimi olan herkes bu dosya üzerinde basit bir arama ile istediği şifreyi bulabiliyor.
Elbette bu dosya sadece bir gecede oluşturulmadı. Bu şifreler zaman içinde, son 20 yılda yapılan çeşitli saldırı ve sızıntılardan toplandı. Saldırganlar, yalnızca 2021 yılından bu yıla kadar 1,5 milyar kadar şifreyi dosyaya ekledi. Ayrıca bu şifrelerin her birinin benzersiz olması, listede tekrar eden şifre olmadığı anlamına geliyor.
Ancak, listeye sahip herkesin basit bir arama ile istediği herhangi bir şifreyi arayabilmesi bu durumun en tehlikeli yanı değil. Bunun yerine, kötü amaçlı saldırganlar bunun gibi listeleri kaba kuvvet ve kimlik bilgisi doldurma saldırılarında kullanabilirler. Kaba kuvvet saldırısında, kötü niyetli kişiler bir hesaba sızmak için çok sayıda parolayı hızlı bir şekilde art arda dener. Kimlik bilgisi doldurma da benzerdir ancak insanlar aynı şifreyi birden fazla hesap için kullanma eğiliminde olduğundan dolayı, bilinen kullanıcı adı/şifre kombinasyonları gibi diğer hesaplarda sızdırılmış kimlik bilgilerinin kullanılması mümkün olur.
10 milyar benzersiz şifre
Elbette bu tür saldırılar elle gerçekleştirilmiyor ve çok kısa sürede bu şifrelerden milyonlarcasını deneyebilecek bilgisayarlar kullanıyorlar. Bilgisayar saldırganları, 10 milyar benzersiz şifreden oluşan bir veri tabanıyla, hem kişilere hem de benzer kuruluşlara karşı kaba kuvvet ve kimlik bilgileri doldurma saldırılarını çok daha rahat bir şekilde gerçekleştirebilecektir.
Neyse ki birey olarak kendinizi bu tür saldırılardan korumaya yardımcı olmak için yapabileceğiniz pek çok şey bulunuyor. Öncelikle, kimlik bilgilerinizin bu veri tabanında veya başka bir yerde kötü amaçlı kişilerin kullanımına açık olup olmadığını görmek için sızdırılmış bir şifre denetleyicisi kullanabilirsiniz. Şifrelerinizden herhangi birinin ele geçirildiğini görürseniz hemen değiştirmenizde fayda olacaktır.
Ayrıca, hesaplarınızın her biri için güçlü ve benzersiz bir şifre kullanmanız, bir hesabın kimlik bilgilerinin sızdırılması durumunda, diğer hesaplarınızı bu saldırılardan korumaya yardımcı olacaktır.
Elbette bu kadar fazla eşsiz şifreyi aklınızda tutmak oldukça zor olacaktır. Bu yüzden güvenilir bir şifre yöneticisi kullanabilirsiniz. İyi bir şifre yöneticisi, şifrelerinizi yönetmeye yardımcı olurken, şifre oluşturucular gibi özelliklerle eşsiz şifreler yaratmanıza yardımcı olacak ve 2FA kodları gibi ek güvenlik önlemleri sunacaktır.
