Erişilmesi imkansız görünen devlet veya güçlü kurumların yıl içinde çok sayıda saldırıya maruz kaldığını biliyoruz. Diğer yandan çoğu üst düzey yetkili şifre güvenliğinin yetersizliği nedeniyle gizli bilgilerin kamuoyuna ulaşmasına sebep oluyor. Bu durum sadece resmi kurumlar için geçerli değil. Bireysel kullanıcılar da şifre oluşturma konusunda çoğu zaman dikkatli davranmıyor.

Yukarıda belirtilen tüm durumlara Deloitte’ın teknoloji, medya ve telekomünikasyondan sorumlu başkanı Jolyon Barker da dikkat çekiyor. Barker’a göre uzun şifreler yeterli güvenliği sağlasa da akılda tutması zor olduğu için kullanıcılar tarafından tercih edilmiyor. Buna karşın piyasada şifre güvenliğine yardımcı çift aşamalı doğrulama gibi ek güvenlik önlemlerinin uygulandığını belirten Barker, kurumların cep telefonuna şifre gönderme, USB üzerinden fiziksel cihazlarla koruma sağlama veya biometrik sistemler geliştirme gibi yöntemlerin bu konuda daha faydalı olabileceğini öne sürüyor.

Raporda ayrıca yetersiz şifre korumasının ekonomide milyarca dolar kayba, kullanıcıların internetten yapılan işlemlere olan güveninin azalmasına ve şirketleri saldırılara açık bırakarak itibarlarının zedelenmesine neden olabileceği dile getiriliyor. Yüksek güvenlikli şifreler ise başarılı oldukları süre uzadıkça korudukları bilgiyi daha değerli kılıyor ve dolayısıyla saldırıların hedefinde yer alma olasılığı giderek artıyor. Bu açıdan bilgi güvenliği için sadece şifre koruması yoluna başvurmamak gerekiyor.

Bireysel kullanıcılarda ise durum daha vahim. Zira SplashData‘nın yayınladığı listeye göre kullanıcıların Facebook ve e-posta girişleri için en çok “Password” kelimesini şifre olarak atadıkları ortaya çıkmış. İkinci sırada ise ülkemizde de popüler olan “123456” şifreleri yer alıyor. Diğer yandan Facebook’un her gün yaklaşık 600 bin kişinin sahtekarlık yoluyla diğer kullanıcıların bilgilerine erişmeye çalıştığını açıklaması, durumun ciddiyetini anlatmaya yetiyor.

Ağustos ayı hackerlar için hızlı başlamıştı. Önce Dropbox hacklendi. Her sitede aynı kullanıcı adı ve şifre kullanma gibi kötü bir huya sahip kişiler, bir başka sitenin şifresini çaldırınca, şansını Dropbox.com’da da deneyen hackerlar başarılı olmuştu. Her ne kadar burada suçlu kullanıcı olsa da, uzun süredir kullanıcıların talep ettiği “2 Adımlı Doğrulama”yı işleme geçirmeyen Dropbox eleştirilerden payını almıştı.

Aynı hafta içinde, Wired yazarı Mat Honan, Apple’ın çok büyük kusurunun bulunduğu ağır bir hacklenme zinciri sonucunda Gmail adresini kaybetmiş, iPhone, iPad ve Macbook Air’ındaki bütün bilgilerin uzaktan silinişine seyirci kalmıştı. Yeni doğmuş kızı ve bazı vefat etmiş akrabaları dahil son iki yılda çekilmiş binlerce fotoğraf, 8 yıllık e-posta arşivi ve bir sürü kişisel veri, sırf Mat Honan Twitter hesabının şifresini değiştirmekte zorlansın diye uzaktan silinivermişti. Her şeyin bulut üzerinden birbirine bağlı olduğu yeni internet çağında, dünyanın herhangi bir yerinden hayatınızın nasıl silebileceğinin hikayesi, açıkça birçok bilgi paylaşan biz Web 2.0 kullanıcılarının kanını dondurmuştu. Büyük bir şans eseri, 1,690 dolarlık bir hizmet karşılığında Macbook Air’ından silinen bilgilerin çoğunu kurtarmayı başaran Honan’ın, özellikle yazdığı bir cümle binlerce kişinin kulağına küpe oldu: “Eğer Google hesabım için ‘2 AdımlıDoğrulama’ kullanıyor olsaydım, belki de bunların hiçbiri başıma gelmeyecekti…”

Kıssadan hisse: 2 Adımlı Doğrulama elzem bir hizmet! Hacklenmelerin üzerinden henüz bir ay geçmeden, Google 2 Adımlı Doğrulama kullanıcılarının sayısında dramatik bir artış gördü. Dropbox ise bu hafta sonu 2 Adımlı Doğrulama hizmetini başlattı. Dropbox.com adresinden bağlanırken hemen aktive olan bu özelliği ayrıca bilgisayarınızdaki Dropbox programında kullanmak için, şimdillik sadece Dropbox forumlarında sunulan 1.5.12 Beta sürümünü kurmanız gerekiyor.

İşin güzel yanı, Dropbox’ın kendi 2 Adımlı Doğrulama hizmeti için, Google doğrulama programını kullanmanıza izin vermesi. Yani bir taşta iki kuş vurabilirsiniz. Gelin adım adım önce nasıl Google ve ardından Dropbox için doğrulama kurulur, ona bakalım. İsterseniz Google Authenticator uygulamasını akıllı telefonunuza indirip, Google koruması adımlarını atlayabilirsiniz. Ama siz siz olun, hayatınızın büyük parçası haline gelmiş Google hizmetlerini riske atmayın.

Her İşin Başı Google

1- Her iki hizmet için de Google Authenticator kullanılacağı için, işe Gmail hesabınıza girerek başlayın. Girdikten sonra, ilk adım “Hesap Ayarları” olacak.

2- Hesap Ayarları içinden Güvenlik bölümüne geçin.

3- Farkedeceğiniz üzere, 2 adımlı doğrulama şu an kapalı. “Düzenle” tuşuna basarak kuruma başlayın.

6- Bu ikinci adımda, birkaç dakika içinde telefonunuza gelecek 6 haneli şifreyi girdikten sonra “Verify” düğmesine basın. Eğer şifre bir türlü ulaşmıyorsa, aşağıda görülen “Didn’t get the code?” linkine ulaşarak, mesajı tekrar göndertebilir veya başka bir telefon numarası girebilirsiniz.

7- Google bu adımda, bu koruma işlemini yaptığımız bilgisayara güvenip güvenmediğimizi soracak. Eğer bu kişisel bilgisayarınızsa ve korunuyorsa, güvendiğinizi belirtebilirsiniz. Yoksa güvenmeden de devam edebilirsiniz.

Google, güvendiğiniz bilgisayarlarda 2 adımlı doğrulamayı her 30 günde bir uygulayacaktır. Yani bir bilgisayara güvendiğinizi belirttiyseniz, 30 gün boyunca sadece şifrenizi girerek Google hesabınıza bağlanabileceksiniz. Yoksa, her bağlandığınızda 2. güvenlik adımı da devreye girecektir.

Seçiminizi yapıp, “Next” tuşu ile bir sonraki onay ekranına geçin.

8- Artık son onayı verebilirsiniz. Tebrikler! Google hesabınız, bütün hizmetleri ile artık çok daha güvenli!

Her Uygulama İçin Ayrı Şifre

Ama işimiz daha bitmedi. Artırdığımız güvenlik seviyesi yüzünden, Google’a erişim hakkı olan bazı uygulamalar (mesela telefonunuzdaki Google+ uygulaması) artık daha sıkı korunmalı. Google bunu, bankalar nasıl kredi kartına sanal kart çıkartarak kendini koruyorsa, her uygulama için gerçek Google şifrenizden bağımsız sanal şifre yaratarak yapıyor.

Eğer bu işlemi daha sonra ihtiyaç duyduğunuzda yapmak isterseniz, yukarıda 3. adımdaki 2 adımlı doğrulama ayarlarını “Düzenle” tuşuna bastıktan sonra, “Manageapplication-specificpasswords” linkini takip ederek yapabilirsiniz.

1- Google bizi bu ayarı yapacağımız ekrana davet ediyor. Mavi tuş ile devam edin.

2- Bu güvenlik ekranında, Google hesabınıza erişimi olan bütün hizmetlerin bir listesini görebilirsiniz. Hemen altında da, buraya geliş sebebimiz olan sanal şifre oluşturmak için bir kutu bulunmakta. İstediğiniz uygulamanın adını girin ve “Generate Password” tuşuna basın.

Unutmayın! Bu şifre Google şifreniz değil! Eğer dışarıdan bir uygulama ile Google hesabınıza girmiyorsanız, şifre yaratmanıza gerek yoktur!

İşaretli kutuya ne yazdığınız önemli değil. Üretilen şifreyi kenara not ederseniz, istediğiniz her uyumlu uygulamada kullanabilirsiniz. İsterseniz Google+, Google Drive gibi  uygulamalar için teker teker ayrı şifre yaratabilirsiniz. İsterseniz Oyun, Sosyal Medya, Forum gibi başlıklar için ayrı ayrı şifreler yaratıp, genel birkaç şifre kullanabilirsiniz. Biz örnek olarak, bir Sosyalmedya.co şifresi yarattık.

3- 16 haneli şifremiz hazır. Tekrarlamak gerekirse, bu şifre Google şifreniz değil. İsterseniz bu şifreyi bir yere not edin ve her uyumlu uygulamada kullanın. İsterseniz her seferinde yeni şifre üretin. Bir daha kullanmanız gerekirse bir daha üretin! “Done” tuşuna bir kere bastıktan sonra, bu şifreyi bir daha göremeyeceksiniz, ona göre!

Ama hata yaptıysanız ve şifre ekranını kapattıysanız, hiç önemli değil. Birkaç saniye içinde o şifreyi silip yenisini üretmek mümkün.

Bu şifre korumasında esas olan, kolayca şifre üretip, eşit kolaylıkla o şifrenin geçerliliğini kaldırabilmek. Mesela Sosyalmedya.co için yarattığım şifreyi baştan yaratmak istersem, “Revoke” tuşuna basıp, şifre yaratma ekranından yeni bir sanal şifre yaratmam gerekir. Tekrar “Sosyalmedya.co” yazıp yenisini üretebilirim, artık kategori ile gruplandırma yapıyorsam “En sevdiğim siteler” diye bir şifre yaratabilirim, istersem “Tek Şifre” diye bir kategori yaratır, her yerde yeni şifreyi kullanırım. Bu adım tamamen sizin yan uygulama ve hizmet şifrelerinizi nasıl dağıtmak istediğinizle alakalı.

Müthiş Uygulama: Google Authenticator

Korumayı başlattık. Şimdi sıra işleri biraz kolaylaştırmada.

Mesela, telefonunuz kaybolduğunda veya şarjsız yakalandığınızda olacaklardan çekiniyor musunuz? Yedek telefon belirleyerek bu durumdan korunabilirsiniz. Hiç cep telefonuna ulaşamayacağınız bir yere mi gidiyorsunuz? Yedek kodlar üretebilirsiniz. Her seferinde SMS almak istemiyor musunuz? Cep telefonunuza indirdiğiniz bir uygulama aracılığıyla, geçici banka şifresi üretir gibi 6 haneli şifrenizi kendiniz üretebilirsiniz.

Bunların hepsi, 2 adımlı doğrulamayı düzenleme sayfasında.

1- Bizi esas ilgilendiren özellik, Dropbox için de kullanacağımız, cep telefonumuza indireceğimiz uygulamayı linkleyen “Mobile Application” bölümü. İşe, telefon modelinizi seçerek başlayın.

2- Ardından çıkacak ekranda, Google kullandığınız telefonun uygulama merkezinden Google Authenticator adlı doğrulama programını indirmenizi isteyecek. iPhone veya iPad için iTunes, Android için Google Play ve BlackBerry’nizde m.google.com/authenticator adresini kullanabilirsiniz. Her telefon için ayrı ayrı kurum ekranları için Google’ın yardım sayfasına dönebilirsiniz.

3- Uygulamayı kurduktan sonra, hemen açın ve yeni hesap eklemeyi seçin. Telefon modelinize göre, ekrandaki QR kodu fotoğraflayabilir veya Google’ın size verdiği 16 haneli gizli şifreyi girebilirsiniz.

Aşağıdaki iPhone için kurulum ekranı örneği mevcut. iPhone’da Google Authenticator uygulamasını açtıktan sonra, “+” tuşuna basıp yeni hesap oluşturun. Ardından, “Scan Barcode” seçeneği ile QR kodunu okutabilirsiniz.

İPUCU: Aynı kodu birçok cihazda kullanabilirsiniz. Bu ekranı kapatmadan, isterseniz aynı QR kodunu iPad, iPod Touch gibi diğer iCihazlarınızla da fotoğraflayıp, yedek doğrulama cihazları oluşturabilirsiniz.

Dropbox Güvenliği Artık Çocuk Oyuncağı

“Bunca şey kurduk, bir de Dropbox mı” demeyin! İşin ciddi kısmı çoktan geride kaldı. Eğer telefonunuzda Google Authenticator kurulu ise, buna Dropbox koruması eklemek bir dakikanızı alacak almayacak.

Bakın her şey ne kadar kolay:

1- Dropbox hesabınıza girdikten sonra, hesap ayarlarınıza gelin.

2- Hesap ayarlarından, “Security” bölümüne gidin. Ekranın sol altında yer alan bölümden, kapalı olan “Two-step verification” özelliğini, “Change” linkine basarak aktive edin.

3- Aynı Google gibi, Dropbox da size 2 adımlı doğrulamayı tanıtmak isteyecek. İster “Learn More” seçeneği ile daha fazla bilgi alabilirsiniz. İşiniz bittikten sonra, mavi “Get Started” butonu ile devam edin.

4- Şifrenizi girdikten sonra, SMS alarak mı, yoksa bir doğrulama uygulaması ile mi güvenlik artırmayı tercih ettiğiniz sorulacak. SMS her zaman gecikebilir, Google Authenticator’ı da kurduk. Öyleyse, sağdaki “Use a mobile app” seçeneği ile devam edin.

5- Bu adımda, karşımıza tanıdık bir ekran geliyor. Hadi Google Authenticator uygulamasını açın, yeni bir “Time Based” hesap eklemeyi seçin ve QR kodunu tarayın.

Unutmayın! Aynı kodu birçok cihazda kullanabilirsiniz. Bu ekranı kapatmadan, isterseniz aynı QR kodu bütün Google Authenticator içeren cihazlarınızda fotoğraflayıp, yedek doğrulama kaynakları oluşturabilirsiniz.

6- Son adımda, yeni hesabınızla ürettiğiniz 6 haneli şifreyi girin ve Dropbox’ınızı çok daha güvenli kılın! Tebrikler! 1 dakikanızı aldı mı, yoksa çok mu yavaş kaldınız?

Birkaç hafta önce kullanıcıların yabancı sitelerden aldıkları spam e-postalar nedeniyle şikayetlere maruz kalan Dropbox, yaptığı incelemenin ardından bazı müşterilerin giriş bilgilerinin çalındığını itiraf etti. Resmi blogundan yaptığı açıklamada kullanıcı adı ve şifre bilgilerini ele geçiren web sitelerinden hesapların bir kısmına giriş yapıldığı belirtildi.

Dropbox kullanıcıları için kötü haberler bununla sınırlı değil. Belirtilene göre bazı kullanıcıların yanı sıra bir Dropbox çalışanın da hesabına girilmiş ve proje dökümanlarına ulaşılmış. Dropbox bu konuda üzgün olduğunu söylüyor ve aynı olayın bir daha yaşanmaması için ek önlemler koyduklarının altını çiziyor.

Alınan güvenlik önlemleri geç de olsa muhtemel tehlikenin önüne geçebilecek nitelikte. Örneğin bundan böyle kullanıcılar kullanıcı adı ve şifre bilgilerini girdikten sonra telefonlarına gönderilen özel kod ile hesaplarına erişebilecekler. Diğer yandan internette güvenlik konusu kullanıcıların bu konudaki temel bilgileriyle de alakalı. Kullanıcıların özellikle kendisinin veya bir yakınının doğum tarihini şifre olarak belirleyebiliyorlar. Buna ek olarak aynı şifrenin birden fazla hesapta kullanılması da bu tür şifre çalınma olaylarına davetiye çıkarıyor.