Yahoo'ya saldırı

Bir sonraki siber saldırıda, devlet destekli saldırganlar en az 500 milyon Yahoo kullanıcısının verilerini tehlikeye attılar. Bu olay yakın zamanda öğrenildi. Sadece şifreler veya e-posta adresleri değil, kullanıcıların parolaları sıfırlamak için yedek olarak sakladığı gizli sorular ve cevaplar da saldırıya uğradı. Bu, en sevdiğiniz tatil yeri veya satın aldığınız ilk araba gibi sözde gizli bilgilerdir.

Yahoo fiyaskosu, ilk bakışta masum soruların çevrimiçi kimlik doğrulamasında zayıf bir bağlantı olarak kaldığını vurguladı. Güvenlik uzmanlarına güvenlik sorularını sorarlarsa, onlardan asla vazgeçilmemesi gerektiğini söylerler ve var olmaya devam ettikleri sürece onlara asla dürüstçe cevap vermemeye dikkat edin.

Yahoo'nun korsanlığı, tahmin etme yeteneğinin tehlikeli faktörünü ve değişen güvenlik sorunlarının karmaşıklığını vurguladı.

Şifre kurtarma için son ve güvenilir bir araç olarak kabul edilmesine rağmen, gizli soruların mekanizması tamamen yetersiz kalmıştır. Böylece, birisi karmaşık şifresini unutmuş olsa bile, kişinin annesinin adını veya doğduğu yeri asla unutmayacağına inanılıyordu.

Şimdi çeşitli siber saldırı vakalarını gördüğümüze göre, gerçek verilere güvenmek bile aptalca. Veriler asla bir sır değildir. Günümüzde bir sosyal medya araması, bir kişinin nerede büyüdüğü veya ilk arabasının markasının ne olduğu gibi bu sırları sıklıkla ortaya çıkarabilir. Dolayısıyla bu yaklaşım kişisel hesapları riske atıyor.

Annenin kızlık soyadını sıfırla

Güvenlik uzmanları, güvenlik sorunlarının uygulamasının geçmişte bir şey olmasını istiyor. Basit mantık şudur: Karmaşık şifreler savunmasızsa, güvenlik sorunlarını sonsuza dek yaşayacak ve saldırıya uğramayacak kadar benzersiz kılan nedir?

Tüm yeni veri sızıntıları giderek daha fazla kişisel bilgiyi açığa çıkarır ve bu da gizli soruların cevaplarını tahmin etmeyi kolaylaştırır. Bu, bilgisayar korsanlarının diğer hizmetleri kesmek için bu bilgileri yeniden kullanmasına izin verir. Tüm bu verileri birleştirerek, bilgisayar korsanları çeşitli veri sızıntılarından daha kapsamlı bilgi alırlar.

Birisi Twitter'da bir kişinin bir Yahoo hesabı varsa, Yahoo'nun veri sızıntısını açıkladıktan sonra büyümek için yeni bir cadde veya yeni bir anne bulması gerektiğini fark etti. Güvenlik sorularını ve yanıtlarını farklı sitelerde yeniden kullanmak, Yahoo ölçeğindeki veri sızıntısının güvenlik eşdeğeri için çevresel bir felaket gibi olacağı anlamına gelebilir.

2015 yılında Google'ın güvenlik araştırmacıları güvenlik konusundaki yaklaşımlarını ve zayıf yönlerini incelediler ve gizli soruların ya bir dereceye kadar güvenli ya da hatırlanması kolay, ancak her ikisine de nadiren cevap verdiği sonucuna vardılar. Bu, gizli soruyu bağımsız bir kurtarma mekanizması olarak güvenilmez ve güvensiz kılar.

Google, hesabı geri yüklemek için SMS mesajını yedek olarak veya yedek e-posta olarak ayarladı. Çalışmanın bitiminden çok önce, gizli soruları kaldırdılar.

Annem Fgstow's Z2@d'da doğdu

Güvenlik sorunları yakında ortadan kalkmayacak. Yeni sistemlerin ortaya çıkması veya yenilerine geçmesi zaman alacaktır. Bu nedenle yapılabilecek en az şey, bazı kritik hizmetler için mevcut güvenlik sorunlarını güçlendirmektir. En iyi yol cevaplarınızda yalan söylemektir. Örneğin, kişinin adresinin New York olduğunu ve bu bilgilerin Facebook profilinizde olduğunu varsayalım. Bu durumda bilgisayar korsanları annelerinin New York'ta doğduğu yeri tahmin etmek için olasılık faktörlerini kullanacaklar.

En iyi yol, anlamlı bir bilgi içermeyen rastgele bir karakter dizisi vermektir. Bir bilgisayar korsanının tam olarak bilmeyeceği hayatın önemsiz ayrıntılarıyla ilgili bir soru sorarak, saldırı sırasında tehlikeye girebilecek bir cevabı hala açıklamamaktadır.

Bu yaklaşım, güvenlik sorularının cevaplarını, hafızada kolayca tutabileceğimiz kişisel gerçeklere kıyasla hatırlamayı imkansız kılmaktadır. Bu nedenle, bir şifre yöneticisi kullanmaya başlamanız gerekir. Rastgele oluşturulan güçlü şifrelerin saklanmasına ve hatta güvenlik yanıtlarınızın saklanmasına yardımcı olacaktır.

Şifre yöneticisini kullanın

Bir kişinin şifre yöneticisine mümkün olduğunca çok sayıda hesap eklemek ve tüm şifreleri rastgele hale getirmek için zaman ayırdığını varsayalım. Bu durumda, bunun uzun vadede uygulanabilir bir proje olduğunu bilmelisiniz. Yeni bir şifre eklemek birkaç dakika sürer ve rastgele karakter dizelerinin şifre yöneticisine doğru şekilde kaydedilmesini sağlar. Ortalama kullanıcının birincil e-posta adresiyle ilişkili birden fazla dijital hesabı vardır. Bu nedenle, mekanizmaların her zaman mevcut olmadığı durumlarda her güvenlik sorusunu randomize etmek ezici bir görev olmaya devam etmektedir.

Uzmanlar, finansal hesaplar, e-posta ve tıbbi faturalar gibi en önemli verileri içeren hesaplardaki güvenlik yanıtlarını değiştirmelerini tavsiye etmektedir. Bir kişinin aktif bir şifre yöneticisi olmasa bile, yine de kullanmaya başlayabilir. Güvenlik yanıtlarını izlemek için kullanabilirsiniz. Kişinin her site ve hizmet için benzersiz parolaları olmalıdır. Ayrıca, güvenlik sorularına ve şifre yöneticisine benzersiz cevapların olması da önemlidir.

Güvenlik uzmanları, federal hükümet için bile, yavaş yavaş reddedilebilecek güvenlik sorunlarına yeterli alternatifin olduğuna inanıyorlar. Bununla birlikte, evrensel bir çözüm mevcut değildir. U2F ister misiniz? Başlayın. Google İstemleri ister misiniz? Katın. Size postayla göndereceğimiz bir kağıda yazılmış bir şey ister misiniz? Katın.

Popüler web hizmetleri güvenlik sorunlarından daha gelişmiş seçeneklere geçiyor. Twitter, hesabı kurtarmak için güvenlik sorunlarını hiç kullanmayacak gibi görünüyor. Facebook, kullanıcıların daha önce yükledikleri bir cep telefonuna veya yedek e-posta adresine erişemediklerini belirttiğinde güvenlik sorunlarını son çare olarak önermektedir. Facebook'ta kullanıcıların sorularını güncellemelerine veya geliştirmelerine asla izin vermez.

Sonuç

Parolaları kurtarmak için gerekli olan savunma soruları temel olarak güvensizdir. Ama eğer onları geri alamazsak, cevaplarımızı tahmin etmeyi zorlaştırabiliriz.