Parola yöneticilerinde dikkat edilmesi gereken 6 kritik risk
2024 yılında yapılan bir araştırmaya nazaran, ortalama bir internet kullanıcısının ferdî hesapları için varsayımı 168 parolası bulunuyor. Hesaplar ortasında kimlik bilgilerini paylaşmanın ve iddia edilmesi kolay parolalar kullanmanın getirdiği güvenlik riskleri göz önüne alındığında çoğumuz bu giriş bilgilerini yönetmek için yardıma, parola yöneticilerine ihtiyaç duyuyoruz. Dijital hayatımızın anahtarlarını elinde tutan bu kasalar, siber hatalılar için de tanınan bir gaye hâline geldi. Siber güvenlik çözümlerinde dünya lideri ESET altı potansiyel riski ve bu riskleri azaltmaya yönelik tekliflerini paylaştı.Parola yöneticisinde görülen 6 güvenlik sorunuParola yöneticinizde saklanan kimlik bilgilerine erişen tehdit aktörleri, hesaplarınızı ele geçirerek kimlik dolandırıcılığı yapabilir yahut erişim bilgilerini/parolaları diğerlerine satabilir. Bu nedenle, sizi maksat almak için her vakit yeni yollar ararlar. Ana parolanızın ele geçirilmesi: Parola yöneticilerinin hoşluğu, tek bir hatırlanması kolay parola ile tüm çevrimiçi kimlik bilgilerinizi depolayan kasaya erişebilmenizdir. Lakin bu yaklaşımın sorunu, siber hatalıların bu ana parolayı ele geçirebilirlerse tıpkı erişim seviyesine sahip olmalarıdır. Kimlik avı/dolandırıcılık reklamları: Tehdit aktörlerinin, kurbanları e-posta adreslerini, ana parolalarını ve bâtın anahtarlarını (varsa) toplayan uydurma sitelere çekmek için Google Arama'ya berbat emelli reklamlar yayımladıkları bilinmektedir. Bu reklamların tehlikesi, legal görünüyor olmaları ve parola yöneticinizi Google'da aradığınızda arama sıralamalarında görünebilmeleridir. İrtibat verdikleri kimlik avı sayfaları, gerçekmiş üzere görünmek için düzmece olarak tasarlanmıştır. Bu türlü bir sayfaya tıklarsanız tüm kıymetli parola yöneticisi giriş bilgilerinizi çalmak için tasarlanmış, yasal görünen bir giriş sayfasına yönlendirilirsiniz.Parola çalan berbat emelli yazılım: ESET araştırmacıları kısa müddet evvel, "DeceptiveDevelopment" isimli Kuzey Kore devleti dayanaklı bir kampanyada bu cins bir teşebbüsü tespit etti. Araştırmacılar, Telegram ve FTP aracılığıyla hem tarayıcı uzantılarından hem de parola yöneticilerinden bilgi sızdırma yeteneğine sahip bir art kapı komutu içeren "InvisibleFerret" makûs hedefli yazılımını buldu. Parola yöneticisi satıcısının ihlali: Parola yöneticisi satıcıları, tehdit aktörleri için kıymetli bir gaye olduklarını bilirler. Bu nedenle, BT ortamlarını olabildiğince inançlı hâle getirmek için değerli ölçüde vakit ve kaynak harcarlar. Lakin berbat niyetli şahısların içeri girmesine müsaade vermek için tek bir kusur yapmaları kafidir. Sahte parola yöneticisi uygulamaları: Bazen siber hatalılar, parolaları toplamak ve uydurma uygulamalar aracılığıyla makus emelli yazılım yaymak için parola yöneticilerinin popülaritesinden yararlanır. Bu tehditler çoklukla çok kıymetli ana parolayı çalmak yahut kullanıcının aygıtına bilgi çalan makus gayeli yazılım indirmek için tasarlanmıştır. Güvenlik açığı istismarı: Parola yöneticileri nihayetinde yalnızca birer yazılımdır. Çoğunlukla beşerler tarafından yazılan yazılımlar kaçınılmaz olarak güvenlik açıkları içerir. Bir siber hatalı bu yanılgılardan birini bulup istismar etmeyi başarırsa parola kasasından kimlik bilgilerinizi çalabilir. Alternatif olarak, web tarayıcıları için parola yöneticisi eklentilerindeki güvenlik açıklarını maksat alarak kimlik bilgilerini ve hatta iki faktörlü kimlik doğrulama (2FA) kodlarını çalabilirler. Ya da tıpkı şeyi yapmak için aygıt işletim sistemlerini gaye alabilirler. Parola yöneticinizi indirdiğiniz aygıt sayısı ne kadar fazla olursa bunu yapma fırsatları da o kadar artar.Parola yöneticisi kullanımınızı nasıl inançlı hâle getirebilirsiniz?Yukarıda listelenen tehditlere karşı korunmak için aşağıdakileri göz önünde bulundurun:
- Güvenli, uzun ve eşsiz bir ana parola düşünün. Tire ile ayrılmış, hatırlanması kolay dört kelimeyi düşünün. Bu, saldırganların "kaba kuvvet" metoduyla parolayı kırmasını zorlaştıracaktır.
- 2FA'yı aktifleştirerek hesaplarınızın güvenliğini her vakit artırın. Bu, bilgisayar korsanları parolalarınızı ele geçirse bile ikinci faktör olmadan hesaplarınıza erişemeyecekleri manasına gelir.
- Tarayıcıları, parola yöneticilerini ve işletim sistemlerini en inançlı sürümlerde tutmak için şimdiki tutun. Bu, güvenlik açıklarının istismar edilme mümkünlüğünü azaltır.
- Uygulamaları sadece yasal uygulama mağazalarından -Google Play, App Store- indirin ve indirmeden evvel geliştiriciyi ve uygulama derecelendirmesini, uydurma yahut makûs maksatlı uygulamalar olup olmadıklarını denetim edin.
- Yalnızca saygın bir satıcıdan parola yöneticisi seçin. Size uygun bir tane bulana kadar araştırın.
- Parola yöneticinizden direkt parola çalmak için tasarlanmış atakların tehdidini azaltmak için tüm aygıtlara saygın bir satıcıdan güvenlik yazılımı yüklediğinizden emin olun.