Birçoğumuz tatilde sevdiklerimizle vakit geçirmek için internetten ayrılırken, dijital şifreleri yönetmek için popüler bir güvenlik programının yaratıcısı LastPass en istenmeyen hediyeyi verdi. Siber suçluların müşterilerin şifre kasalarının kopyalarını ele geçirerek potansiyel olarak milyonlarca kişinin çevrimiçi bilgilerini ifşa ettiği yakın tarihli bir güvenlik ihlali hakkında ayrıntılar yayınladı.
Bir bilgisayar korsanının bakış açısına göre bu, büyük ikramiyeyi kazanmanın eşdeğeridir.
LastPass veya 1Password gibi bir şifre yöneticisi kullandığınızda, bankacılık, sağlık devası, e-posta ve sosyal ağ hesapları dahil olmak üzere kullandığınız siteler ve uygulamalar için tüm kullanıcı adlarını ve şifreleri içeren bir liste saklar. Kasa adı verilen listeyi çevrimiçi bulutunda tutar, böylece parolalarınıza herhangi bir cihazdan kolayca erişebilirsiniz. LastPass, bilgisayar korsanlarının şirketin sunucularından her müşterinin kullanıcı adı ve parola listesinin kopyalarını çaldığını söyledi.
Bu ihlal, parolalarınızın deva’sını almak için tasarlanmış bir güvenlik ürününün başına gelebilecek en kötü şeylerden biriydi. Ancak bir sonraki bariz adım olan LastPass’i kullandıysanız tüm parolalarınızı değiştirmek dışında, bu fiyaskodan öğrenebileceğimiz önemli dersler var; güvenlik ürünlerinin, özellikle hassas verilerimizi bulutta depoladıklarında kusursuz olmadığı da dahil.
İlk olarak, ne olduğunu anlamak önemlidir: Şirket, davetsiz misafirlerin bir LastPass çalışanından çalınan kimlik bilgilerini ve anahtarları kullanarak bulut veritabanına erişim sağladığını ve on milyonlarca müşterinin doğrulama kasalarının bir kopyasını ele geçirdiğini söyledi.
İhlalle ilgili ayrıntıları 22 Aralık’ta bir blog gönderisinde yayınlayan LastPass, kullanıcılarına bilgilerinin muhtemelen güvende olduğu konusunda güvence vermeye çalıştı. Giriş yaptıkları sitelerin web sitesi adresleri gibi insanların kasalarının bazı bölümlerinin şifrelenmemiş olduğunu, ancak kullanıcı adları ve şifreler dahil olmak üzere bu hassas verilerin şifrelendiğini söyledi. Bu, bilgisayar korsanlarının birinin kullandığı bankacılık web sitesini bilebileceği, ancak o kişinin hesabına giriş yapmak için gereken kullanıcı adı ve şifreye sahip olamayacağı anlamına gelir.
En önemlisi, kullanıcıların LastPass kasalarının kilidini açmak için ayarladıkları ana parolalar da şifrelenmişti. Bu, bilgisayar korsanlarının her bir kasadaki geri kalan parolaları almak için şifrelenmiş ana parolaları kırması gerektiği anlamına gelir; ki bu, insanlar benzersiz, karmaşık bir ana parola kullandıkları sürece bunu yapmak zor olacaktır.
LastPass’ın CEO’su Karim Toubba, röportaj yapmayı reddetti, ancak e-postayla gönderilen bir açıklamada, olayın şirketin hassas kasa verisini şifreli ve güvenli tuttuğunu söylediği sistem mimarisinin gücünü gösterdiğini yazdı. Ayrıca, “iyi parola hijyeni uygulama”nın kullanıcıların sorumluluğunda olduğunu söyledi.
Pek çok güvenlik uzmanı, Bay Toubba’nın iyimser dönüşüne katılmadı ve her LastPass kullanıcısının tüm parolalarını değiştirmesi gerektiğini söyledi.
Güvenlik şirketi Barracuda’nın yöneticilerinden Sinan Eren, “Durum çok ciddi. “Bütün bu yönetilen parolaların ele geçirilmiş olduğunu düşünürdüm.”
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis, davetsiz misafirlerin insanların kullandığı web sitesi adreslerinin listelerine erişmesinin önemli olduğunu söyledi.
“Diyelim ki peşinden geliyorum,” dedi Bay Ellis. “Bilgilerini kaydettiğiniz tüm web sitelerine bakabilir ve bunu bir saldırı planlamak için kullanabilirim. Her LastPass kullanıcısı bu veriyi artık bir rakibin elinde tutuyor.”
Çevrimiçi ortamda daha güvenli kalmak için hepimizin bu ihlalden çıkarabileceği dersler şunlardır.
Önleme tedaviden daha iyidir.
LastPass ihlali, bir ihlal gerçekleşmeden önce en hassas hesaplarımız için güvenlik önlemleri oluşturmanın, sonrasında kendimizi korumaya çalışmaktan daha kolay olduğunu hatırlatır. Parolalarımız için hepimizin izlemesi gereken en iyi uygulamalardan bazıları şunlardır; Bu adımları önceden atmış olan herhangi bir LastPass kullanıcısı, bu son ihlal sırasında nispeten güvende olabilirdi.
Büyük bir şeyi açıklığa kavuşturalım: Herhangi bir şirketin sunucuları ihlal edildiğinde ve müşteri verileri çalındığında, sizi koruyamamak şirketin hatasıdır.
LastPass’ın olaya verdiği tepki, sorumluluğu kullanıcıya yüklüyor, ancak bunu kabul etmek zorunda değiliz. “İyi parola hijyeni” uygulamanın, bir ihlal durumunda hesabı daha güvenli tutmaya yardımcı olacağı doğru olsa da, bu, şirketi sorumluluktan muaf tutmaz.
Bulut için riskler var.
LastPass’in ihlali can sıkıcı gibi görünse de, genel olarak şifre yöneticileri kullanışlı bir araçtır çünkü birçok internet hesabımız için karmaşık ve benzersiz şifreler oluşturmayı ve saklamayı daha kolay hale getirirler.
İnternet güvenliği genellikle kolaylık ile riskin tartılmasını içerir. Bugcrowd’dan Bay Ellis, şifre güvenliğiyle ilgili zorluğun, en iyi uygulamalar çok karmaşık olduğunda, insanların varsayılan olarak daha kolay olanı seçmesi olduğunu söyledi – örneğin, kolayca tahmin edilebilir şifreler kullanmak ve bunları siteler arasında tekrarlamak.
Bu yüzden şifre yöneticilerini silmeyin. Ancak, LastPass ihlalinin, bir şirkete hassas verinizi kendi bulutunda depolaması için emanet ederken her zaman risk aldığınızı gösterdiğini unutmayın;
Barracuda’dan Eren Bey, veritabanını kendi bulutlarında depolayan parola yöneticilerini kullanmamanızı ve bunun yerine parola kasanızı KeePass gibi kendi cihazlarınızda depolayan birini seçmenizi önerir.
Bir çıkış stratejiniz olsun.
Bu da bizi, herhangi bir çevrimiçi hizmete uygulanabilecek son tavsiyeme getiriyor: Ayrılmak istemenize neden olan bir şey olması durumunda verinizi – bu durumda şifre kasanızı – çıkarmak için her zaman bir planınız olsun.
LastPass için şirket, web sitesinde kasanızın bir kopyasını bir elektronik tabloya aktarma adımlarını listeler. Ardından, bu parola listesini farklı bir parola yöneticisine aktarabilirsiniz. Veya elektronik tablo dosyasını kendinize saklayabilir, kullanmanız için güvenli ve uygun bir yerde saklayabilirsiniz.
Hibrit bir yaklaşım benimsiyorum. Verilerimi bulutunda saklamayan bir şifre yöneticisi kullanıyorum. Bunun yerine, kasamın kendi kopyasını bilgisayarımda ve kendi kontrol ettiğim bir bulut sürücüsünde tutuyorum. Bunu, iCloud veya Dropbox gibi bir bulut hizmeti kullanarak yapabilirsiniz. Bu yöntemler de kusursuz değildir, ancak bilgisayar korsanları tarafından hedef alınma olasılığı bir şirketin veri tabanından daha düşüktür.
Bir bilgisayar korsanının bakış açısına göre bu, büyük ikramiyeyi kazanmanın eşdeğeridir.
LastPass veya 1Password gibi bir şifre yöneticisi kullandığınızda, bankacılık, sağlık devası, e-posta ve sosyal ağ hesapları dahil olmak üzere kullandığınız siteler ve uygulamalar için tüm kullanıcı adlarını ve şifreleri içeren bir liste saklar. Kasa adı verilen listeyi çevrimiçi bulutunda tutar, böylece parolalarınıza herhangi bir cihazdan kolayca erişebilirsiniz. LastPass, bilgisayar korsanlarının şirketin sunucularından her müşterinin kullanıcı adı ve parola listesinin kopyalarını çaldığını söyledi.
Bu ihlal, parolalarınızın deva’sını almak için tasarlanmış bir güvenlik ürününün başına gelebilecek en kötü şeylerden biriydi. Ancak bir sonraki bariz adım olan LastPass’i kullandıysanız tüm parolalarınızı değiştirmek dışında, bu fiyaskodan öğrenebileceğimiz önemli dersler var; güvenlik ürünlerinin, özellikle hassas verilerimizi bulutta depoladıklarında kusursuz olmadığı da dahil.
İlk olarak, ne olduğunu anlamak önemlidir: Şirket, davetsiz misafirlerin bir LastPass çalışanından çalınan kimlik bilgilerini ve anahtarları kullanarak bulut veritabanına erişim sağladığını ve on milyonlarca müşterinin doğrulama kasalarının bir kopyasını ele geçirdiğini söyledi.
İhlalle ilgili ayrıntıları 22 Aralık’ta bir blog gönderisinde yayınlayan LastPass, kullanıcılarına bilgilerinin muhtemelen güvende olduğu konusunda güvence vermeye çalıştı. Giriş yaptıkları sitelerin web sitesi adresleri gibi insanların kasalarının bazı bölümlerinin şifrelenmemiş olduğunu, ancak kullanıcı adları ve şifreler dahil olmak üzere bu hassas verilerin şifrelendiğini söyledi. Bu, bilgisayar korsanlarının birinin kullandığı bankacılık web sitesini bilebileceği, ancak o kişinin hesabına giriş yapmak için gereken kullanıcı adı ve şifreye sahip olamayacağı anlamına gelir.
En önemlisi, kullanıcıların LastPass kasalarının kilidini açmak için ayarladıkları ana parolalar da şifrelenmişti. Bu, bilgisayar korsanlarının her bir kasadaki geri kalan parolaları almak için şifrelenmiş ana parolaları kırması gerektiği anlamına gelir; ki bu, insanlar benzersiz, karmaşık bir ana parola kullandıkları sürece bunu yapmak zor olacaktır.
LastPass’ın CEO’su Karim Toubba, röportaj yapmayı reddetti, ancak e-postayla gönderilen bir açıklamada, olayın şirketin hassas kasa verisini şifreli ve güvenli tuttuğunu söylediği sistem mimarisinin gücünü gösterdiğini yazdı. Ayrıca, “iyi parola hijyeni uygulama”nın kullanıcıların sorumluluğunda olduğunu söyledi.
Pek çok güvenlik uzmanı, Bay Toubba’nın iyimser dönüşüne katılmadı ve her LastPass kullanıcısının tüm parolalarını değiştirmesi gerektiğini söyledi.
Güvenlik şirketi Barracuda’nın yöneticilerinden Sinan Eren, “Durum çok ciddi. “Bütün bu yönetilen parolaların ele geçirilmiş olduğunu düşünürdüm.”
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis, davetsiz misafirlerin insanların kullandığı web sitesi adreslerinin listelerine erişmesinin önemli olduğunu söyledi.
“Diyelim ki peşinden geliyorum,” dedi Bay Ellis. “Bilgilerini kaydettiğiniz tüm web sitelerine bakabilir ve bunu bir saldırı planlamak için kullanabilirim. Her LastPass kullanıcısı bu veriyi artık bir rakibin elinde tutuyor.”
Çevrimiçi ortamda daha güvenli kalmak için hepimizin bu ihlalden çıkarabileceği dersler şunlardır.
Önleme tedaviden daha iyidir.
LastPass ihlali, bir ihlal gerçekleşmeden önce en hassas hesaplarımız için güvenlik önlemleri oluşturmanın, sonrasında kendimizi korumaya çalışmaktan daha kolay olduğunu hatırlatır. Parolalarımız için hepimizin izlemesi gereken en iyi uygulamalardan bazıları şunlardır; Bu adımları önceden atmış olan herhangi bir LastPass kullanıcısı, bu son ihlal sırasında nispeten güvende olabilirdi.
Her hesap için karmaşık, benzersiz bir parola oluşturun. Güçlü bir parola uzun ve birisinin tahmin etmesi zor olmalıdır. Örneğin, şu cümleleri alın: “Benim adım Inigo Montoya. Babamı öldürdün. Ölmeye hazırlan.” Ve her kelimenin baş harflerini ve I’ler için bir ünlem işareti kullanarak bunları şuna dönüştürün: “Mn!!m.Ykmf.Ptd.”
Parola yöneticisi kullananlar için bu pratik kural, ana parolanın kasanızın kilidini açması açısından büyük önem taşır. Bu şifreyi asla başka bir uygulama veya site için tekrar kullanmayın.
En hassas hesaplarınız için bir iki faktörlü kimlik doğrulama ile ekstra güvenlik katmanı . Bu ayar, hesaplarınıza giriş yapmadan önce kullanıcı adınıza ve parolanıza ek olarak girilmesi gereken geçici bir kod oluşturmayı içerir.
Çoğu bankacılık sitesi, cep telefonu numaranızı veya e-posta adresinizi oturum açmak için geçici bir kod içeren bir mesaj alacak şekilde ayarlamanıza izin verir. Twitter ve Instagram gibi bazı uygulamalar, geçici kodlar oluşturmak için Google Authenticator ve Authy gibi sözde kimlik doğrulayıcı uygulamaları kullanmanıza izin verir. .
Büyük bir şeyi açıklığa kavuşturalım: Herhangi bir şirketin sunucuları ihlal edildiğinde ve müşteri verileri çalındığında, sizi koruyamamak şirketin hatasıdır.
LastPass’ın olaya verdiği tepki, sorumluluğu kullanıcıya yüklüyor, ancak bunu kabul etmek zorunda değiliz. “İyi parola hijyeni” uygulamanın, bir ihlal durumunda hesabı daha güvenli tutmaya yardımcı olacağı doğru olsa da, bu, şirketi sorumluluktan muaf tutmaz.
Bulut için riskler var.
LastPass’in ihlali can sıkıcı gibi görünse de, genel olarak şifre yöneticileri kullanışlı bir araçtır çünkü birçok internet hesabımız için karmaşık ve benzersiz şifreler oluşturmayı ve saklamayı daha kolay hale getirirler.
İnternet güvenliği genellikle kolaylık ile riskin tartılmasını içerir. Bugcrowd’dan Bay Ellis, şifre güvenliğiyle ilgili zorluğun, en iyi uygulamalar çok karmaşık olduğunda, insanların varsayılan olarak daha kolay olanı seçmesi olduğunu söyledi – örneğin, kolayca tahmin edilebilir şifreler kullanmak ve bunları siteler arasında tekrarlamak.
Bu yüzden şifre yöneticilerini silmeyin. Ancak, LastPass ihlalinin, bir şirkete hassas verinizi kendi bulutunda depolaması için emanet ederken her zaman risk aldığınızı gösterdiğini unutmayın;
Barracuda’dan Eren Bey, veritabanını kendi bulutlarında depolayan parola yöneticilerini kullanmamanızı ve bunun yerine parola kasanızı KeePass gibi kendi cihazlarınızda depolayan birini seçmenizi önerir.
Bir çıkış stratejiniz olsun.
Bu da bizi, herhangi bir çevrimiçi hizmete uygulanabilecek son tavsiyeme getiriyor: Ayrılmak istemenize neden olan bir şey olması durumunda verinizi – bu durumda şifre kasanızı – çıkarmak için her zaman bir planınız olsun.
LastPass için şirket, web sitesinde kasanızın bir kopyasını bir elektronik tabloya aktarma adımlarını listeler. Ardından, bu parola listesini farklı bir parola yöneticisine aktarabilirsiniz. Veya elektronik tablo dosyasını kendinize saklayabilir, kullanmanız için güvenli ve uygun bir yerde saklayabilirsiniz.
Hibrit bir yaklaşım benimsiyorum. Verilerimi bulutunda saklamayan bir şifre yöneticisi kullanıyorum. Bunun yerine, kasamın kendi kopyasını bilgisayarımda ve kendi kontrol ettiğim bir bulut sürücüsünde tutuyorum. Bunu, iCloud veya Dropbox gibi bir bulut hizmeti kullanarak yapabilirsiniz. Bu yöntemler de kusursuz değildir, ancak bilgisayar korsanları tarafından hedef alınma olasılığı bir şirketin veri tabanından daha düşüktür.