Şifreler hem internet hem de hesaplamanın bir temelini oluşturur. Yeni kimlik doğrulama protokolleri ortaya çıkmış olsa bile – pasiflerden biyometriye kadar – çoğunun, harf, sayılar ve sembollerden oluşan bir kod kullanarak günlük hesaplarımıza ve web sitelerimize giriş yapmak için şifreleri kullanıyoruz.
Sorun şu ki, şifre gerçekten zamanının bir ürünüydü ve gerçekten modern dijital çağa ait değil. Siber güvenlik tehditleri, onları yaratmak ve güvende tutmak için en iyi uygulamaları takip etseniz bile, onlardan gerçekten bir sorumluluk haline geldiklerini koruyabilecek bir şifrenin çok ötesinde gelişmiştir. Durumda: Araştırmacıların milyonlarca değil, ancak en büyük olanlardan biri olan en son veri ihlali haberi milyarlar web üzerinde yüzen şifreler.
İnternette on altı milyar şifre sızdı
CyberNews Cuma günü hikayeyi kırdı: Bu yıl, outlet'in araştırmacıları internette maruz kalan 30 veri kümesi buldular, her biri “on milyondan 3,5 milyardan fazla rekor” içeriyor. Araştırmacılara göre, web'de kolektif 16 milyar şifre buldular.
Dahası, bu şifrelerin hepsi yeni sızdırılıyor. Hiçbiri önceki veri ihlallerinde rapor edilmedi, Mayıs ayında korunmasız bir veritabanında bulunan yaklaşık 180 milyon şifre için tasarruf etmedi. Araştırmacılar, birkaç haftada bir yeni “büyük” veri kümeleri bulmaya devam ettiklerini söylüyorlar, bu nedenle keşifler yavaşlama belirtisi göstermiyor.
Araştırmacılara göre, verilerin yapılandırılma şekli, sızdırılan kimlik bilgilerinin, sadece bu tür bilgiler için cihazlarınızı kazıyan bir kötü amaçlı yazılım türü olan Infostealers aracılığıyla çalındığını göstermektedir. Kötü aktörler, Apple, Google, GitHub, Facebook, Telegram ve Devlet Hizmetleri dahil olmak üzere büyük hesaplar için giriş ayrıntılarını elde edebildiler. CyberNews'in açıkça belirttiği gibi, bu, bu şirketlerin kendilerinin veri ihlaline maruz kaldığı anlamına gelmez; Aksine, veritabanı, bu şirketlerin giriş sayfaları için, muhtemelen kötü amaçlı yazılım kullanılarak tek tek cihazlardan kazınan oturum açma URL'leri içeriyordu.
Bazı kimlik bilgileri, çerezler ve oturum jetonları da dahil olmak üzere kullanıcı adları ve şifrelerden başka ek veriler de içeriyordu. Bu, bu bilgilerin belirli hesaplar için iki faktörlü kimlik doğrulama (2FA), özellikle şifrenizi değiştirdikten sonra çerezleri sıfırlamayanlar için kullanabileceği anlamına gelir.
Bu hikayede gümüş bir astar varsa, sızdırılan 16 milyar şifrenin 16 milyar bireysel rekoru temsil etmemesi gerçeğidir; Biraz örtüşme var, ancak ne kadar açık olmasa da: 16 milyardan az bireysel hesabın bu ihlallerden etkilendiğini söylemek güvenli olsa da, kesin sayıyı bilmek de zor.
Kötü aktörler bu verilerle ne yapabilir?
Her şeyden önce, hesaplarınız yalnızca bir şifre tarafından korunuyorsa ve yakın zamanda şifrenizi değiştirmediyseniz, kötü bir aktör hesabınıza erişmek için bu sızdırılmış şifre veritabanını kullanabilir.
Ancak sonuçlar bunun ötesine geçer. Daha önce belirtildiği gibi, sızdırılmış kurabiyeler ve oturum jetonları daha zayıf 2FA ile hesaplara girmek için kullanılabilir. Hesabınız şifrenizi değiştirdikten sonra çerezleri sıfırlamazsa, 2FA sistemini uygun 2FA kodunu veya kimlik bilgilerini sağladıklarını düşünmeye kandırabilirler. Bu bilgileri kimlik avı şemalarında da kullanabilirler: bilgisayar korsanları, 2FA kod oluşturmayı tetiklemek için şifrenizi kullanabilir. Kod sonuna geldiğinde, sizi teslim etmeye çalışarak, potansiyel olarak söz konusu hesabın arkasındaki şirket olarak poz vermeye çalışabilirler. Kodu gönderirseniz ve ne zaman gönderirseniz, hesabınıza erişim kazanırlar.
Neden parolaları tamamen kullanmayı bırakmanın zamanı geldi?
Bu düzeyde sofistike (ve rutin) veri ihlali, şifre birincil dijital güvenlik aracı olarak popüler olarak kullanıldığında bir şey değildi. Yıllarca, teknoloji ve siber güvenlik uzmanları, hesaplarınızı güvenli ve güvenli tutmak için güçlü ve benzersiz şifrelerin, şifre yöneticisi araçlarının ve 2FA'nın bir kombinasyonunu kullanmanın önemini vaaz etmişlerdir. Bunların hepsi bugün hala önemlidir, ancak kimlik bilgilerinizi doğrudan cihazlarınızdan kazıyabilecek kötü amaçlı yazılımlar olduğunda, bu taktikler artık kurşun geçirmez görünmüyor.
Gerçek şu ki, çalınabilecek bir şeye dayanan bir güvenlik sistemi 2025'te güvenli bir sistem değil. İşlerin değişmesi gerekiyor – ve neyse ki öyle.
Passeyler çok daha güvenlidir
İleride, passeyleri çok daha ciddiye alma zamanı. Passeyler, şifrelerin aksine, hırsızlık riski altında değildir ve kötü aktörler sizi paskayınızı onlara göndermeye kandıramazlar. Teknoloji, bir akıllı telefon gibi kişisel olarak sahip olduğunuz bir cihaza bağlı ve güçlü kimlik doğrulamasının arkasına kilitlendi. Yüz taraması, parmak izi taraması veya söz konusu kişisel cihaza giriş girişi olmadan, hiç kimse hesabınıza girmez.
Şimdiye kadar ne düşünüyorsun?
Passkeyler, hem şifrelerin hem de 2FA'nın en iyi kısımlarıyla birleşir: akıllı telefonunuzla (bir şifre yöneticisi ile otomatik olarak otomatik olarak hareket etmek gibi) kendinizi hızlı bir şekilde doğruladığınız için uygundurlar, ancak 2FA ile oturum açmak için ikincil bir kimlik doğrulama yöntemine ihtiyaç duyduğunuza benzer şekilde kişisel cihazın hesabınıza erişmesini gerektirir.
Giderek daha fazla şirket, Apple, Google, Facebook, Microsoft ve X dahil olmak üzere bir kimlik doğrulama biçimi olarak kabul etmeye başlıyor. Hesaplarınızdan herhangi biri paskayı destekliyorsa, bunları ayarlamanızı şiddetle tavsiye ederim. Bu şekilde, bir sonraki kaçınılmaz veri ihlali meydana geldiğinde korunacaksınız.
Passeyleri kabul etmeyen hesaplar için ne yapmalı
Tabii ki, tüm hesaplar şu anda passeyleri kullanamaz. Bu durumlarda, parola güvenliğinizi elinizden gelenin en iyisini yapmanız gerekir.
İlk olarak, hesaplarınızın her birinin güçlü ve benzersiz bir şifreye sahip olduğundan emin olun. Bu, bir insan ya da bilgisayar tarafından kolayca tahmin edilemeyen bir şey ve daha önce başka bir hesap için kullanmadığınız bir şey anlamına gelir. Şifrelerinizi geleneksel güvenlik tavsiyesi önerdiği sık sık değiştirmenize gerek olmasa da, haberler göz önüne alındığında, parolalarınızı her ihtimale karşı yenilemek isteyebilirsiniz.
İyi bir şifre yöneticisinin geldiği tüm bu güçlü ve benzersiz şifreleri hatırlamak imkansızdır. Bu hizmetler şifre veritabanınızı korumak için güçlü şifreleme kullanır – hatırlamanız gereken her şey, şifre yöneticisine erişmek için kullandığınız güçlü ve benzersiz şifredir ve uygulama geri kalanını hatırlayabilir. Bu hizmetlerin bazıları, Authenticator kod üretimi gibi başka araçlarla da geliyor, bu yüzden yatırıma değer. PCMAG, elle test edilmiş öneriler arıyorsanız, 2025 için en iyi şifre yöneticilerinin bir listesine sahiptir.
Kimlik doğrulayıcılardan bahsetmişken, onu destekleyen her hesap için 2FA kurun – şu anda çoğu olmalıdır. Passeyler en güçlü kimlik doğrulama şekli olsa da, 2FA şifrenizin sızdırılması durumunda hala güvenliğinizi artırır. Bir güvenlik anahtarı gibi kod veya kimlik doğrulayıcı aracı olmadan, kötü aktörler, elindeki şifrenizle bile hesabınıza erişemez.
Son olarak, daha fazla web sitesi ve şirket her zaman (bu haftanın başlarında Facebook dahil) passeyler için destek ekleyerek, opsiyon için hesaplarınızı izlemeye devam edin ve mümkün olan en kısa sürede geçiş yapın. Orada güvende kalın.
Bir yanıt yazın