2015'te İnternette Şifrenizin Bir Önemi Kalmayacak
Güvenlik uzmanları internette işlem yapılırken istenilen kullanıcı adı ve şifrelerin artık 2015'te bir öneminin kalmayabileceği tahmininde bulunuyor. Hatta bir şirket kalp atışlarına göre kullanıcıyı internet hesaplarına sokan bir sistem dahi geliştirdi. Bu, 1690'lı yılların başından bu yana 'Gerçekten sen misin?' testi yarışında yer alan güvenlik uzmanlarının tahminleri ve umutları. O zamandan bu yana şifreler hem kullanıcılar hem de güvenlik uzmanları için bir sıkıntı kaynağı oldu. Sürekli unutulan veya çalınan şifreler sorunlara neden oldu. Bu hafta bir Rus çetesinin bir milyondan fazla kullanıcı giriş bilgisini ele geçirmesi de bunun son örneği. Verizon'un 2014 Veri İhlali İncelemeleri Raporu'na göre her üç veri ihlalinin ikisinin nedeni zayıf ya da ya da çalınan şifreler. Ayrıca daha güçlü şifreler oluşturmanın da artık çok faydası bulunmuyor. Araştırmacılar bir internet sitesinde şifre oluşturma esnasında ne kadar şart getirilirse – belli uzunlukta, büyük-küçük harf kullanımı gibi— insanların daha fazla zayıf şifre oluşturduklarını söylüyor. 2012 yılında yapılan bir araştırmaya göre ise insanların yalnızca üçte biri 10'dan fazla farklı şifreleri kullanırken yüzde 38'i ise yeni şifre oluşturmak yerine eski bir şifrelerini kullanmayı tercih ediyor. Teknoloji sektörüne şirketler sahtekarları engellemek için yeni ürünleri ile müşterileri çekmeye çalışıyor. Şirketler sanal suçlardan para kazanmaya çalışıyor. İnternet güvenlik şirketi McAffee'ye göre sanal suç sorununun global maliyetinin 445 milyar dolara yükselmesi bekleniyor. Getirilen çözümler içerisinde kullanıcılara görünmez olan yazılımlar zaman ve mekan gibi faktörleri izliyor ve kullanıcıların klavyeye basışını, farelerin hareket ettirişini izliyor; yüzleri, gözleri, sesler ve hatta kalp atışlarını tarayan biyometrik tarayıcıları üretiliyor. Şimdi ise şifrelere alternatifler geliştirmek için çalışan FIDO Birliği, Şubat ayında yeni online doğrulama standartları için bir taslak yayınladı. Birlik bu taslağın nihai versiyonunu da bu yılın sonunda yayınlamayı planlıyor. Grubun üyeleri içerisinde Google, Bank of America, MasterCard, Samsung ve PayPal gibi devler de yer alıyor. FIDO Birliği Başkanı ve ortak kurucusu Michael Barrett, 2015'e kadar internet kullanıcılarının büyük bir kesiminin eski gelenek kullanıcı adı ve şifre yöntemini terk ederek biyometrik ve tek seferlik güvenlik anahtarları gibi yeni yöntemlere geçeceğini söyledi. Barrett, özellikle sektördeki büyük oyuncuların yeni standartlara geçmesiyle bu süreceğin hızlanacağının altını çiziyor. Daha önce PayPal'da bilgi güvenlik uzmanı olarak görev yapan Barrett açıklamasının devamında, 'Şifreler… 60 yıllarda efsane idi.' dedi. Mahremiyet savunucuları şifrelerin sıkıntı nedenlerinden birisinin aslında bir avantaj olduğunu söylüyor. Şifreler belirli periyodlar ile değiştirilebilir. Eğer bir saldırgan sizin şifrenizi öğrenirse bu şifreyi yenisi ile değiştirebilirsiniz. Ancak kap atışınız ya da parmak iziniz her zaman aynı kalır. Ancak şifreleri sanal suçluların hedefine sokan şey şifrelerin hesaplanabilir olması. Bir sanal soyguncu hedefe bağlı olarak binlerce hatta milyonlarca kullanıcı giriş bilgisini öğrenebilir. Bir sahtekar için ise biyometrikler daha zor bir engel. Bir hırsızın, kişinin parmak izinin sahtesini yapması gerekiyor ya da fark edilmeksizin bir kişinin kalp atışını kaydetmesi. Her ikisi de bireysel bazdaki tehlikeler. Barrett, biyometrik güvenliğe ve diğer şifre alternatiflerine karşı saldırılar için bize ya da cihazlarımıza fiziksel erişimin gerekli olduğunu söylüyor. Barrett, 'Bir insan günde kaç kez saldırıya uğrayabilir? İki ya da üç? Kötü birinin açısından bakarsak bu çok da ilginç değil' diyor. Bazı şirketler içinse şifreler çoktan tarih olmuş durumda. Usher isimli yazılımı da yapan Virginia merkezli yazılım şirketi MicroStrategy başkanı Jonathan Klein yaptığı açıklamada, 'Kullanıcı adı ve şifrelerini ortadan kaldırdık.' diyor. Usher uygulaması ses ve yüzünüzü tarıyor, cihazın kendisini doğruluyor ve cihazın konumlarını takip ediyor. Böylece insanlar hassas sistemlere belli mekanlarda, belli sınırlarda ya da kısıtlı bir zaman diliminde girebiliyor. Daha sonra uygulama bir QR kodu üretiyor. Kullanıcı bu kodu internet üzerinden okutarak yaptığı işlemlere onay veriyor. Klein, MicroStrategy'nin üç bin çalışanının da bu sistemi kullandığını söyledi. Şirketin müşterileri arasında Northrop Grumman, bankalar ve sigorta şirketleri bulunuyor. Georgetown Üniversitesi de bu yaz teknolojiyle ilgili pilot çalışması başlattı. Toronto merkezli Bionym şirketinin ürettiği Nymi ise 79 dolara ön siparişe çıkan bir bileklik. Bu bileklik kalbinizin elektrokardiyografik aktivitesini ölçüyor ve elde ettiği verileri bilgisayarlardan otomobil kapılarına kadar senkronize ediyor. Böylece insanların giriş çıkışlarını kolaylaştırıyor. Şirketin CEO'su Karl Martin 100 bin civarında ön sipariş aldığını ve 2015'te bu cihaza benzer daha fazla cihazın satışa çıkacağını söylüyor. O zamana kadar daha güvenli işlemler için çift doğrulama yöntemini kullanabilirsiniz. Bu yöntemde internet siteleri kullanıcının mail adresine ya da akıllı telefonuna güvenlik kodu gönderiyor. Sayfaya giriş yapmak isteyen kişi kullanıcı adı ve şifresine ek olarak bu güvenlik kodunu giriyor. Her ne kadar mükemmel olmasa da ve hackerlar bazen bu sistemi de aşabiliyor olsa da ikinci bir güvenlik almamaktan çok daha iyi. Özellikle de insanların çoğunun şifrelerini değiştirmediğini düşünürseniz. WSJ
