Parola yöneticisi kullanmak güvenli mi? Sorusunu duymak şaşırtıcı olmasa da ”Siber güvenlik uzmanlarının büyük çoğunluğu, parola yöneticilerinin gerçekten parolalarınızı korumanın en güvenli yolu olduğu konusunda hemfikir.
Bununla birlikte, 2021’in en iyi şifre yöneticilerinin güvenilirliğine rağmen, medyanın en son güvenlik açığını veya güvenlik ihlalini ele almasından sonra sektör bir bütün olarak her zaman darbe alır. Bu nedenle, bu makale parola yöneticilerine korku taciz etmeden ama aynı zamanda onları putlaştırmadan bakacaktır.
Tüm önemli sorular aşağıda ele alınacaktır. Parola yöneticileri parolalarınızı nasıl korur? Parola yöneticisi kullanmanın riskleri nelerdir? Ve son olarak, bir şifre yöneticisi kullanmalı mısınız? Daha fazlasını öğrenmek için okumaya devam edin. Bir başka makalemiz olan Casus yazılım nedir ve nasıl kaldırılır? konumuza da göz atabilirsiniz.
Parola Yöneticileri Parolalarınızı Nasıl Korur?
Parola yöneticilerinin parolalarınızı güvenceye almasının birden çok yolu vardır bu yüzden kullanımı çok güvenlidir. Her şey gibi saldırıya uğrayabilecek olsalar bile, gerekli önlemleri almanız koşuluyla böyle bir senaryo pek olası değildir. Saldırganın sosyal mühendislik veya kimlik avı kullanması, güçlü bir parolayı gerçekten kırmaktan çok daha kolaydır.
Peki, şifre yöneticilerini bu kadar güvenli yapan nedir?
Her şeyden önce, parola yöneticileri parolalarınızı korumak için şifreleme kullanır. AES 256-bit, olağanüstü gücü nedeniyle ordu tarafından da kullanılan endüstri standardıdır. Bu şifreyi kırmak bir ömürden daha uzun sürer, bu yüzden ddos saldırısının sıfıra yakın başarı şansı vardır.
Ayrıca, şifre yöneticileri, sıfır bilgi mimarisi kullanarak verilerinizi kendilerinden korur. Bu, şifrelerinizin cihazınızdan çıkmadan önce şifreleneceği anlamına gelir. Böylece, şirketin sunucusuna girdiklerinde, sağlayıcının bunları deşifre edecek hiçbir aracı yoktur.
Çoğu parola yöneticisi, kasanıza erişmek için bir ana parola kullanmanızı isteyecektir. Güvenliyse, şifrelerinizin geri kalanının yeterince güvenli olduğundan emin olabilirsiniz. Bunu söyledikten sonra, veritabanı güvenliğinizi artırmak için iki faktörlü kimlik doğrulama (2FA) kullanmanız önerilir. Parmak izi veya yüz taraması gibi biyometrik kimlik doğrulama kullanmak da iyi bir fikirdir.
Son olarak, parola yöneticilerinin parolalarınızı korumayı amaçlayan birçok özelliği vardır. Bazıları size şifreleri düzenli olarak değiştirmenizi ve güçlerini değerlendirmenizi hatırlatacaktır. Diğerleri, girişlerinizden herhangi birinin çevrimiçi görünüp görünmediğini kontrol etmek için karanlık web’i tarayacaktır. Ve bazıları ikisini de yapacak, sonra bazıları.
Parola yöneticisi kullanmanın riskleri nelerdir?
Çevrimiçi ortamda% 100 güvende kalmanın bir yolu yok. Güvenilir bir şifre yöneticisi kullanıyor olsanız bile bilmeniz gereken bazı riskler vardır:
- Tüm hassas veriler tek bir yerde. Muhtemelen yumurtalarınızı tek sepette tuttuğunuzu duymuşsunuzdur. Bir şifre yöneticisiyle yapacağınız tam olarak budur. Bu sepet muhtemelen kredi kartı ayrıntılarını ve güvenli notları da içerecektir. Bir ihlal durumunda, tüm ödeme seçeneklerini engellemek ve tüm hesaplar için şifreleri değiştirmek, saldırganın zarar vermesi için yeterli zaman alabilir.
- Yedekleme her zaman mümkün değildir. Sunucu bozulursa, tek umudunuz sağlayıcınızın bir yedek kopya oluşturmasıdır. Cihazlarınızdan birinde kasanızı çevrimdışı tutmaya karar verirseniz, bu risk birden çok katlamayı artırır. Doğal olarak, kendi yedeğinizi korumasız bir disk sürücüsünde veya kötü korunan bulut hizmetinde tutmak da yardımcı olmaz.
- Tüm cihazlar yeterince güvenli değil. Bilgisayar korsanları, tüm girişlerinizi tek bir saldırıda almak için aynı güvenlik açığından yararlanır. Cihazınıza kötü amaçlı yazılım bulaşmışsa, ana parolayı yazmanız siber suçlulara tam erişim sağlayacaktır. Bu nedenle şifre yöneticisi kullanıcıları, riskleri azaltmak için önce tüm cihazlarının güvenliğini sağlamaya yatırım yapmalıdır.
- Biyometrik kimlik doğrulama kullanmamak. Biyometrik kimlik doğrulama, başka bir güvenlik düzeyi eklemenin harika bir yoludur. Parola yöneticinizi parmak izi veya yüz taraması isteyecek şekilde yapılandırırsanız, birinin kasanıza girme şansı Shady kadar azalır. Ayrıca, parmak izi tarayıcıya dokunmanız, bir ana şifre girmekten çok daha kolaydır.
- Kötü şifre yöneticisi. Daha zayıf şifrelemeye sahipse, az özellik sunuyorsa ve incelemeleri zayıfsa, kullanmamalısınız. Kasanızı güvence altına almak söz konusu olduğunda, ayda birkaç dolar tasarruf etmek ana önceliğiniz olmamalıdır.
- Ana parolanızı unutmak. Bunu bilen tek kişi siz misiniz ve şifre yöneticinizin sıfırlama özelliği yok mu? Bu durumda, her bir girişi tek tek kurtarmaya başlayabilirsiniz. Alternatif olarak, ana parolanızı (veya bir ipucunu) kasa gibi fiziksel olarak güvenli bir yerde saklamak isteyebilirsiniz.
Gördüğünüz gibi, risklerin bir kısmı şifre yöneticilerinin kendilerinden kaynaklanırken, diğerleri sadece kullanıcıların davranışlarından kaynaklanmaktadır. İkincisini saymazsak, bir parola yöneticisi kullanmanın pek fazla riski olmadığını görebiliriz.
Parola Yöneticisi Kullanmak Güvenli Mi?
Yukarıda listelenen tüm endişelere rağmen, iyi şifre yöneticilerinden ödün vermek son derece zordur. AES-256 şifrelemesinin kullanımı, “sıfır bilgi” tekniği ve iki faktörlü kimlik doğrulama imkanı, şifre yöneticilerini temelde şu anda mevcut olan her şeyden çok daha güvenli ve daha kolay bir seçenek haline getiriyor.
Güvenlik söz konusu olduğunda, en önemli şey senin yanında olan ana parola erişmek için tüm diğer şifreleri tane oluşturmak zorunda olduğu.
Öyleyse, güçlü olduğundan emin olun. En az 12 karakter uzunluğunda olmalı, çeşitli semboller içermeli ve tahmin edilmesi imkansız olmalıdır.
En Güvenli Şifre Yöneticisi Türü Hangisidir?
Parola yöneticilerine aşina olanlar muhtemelen üç tür hakkında bilgi sahibidir. Her biri, güvenlikteki nüanslar da dahil olmak üzere kendi artıları ve eksileri ile birlikte gelir. Tüm türleri tek tek tartışalım ve hangisinin en güvenli olduğunu bulalım.
Tarayıcı tabanlı şifre yöneticileri
- Güvenlik: güvenli
- Artıları: kullanımı çok kolay, ücretsiz
- Eksiler: tarayıcılar arası senkronizasyon yok, tümü parola oluşturmuyor, birkaç ölçü parola gücü
- Örnekler: yerleşik tarayıcı parola yöneticileri (Chrome, Firefox, Safari)
Güvenliği şifreleme ve iki faktörlü kimlik doğrulamaya indirgersek, tarayıcı tabanlı şifre yöneticileri oldukça güvenlidir . Ancak, ne kadar yakından bakarsanız, daha az güvenli tarayıcı şifre yöneticileri görünür.
Yeni başlayanlar için, tarayıcı tabanlı şifreler belirli bir tarayıcıda çalışır. Safari’den Chrome veya Firefox’a geçmeye karar verirseniz, dışa ve içe aktarmada sorun yaşayabilirsiniz. Dahası, kasanızı farklı tarayıcılarda senkronize etmenin bir yolu yoktur. Tüm bunlar genellikle şifrelerinizin güvenli olmayan bir yerde saklanmasına yol açar.
İkinci olarak, tüm tarayıcı tabanlı parola yöneticilerinin bir parola oluşturucusu yoktur . Biri olmadan, bunları manuel olarak oluşturmanız gerekecektir.
Son olarak, tarayıcı şifre yöneticileri zayıf veya yeniden kullanılan şifreleri tespit edemez . Giriş bilgilerinizin karanlık web’de mevcut olup olmadığını mı öğrenmek istiyorsunuz? Bunu ayrı bir araçta manuel olarak kontrol etmeniz gerekecektir.
Bulut tabanlı şifre yöneticileri
- Güvenlik: Yüksek
- Avantajlar: her yerden çok rahat, kolay erişim, bulut yedekleme, internete bağlı
- Eksiler: kasa güvenliğiniz üzerinde kontrol yok, üçüncü taraf sunucular verilerinizi depolar
- Örnekler: Zoho Vault, LastPass
Tarayıcı tabanlı olanlarla karşılaştırıldığında, bulut tabanlı şifre yöneticileri, güvenliği artıran daha fazla özelliğe sahip oldukları için daha güvenlidir.
Başlangıç olarak, çoğu bulut tabanlı şifre yöneticisi kasanız için bir yedekleme sağlar. Sunucuya bir şey olması durumunda, veritabanınızın yeni bir sürümünü kurtarabilirsiniz.
Ayrıca, bulut tabanlı parola yöneticileri yalnızca parolaları değil, notları ve kredi kartı ayrıntılarını da saklamanıza olanak tanır. Bu şekilde tüm hassas bilgileri koruyabilirsiniz.
Ek olarak, bulut tabanlı parola yöneticileri yeniden kullanılan ve zayıf parolaları algılar, güçlü parolalar oluşturur ve hesaplarınızın sızdırılıp sızdırılmadığını kontrol eder. Aynı hizmeti kullanmayanlarla bile kasa girişlerinizi kolayca paylaşmanıza olanak tanırlar.
Son olarak, bulut tabanlı parola yöneticileri birden çok tarayıcı ve işletim sistemi üzerinde çalışacaktır. Bu, veritabanınızdan güvenli bir şekilde bir şeyi nasıl kopyalayıp yapıştıracağınızı düşünmek zorunda kalmayacağınız anlamına gelir.
Masaüstü tabanlı şifre yöneticileri
- Güvenlik: en yüksek*
- Artıları: en güvenli seçenek, internet bağlantısı gerektirmez
- Eksileri: diğer cihazlardan erişim yok, karmaşık şifre paylaşımı, manuel yedeklemeler
- Örnekler: Bitwarden, KeePass, 1Password, Dashlane
Güvenlik puanının yanında bir yıldız işareti fark etmiş olabilirsiniz. En Çünkü masaüstü tabanlı şifre yöneticileri olabilir en güvenli, ama bu sadece kullanıcı bağlıdır.
Bu parola yöneticileri, verilerinizi cihazlarınızdan birinde yerel olarak depolar. Bu cihazın internete bağlı olması gerekmiyor, bu yüzden onu hackleme şansı neredeyse sıfır olabilir. En olası (ve yine de pek olası olmayan) senaryo, yanlışlıkla bir keylogger kurmanız ve ana parolanızı yazmanızdır. Ancak bu, biyometrik kimlik doğrulama kullanılarak önlenebilir.
Açıkçası, böyle bir kurulumun, masaüstü tabanlı şifre yöneticisinin doğasından kaynaklanan eksileri vardır. Yeni başlayanlar için düzenli yedeklemelerle ilgilenmeniz gerekecek. Cihazınız onarılamaz bir şekilde bozulursa, kasanıza veda edebilirsiniz. Dahası, şifrelerinize diğer cihazlardan erişemeyeceksiniz ve bunları paylaşmak da kolay olmayacak.
Ya şifre yöneticiniz saldırıya uğrarsa?
Çoğu durumda, saldırıya uğramak, tüm parolalarınızın yanlış ellere geçmesine neden olmaz. Ancak, en güvenli parola yöneticisi bile herkesin göz ardı ettiği ciddi bir güvenlik açığına sahip olabilir.
Parolalarınızın yerel olarak şifrelenmiş olmasıyla başlayalım. Parola yöneticilerinin verilerinizin şifresini çözme yolu yoktur çünkü sıfır bilgi politikası uygularlar. Dolayısıyla, bir bilgisayar korsanı kasanıza izinsiz girerse, yalnızca şifrelenmiş bilgileri görecektir.
Saldırganın fiziksel cihazınızı çalarak, kötü amaçlı yazılım kullanarak veya tuş vuruşlarını günlüğe kaydederek zorla girme şansı vardır. O zaman bile, ana şifrenize ihtiyacı olacaktır. Parmak izi veya yüz kimliği gibi biyometrik verileri kullanırsanız, başarılı bir saldırı şansı son derece düşük olur.
Saldırgan cihazınıza kötü amaçlı yazılım yüklerse, yapabileceğiniz en iyi şey işletim sistemini yeniden yüklemek ve kasanızdaki tüm parolaları değiştirmektir. Ayrıca, mümkün olan her yerde 2FA’yı açtığınızdan emin olun. Bu şekilde, kimlik doğrulama uygulamasına alışılmadık bir istek geldiğinde fark edeceksiniz.
Parola yöneticisi saldırıları
Dikkate değer şifre yöneticisi saldırılarının listesi oldukça kısadır. Aksi takdirde, bugün sahip oldukları itibara sahip olamazlar. Bu nedenle, herhangi bir hasara yol açmamış olabilecek güvenlik açıklarını da ekleyeceğim.
- LastPass, 2015 yılında sunucularına bir izinsiz giriş tespit etti . Bilgisayar korsanları, diğer bilgilerin yanı sıra kullanıcıların e-posta adreslerini ve şifre hatırlatıcılarını aldı. Bu, bilinen bir zarara neden olmadı çünkü zayıf bir ana şifre kullansanız ve saldırganlar şifreyi kırsalar bile, yine de erişimi e-posta ile doğrulamaları gerekecektir.
- 2016 yılında, beyaz şapkalı hackerlar ve güvenlik uzmanları tarafından çok sayıda güvenlik açığı rapor edildi. Etkilenen şifre yöneticileri arasında LastPass, Dashlane, 1Password ve Keeper vardı. Çoğu durumda, saldırganın, kullanıcıyı bazı verileri ifşa etmesi için kandırmak için yine de kimlik avı kullanması gerekir.
- LastPass, 2017’de tarayıcı eklentilerinde ciddi bir güvenlik açığı bildirdi ve abonelerinden bunu kullanmaktan kaçınmalarını istedi. 24 saatten daha kısa sürede düzeltildi. Keeper ve OneLogin’de de kayıplara neden olmayan sorunlar vardı.
- 2019’da Dashlane, LastPass, 1Password ve KeePass kodlarında ciddi güvenlik açıkları bulundu. Bu, Windows 10 kullanıcıları için ve yalnızca doğru kötü amaçlı yazılım yüklenmişse geçerlidir. Bir kez daha, kullanıcılar bildirilen herhangi bir can kaybına uğramadı.
Gördüğünüz gibi, bu şifre yöneticisi saldırılarının hiçbiri o kadar ciddi değildi. Elbette, güvenlik açıkları ortaya çıktı, ancak aynı zamanda zamanında düzeltildi. Ve çoğu durumda, saldırganın kasaya erişmeden önce kullanıcıdan biraz daha fazla veri alması veya cihazını tamamen ele geçirmesi gerekir. Sonuç olarak, yukarıda bahsedilen sorunların hiçbiri şifre yöneticilerinin itibarına zarar vermez.
Premium şifre yöneticileri güvende mi?
Çoğu prim şifre yöneticileri daha güvenli yoludur serbest olanlardan çoğunluğu daha. İkincisi genellikle hatalı, şüpheli şirketler tarafından geliştirilir ve hatta bazen kötü amaçlı yazılım içerir. Buna rağmen, ücretli hizmetler kadar güvenli olan kaliteli ücretsiz şifre yöneticileri vardır. Aslında, eski genellikle ücretsiz bir sürüm içerir. Bu nedenle, onları karşılaştırmak ve eksik olanı görmek iyi bir fikirdir.
Genellikle hem ücretsiz hem de premium parola yöneticileri askeri düzeyde şifreleme ve sıfır bilgi mimarisi kullanır. Bu, birisi girse bile veritabanınızı çözmenin bir yolu olmadığı anlamına gelir. Sağlayıcının ayrıca verilerinizin kilidini açmak için bir anahtarı yoktur. Bu nedenle, her şey uygun bir ana şifre, 2FA kullanmak ve cihazlarınızı kötü amaçlı yazılımlardan uzak tutmaktır.
Ücretsiz Şifre Yöneticilerinin Güvenlik Kusurları
Premium şifre yöneticisinin ek güvenliği, ek özellikler şeklinde gelir. Ücretsiz sürümler genellikle sadeleştirilir ve bazıları güvenlikle ilgili olabilecek seçeneklerden yoksundur.
Örneğin, bazı ücretsiz şifre yöneticileri, parmak izi veya yüz kimliği gibi biyometrik verileri desteklemez. Bu, her zaman ana şifrenizi girmeniz gerektiği anlamına gelir.
Ek olarak, diğer ücretsiz hizmetlerin parolalarınızı denetleme seçeneği yoktur . Kasanızın birkaç yıldan daha eski olması durumunda, bu parolalar yeterince güçlü değildir.
Dahası, karanlık bir web tarayıcısını entegre eden ücretsiz bir şifre yöneticisi bulmak zor olurdu . Aksine, premium bir şifre yöneticisi, hesaplarınızdan herhangi birinin sızdırılıp sızdırılmadığını görmek için sürekli olarak karanlık web’i kontrol eder.
En Güvenli Şifre Yöneticileri Nelerdir?
En güvenli şifre yöneticisi hizmetleri, en iyi şifre yöneticileriyle eşanlamlıdır. Sonuçta, daha az güvenli bir seçeneğin daha iyi olduğu nasıl düşünülebilir?
Dashlane ne kadar güvenli?
izim gibi 1. şifre yöneticisi, Dashlane çok güvenlidir. Askeri düzeyde şifreleme ve sıfır bilgi mimarisi kullanır. Dahası, çok sayıda çok faktörlü kimlik doğrulama seçeneği vardır. 2FA’ya ek olarak, evrensel iki faktörlü kimlik doğrulamayı (U2FA) da kullanabilirsiniz. Anahtar görevi gören bir NFC veya USB cihazı şeklinde gelir.
Biyometrik veriler söz konusu olduğunda, cihazınıza bağlı olarak hem Face ID hem de Touch ID mevcuttur. Ardından, verilerinizin çevrimiçi olarak mevcut olup olmadığını bildiren karanlık bir web tarayıcısı var. Son olarak, yerleşik bir Sanal Özel Ağ (VPN) geliyor. Trafiğinizi şifreleyecek ve 20’den fazla ülkedeki sunuculara bağlanmanıza izin verecektir.
LastPass güvenli midir?
LastPass sadece güvenli değil, aynı zamanda 2021’deki tartışmasız en güvenli şifre yöneticisi. Burada AES 256 bit şifreleme ve sıfır bilgi mimarisinden bahsediyoruz. Çok sayıda çok faktörlü kimlik doğrulama seçeneği mevcuttur. Google, Microsoft veya YubiKey gibi üçüncü taraf kimlik doğrulayıcıları da kullanabilirsiniz.
Maalesef, LastPass’in 2019’da bir ihlal yaşadığını da belirtmeliyiz. Sonuç olarak, gömülü bir kötü amaçlı kod 16 milyondan fazla kullanıcının verilerini ifşa etti. Şirket sorunu kısa sürede çözdü, ancak itibar sorgulanmaya devam ediyor.
1Password’ün güvenliği nasıl?
Daha önce bahsettiğimiz gibi, en iyi şifre yöneticisi en güvenli olana eşittir. Ve 1Password İlk 3’te. Banka düzeyinde şifreleme kullanır ve 2FA seçenekleri olarak “olduğunuz bir şeyi” (biyometrik) ve “sahip olduğunuz bir şeyi” (akıllı telefon kodu) sunar. Ayrıca hizmetinizde karanlık bir web tarayıcısı var.
1Password ayrıca oturum açmak istediğiniz bir web sitesinin 2FA’ya izin verip vermediğini ve HTTPS kullanıp kullanmadığını da kontrol eder. Bu özellik, tüm premium şifre yöneticileri arasında benzersizdir. Son olarak, sözde Seyahat Modu, yurtdışındayken telefonunuzdaki önemli verileri gizler. Kaybetmeniz durumunda bilgiler yanlış ellere geçmez.
Parola Yöneticisi Kullanmalı Mısın, Kullanmamalı Mısın?
Gerçekten bir şifre yöneticisi kullanmalısınız. Evet, kusurları ve zayıflıkları var. Ancak yine de aynı zayıf parolaları tekrar kullanmaktan ve bunları akıllı telefonunuza not olarak yazmaktan daha iyidir ve işten sonra çocuklarınız için bir oyun alanı haline gelir. Hala iki faktörlü kimlik doğrulama kullanmıyorsanız bu özellikle tehlikelidir.
Elbette, şifre yöneticinizin arkasındaki şirkete güvenmelisiniz. Ancak bu sorun olmamalı çünkü çoğu kusursuz bir üne sahip. Ayrıca, insanların fazla düşünmeden yükledikleri bazı şüpheli uygulamalardan veya tarayıcı eklentilerinden çok daha az risklidirler.
Dahası, bir parola yöneticisi verilerinizi aileniz ve arkadaşlarınızla paylaşmanıza izin vererek daha güvenli hale getirir. Giriş bilgilerinizi bir e-postaya veya şifresiz bir mesajlaşma programına yazmaktan çok daha iyi bir yoldur.
Sonuç olarak, en değerli bilgilerinizi koruyan yalnızca şifre yöneticisi değildir. Kötü amaçlı yazılımların cihazınıza bulaşmasını önlemek için güvenilir bir anti-virüs kullanmalısınız. Yazılımınızı güncel tutmak, yüklemek üzere olduğunuz uygulamaları ve uzantıları iki kez kontrol etmek gibi, daha az önemli değildir.
Parola Yöneticisi Kullanmak Güvenli Mi?
Parola yöneticisi kullanmak güvenli mi? sorusunu sizler için yanıtladık. Siz hangi parola yöneticisini kullanıyorsunuz deneyimlerinizi bizimle yorumlarda paylaşım.
