Kayıt olduğunuz her sitedeki kullanıcı isim ve şifrenizi hatırlıyor musunuz? İddiaya girerim ki hayır. Ama merak etmeyin bu ayıp değil. Çünkü herkes aynı durumda.
Bu nedenle insanlar şifrelerini Post-It kağıtlara yazıyorlar ve bilgisayar ekranlarının üstüne yapıştırıyorlar. Yine bu nedenle, Internet Explorer ya da Firefox gibi tarayıcılar, gezdiğiniz sitelerin sizin bilgilerinizi hatırlamanız için yardım öneriyor. Ama tabi, bilgisayarınızı kullanan ya da çalan kişilere de yardımcı olabilir. Sizi hatırlayan sitelerdeki özel bilgileriniz başkalarının eline geçebilir.
Neyse ki, hafıza (memory) fiyatlarının plunging şifre hatırlama sorununa çözüm getirecek gibi gözüküyor. Tüm şifre ve kullanıcı isimlerinizi çıkarılabilir bir USB flash drive üzerinde saklayabilirsiniz. Cihazı da tek bir “ana (master)” şifreyle kontrol altına alabilirsiniz. Tüm şifrelerinize ulaşmak bir etk bu şifrenizi hatırlamak yeterli olacaktır.
Ama bu gerçek ve yeterli bir çözüm müdür? Hadi gelin, sorunu baştan aşağı inceleyelim ve görelim..
Yardım Sever Tarayıcılar (Browser)
Internet ve kurumsal intranet’lerin yükselişi, şifrelerdeki “tarayıcı idaresinin” ardında yatan kuvvetti:
- Internet Explorer: Microsoft’un tarayıcısı. Yaygın olarak “IE” olarak tanınır. “Otomatik tamamlama” fonksiyonu yıllardır mevcut. Bu özellik sayesinde, klavyeden girdiğiniz kimlik ve şifre bilgileri tamamlanır. IE bunu şifreli bir dosyada saklar. Teorik olarak, bu şifreler, onları kaydeden kişi kendi hesap ismi ile Windows üzerinden giriş yapacağı zaman kullanılır.
Bu olayın sorunlarından birisi PC’nizden uzaklaştığınızda başka birisinin sizin PC’nizi kullanarak bu sitelere ulaşmasıdır. Ama daha da kötüsü, Windows’dan çıksanız bile, birileri bu iş için kullanılan basit yazılımlarla sizin IE’nizdeki şifre korumalı dosyayı açabilir ve şifrelerinizi görebilir.
Şifre okuma yazılımları geliştiren firmalar içinde en çok tanınanlardan birisi ElcomSoft Co. Ltd firmasıdır. Moskova, Rusya’da bulunan bu yazılım firması haklarındaki Adobe PDF dosyalarının şifre korumasını kırdıkları iddiasından Aralık 2002’de beraat etmişlerdi.
Şirketin gelişmiş Internet Explorer Şifre Hatırlatma yazılımı Computer Associates firmasının Spyware Information Center’a göre, IE 30 – 6.0 (şu andaki durum) arasındaki tüm versiyonlar tarafından kaydedilmiş şifrelerini buluyor. Bu yazılımın fiyatı 30 $ civarı.
Tabi diyebilirsiniz ki “Bu yazılım yasaklansın”. Ama info center’ın verdiği bilgiye göre, şu anda piyasada benzer iş gören .Üstelik şifre kırıcılar, sadece IE değil, Microsoft Outlook, VBA (Visual Basic Yazılımlar) Intuit Quicken (Muhasebe yazılımı) ve başka bazı yazılımların sakladığı şifreleri de oldukça başarılı bir biçimde ele geçirebilmekteler.
- Mozilla Firefox. Kar amacı gözetmeyen sivil toplum örgütü Mozilla Vakfı’nın geliştirdiği yeni ve ücretsiz bir tarayıcı. Firefox da, ziyaret ettiğiniz sitelerde kayıt ettiğiniz kullanıcı isim ve şifrelerini saklama hizmeti öneriyor. Tasarımcılara göre Firefox, bu hassas veriyi henüz üzerinde anlaşma sağlandığını sanmadığım bir şifreli formatta saklayabilmekte.
Maalesef, kayıt ettiğiniz şifreleri olduğu gibi açık bırakır, şifreli saklamaz ve şifrenizin bir master şifresini oluşturmazsanız, ancak o zaman şifreniz ele geçirilir (bunu yapmak için Firefox 1.0’da Araçlar (Tools) > Seçenekler (Options) > Gizlilik > Üst Şifre -Master Password – Oluştur sekmesini tıklayın). Böylece şifreniz bir Web sitesine veya başka birisine gönderilmeden önce Firefox üst şifrenizi girmenizi isteyecektir.
Güvenlik sebebiyle şifrenizi saklamak için aşağıda tanımlanan bir biçimde bir USB sürücüsü kullanırsanız tarayıcınızın şifrenizi sabit diskinizde depolamasını durdurabilirsiniz. Bunu Firefox’ta gerçekleştirmek için Araçlar (Tools) > Seçenekler (Options) > İçerik (Content) > Otomatik-tamamlama (AutoComplete) > sekmesini tıklayın ve “Formlardaki kullanıcı adları ve şifreler için Otomatik-tamamlama (AutoComplete) kullanın” seçeneğini devre dışı bırakın.
Kurumsal ortamlarda tarayıcıların giriş şifrelerinizi depolamasını engellemek için Grup İlkesi’ni (Group Policy) kullanabilirsiniz. Bunu IE’de gerçekleştirmek için Aktif Klasörü “Formlar için AutoComplete özelliğini devre dışı bırakmayı” ve “AutoComplete’in şifreleri kaydetmesine izin vermeyi” ayarlayın.
Yazının devamını Şifrelerinizi Korumanın Yolları – II başlığı altında okuyabilirsiniz.