Yazının ilk bölümünü Şifrelerinizi Korumanın Yolları – I başlığı altında okuyabilirsiniz.
USB Flash Sürücü Alternatifi
Siber Systems Inc. tarayıcınız aracılığı ile kullanıcı isimlerinizi ve şifrelerinizi saklama ihtiyacını (ve arzusunu) yok eden bir yazılım programını geçtiğimiz ay piyasaya sürdü.
Yıllardır, masaüstü bilgisayarlar için şifre-yönetim yazılımı olan RoboForm’u pazarlamakta olan şirket şimdi ise Pass2Go’yu satışa sundu. Yeni program, bir USB Flash sürücü veya Iomega Zip sürücüleri ve hatta yeniden yazılabilir CD’ler gibi herhangi bir çıkarılabilir ortamda işlem gören “portatif bir RoboForm”.
Yeni ürün aşağıdaki enteresan özelliklere sahip:
- İzlerinizi Yoketmek: Eğer kullanıcı adlarınızı ve şifrelerinizi Pass2Go aracılığı ile Bir USB Flash sürücüde saklarsanız, Flash sürücüyü USB yuvasından çektiğiniz anda kullanmakta olduğunuz bilgisayarın bu şifrelere olan tüm erişimi anında kesilecektir.
- Taşınılabilirlik: Daha sonra aynı Flash sürücüyü başka bir PC’nin USB yuvasına takabilirsiniz. Ayarladığınız üst şifreyi hatırladığınız sürece, sık kullanılan Web sitelerinize otomatik olarak giriş yapabilirsiniz. Daha önce olduğu gibi sürücüyü çıkarmanız aynı şekilde bu ikinci PC’nin de tüm şifrelere erişimini engeller.
- Esneklik: Kullanıcı adlarına ve şifrelere ek olarak, Flash sürücüyü Microsoft Outlook’taki e-mail bağlantı bilgilerinizi, tarayıcınızdaki imlerinizi ve seyahat sırasında ihtiyaç duyabileceğiniz diğer verileri de saklayabilirsiniz.
39.95 Dolara yeni bir Pass2Go lisansına sahip olabilir veya RoboForm’un 29.95 Dolarlık bir masaüstü sürümüne sahipseniz sadece 9.95 Dolar fark ödeyerek Pass2Go’yu edinebilirsiniz. Ayrıca Pass2Go’ya 30 gün boyunca ücretsiz olarak da kullanabilirsiniz ancak (eğer ücret ödemediyseniz) sadece iki farklı kullanıcıya ait 10 farklı şifreyi güvenli bir şekilde saklayabileceksiniz.
Bu yazı hazırlanırken Pass2Go sadece Internet Explorer’da çalışmaktaydı. Bu IE’nin oldukça iyi bilinen güvenlik sorunları’na sahip olmayan Firefox veya Opera gibi diğer alternatif tarayıcıları kullananlar için bir sorun olacaktır.
Siber Systems’in pazarlama bölümü ikinci başkanı Andy Finkle’a göre şifre yazılımının gelecekteki sürümlerinde bu uygulamalar ile entegrasyonun sağlanması beklenmekte.
Oturum Güvenliği için Hakikat
Bir USB Flash sürücüdeki yazılım, örneğin bir Internet kafe gibi bir yerde hassas şifrelerinize ulaşmak için kullanmak için gerçekten de yeteri kadar güvenli mi?
Siber Systems’in bir basın açıklaması bu konuda “Pass2Go Internet kafelerde, kütüphanelerde, toplantı salonlarında, havaalanlarında, üniversitelerde, ve hatta işyerlerinde – insanların bir USB yuvasına sahip aktif bir bilgisayara sahip oldukları her yerde güvenle kullanılabilir” deniyor.
Aslında şifrelerinizin sadece bir USB sürücüde depolanıyor olması bir Internet kafeden veya halka açık bir yerden bir Web sitesine bağlanmanızı güvenli hale getirmemektedir. Bir kez USB sürücünün üst şifresini girdiğinizde yabancı bir PC’de çalışmakta olan bir Truva atı sözde siz “güvenli bir siteyi” ziyaret ederken ekranınızda görünen her görüntüye ulaşabilir.
Siber Systems’ten Finkle telefonla yapılan bir röportajda “Internet kafede kullanılmak üzere hiçbir ürünü, hatta iki faktörlü tanıma ürünlerini bile, tavsiye edemem,” diyor.
İki-faktörlü tanıma programları tek bir şifre kullanmaktan daha güvenli tanımlama formlarıdır. İlk faktör bir USB Flash sürücüsü gibi fiziksel bir cihazdır. Bu cihaz ikinci bir faktörle, tipik olarak bir PIN kodu (kişisel tanımlama numarası-personal identification number) veya kullanıcının hatırlamasının kolay olacağı başka bir kod ile birlikte kullanılır.
Bu ikili yaklaşım aslında güvenli olmayan PC’leri (Internet kafelerdekiler gibi) uzaktaki sunucularla güvenli bir iletişime geçmek amacıyla kullanmakta anahtar bir yol olabilir.
Görüşlerin Birleştiği Nokta
USB Flash sürücüler bu günlerde bir tanımlama metot karmaşasında satılmakta.
Sadece yetkili kişilere güvenli bir biçimde erişim imkanı tanıyan parmak izi tanımlamalı çok küçük “çubuk” sürücüler mevcut durumda.
Diğer Flash sürücüler dahili bir zamanlayıcıdan gelişigüzel olarak türetilen bir rakam sergilemektedir. Bu rakam yalnızca bir kez olmak kaydıyla aynı zamana ayarlı olan bir sunucuya bağlanmak için kullanılabilir. Bir kulak misafiri bu rakamı ele geçirse bile, güvenli bir biçimde şifrelenmiş olan oturumun kalanına erişim amacıyla bu rakamı kullanması mümkün değildir.
Önümüzdeki hafta şifre-depolama konusunda yardımcı yazılımlarla donatılıp özelleşmiş Flash sürücüler konusunu irdelemeye devam edeceğim.