Şehir manzaralı açık balkonda duran iki erkeğin portresi.

İnternette kullanılan şifreleri yönetme

Konu internette güvenlik olduğunda birçok kullanıcı kendisini bunalmış hissediyor. Google'dan Mark Risher ve Stephan Micklitz güvenlik önlemleri geliştirirken bu duyguları hesaba katmaktan bahsediyor.

Bay Risher, Google'da internet güvenliği alanında çalışan Ürün Yönetimi Direktörüsünüz. Daha önce herhangi bir internet dolandırıcılığının kurbanı oldunuz mu?

Mark Risher: Bildiğim kadarıyla hayır. Ama internette gezinirken herkes gibi ben de hatalar yapıyorum. Örneğin, kısa süre önce Google şifremi yanlış web sitesine girdim. Neyse ki Chrome Şifre Uyarısı eklentisini yüklemiştim ve uyarı aldım. Elbette bu olaydan sonra şifremi hemen değiştirdim.

Stephan Micklitz, Google'ın Gizlilik ve Güvenlik ekibinde Mühendislik Bölümü Yöneticisi: İnsanlık hali. Ezberlediğimiz şifreleri, nereye girdiğimize pek dikkat etmeden el alışkanlığıyla kullanabiliyoruz.

Risher: Şifreleri tamamen ortadan kaldırmak iyi olurdu ama ne yazık ki bu o kadar kolay değil.

"Birçok güvenlik önlemi perde arkasında uygulanır."

Mark Risher

Şifreleri bu kadar güvenilmez yapan nedir?

Risher: Dezavantajları çok: Çalınması kolay, hatırlanması zor, yönetimi de genellikle zahmetli. Çoğu kullanıcı, bir şifrenin olabildiğince uzun ve karmaşık olması gerektiğine inanıyor ama bu da güvenlik riskini artıran bir unsur. Karmaşık şifreler, kullanıcılarda bu şifreleri birden fazla hesapta kullanma eğilimi oluşturarak güvenlik açığını arttırabilir.

Micklitz: Bir şifreyi ne kadar az girerseniz o kadar iyidir. Bu yüzden, hesaplarınızda sürekli olarak oturum açıp kapatmamalısınız. Zamanla, kullanıcılar hangi web sayfasında olduklarına dikkat etmeden aynı şifreyi girmeye başlayabilirler. Bu da şifre hırsızlarının işini daha da kolaylaştırır. Bu sebeple, kullanıcılarımıza oturumlarını açık tutmalarını tavsiye ediyoruz.

Bankamın web sitesi, birkaç dakika boyunca işlem yapmadığımda oturumumu otomatik olarak kapatıyor.

Micklitz: Maalesef birçok şirket, güncelliğini yitirmiş kuralları uygulamaya devam ediyor. Sürekli çıkış yapma tavsiyesi, çoğu kullanıcının internet kafelerde internete bağlı olduğu veya bilgisayarı başkalarıyla paylaştığı dönemlerden kalmadır. Araştırmamıza göre, kullanıcılar şifrelerini ne kadar çok girererse siber saldırıların kurbanı olma olasılıkları o kadar artıyor. Bu nedenle, basitçe cep telefonunuzun veya bilgisayarınızın ekran kilidini etkinleştirmeniz ve güvenli bir şifre kullanmanız daha emniyetli.

Risher: Kesinlikle. Ortalıkta dolaşan tavsiyelerin çoğu, ne yazık ki hatalı veya kullanışsız. Bu da birçok kullanıcı için kafa karıştırıcı oluyor. En kötü senaryoda, kullanıcıların kafa karışıklığı o kadar artıyor ki, pes ederek, "Kendimi korumak bu kadar zorsa hiç uğraşmayayım daha iyi," diyebiliyorlar. Bu, etrafta hırsızlar olduğunu bilmenize rağmen evinizin kapısını sürekli açık bırakmaya benziyor.

Yan yana iki resim. İlk resimde; mavi gömlek giymiş, kıvırcık saçlı bir adamın, elleri kenetli bir şekilde masada otururken hafifçe gülümsediği portre fotoğrafı yer alıyor. İkinci resimde ise bir elin yakın çekim fotoğrafı var. Bu el, USB konnektörü altın renginde olan küçük, beyaz bir Titan Güvenlik Anahtarı tutuyor.

Mark Risher, Google'ın güvenlik ve gizlilik Ürün Yönetimi Direktörü'dür. 2010'da, siber güvenlik girişimi Impermium'u kurdu. Bu girişim, 2014'te Google tarafından satın alındı. Risher, o tarihten beri şirketin Mountain View, Kaliforniya'daki merkezinde çalışmaktadır. Sağda: Gelişmiş Koruma Programı'nda kullanıldığı şekliyle bir güvenlik anahtarı. Güvenlik anahtarları, küçük bir ücret karşılığında satın alınarak çeşitli web sitelerinde kullanılabilir.

Şifreler kaldırılsaydı Google, kullanıcı güvenliğini nasıl sağlardı?

Risher: Perde arkasında çalışan birçok ek güvenlik önlemimiz zaten mevcut. Bilgisayar korsanları şifrenizi ve cep telefonu numaranızı öğrense bile Google Hesabınızın güvenliğini yüzde 99,9 oranında garanti edebilliyoruz. Örneğin, bir kullanıcının hangi cihaz veya ülkeden giriş yaptığını kontrol ediyoruz. Birisi yanlış şifre ile arka arkaya birkaç kez hesabınıza giriş yapmaya çalıştığında güvenlik sistemlerimizin alarmları harekete geçiyor.

Micklitz: Ayrıca, geliştirdiğimiz Güvenlik Kontrolü sayesinde kullanıcılar Google Hesaplarındaki kişisel güvenlik ayarlarının üzerinden adım adım geçebiliyorlar. Gelişmiş Koruma Programı ile bir adım daha ileri gidiyoruz.

Bu programın amacı nedir?

Micklitz: Başlangıçta, suçluların özellikle ilgisini çekebilecek politikacı, CEO, gazeteci gibi kişiler için geliştirildi. Günümüzde ise internette ek koruma isteyen herkes tarafından kullanılabiliyor. Yalnızca özel USB veya Bluetooth donanım kilidine sahip olanlar, korumalı Google Hesaplarına erişebilirler.

Risher: Tüm Google çalışanları şirket hesaplarını güvende tutmak için güvenlik anahtarı kullandığından, bu sistemin ne kadar etkili olduğunu deneyimlerimizden biliyoruz. Bu güvenlik önlemini uygulamaya koyduğumuzdan bu yana şifre onayına kadar izlenebilecek tek bir kimlik avı vakası bile yaşamadık. Jeton kullanımı, Google Hesabı güvenliğini büyük ölçüde iyileştiriyor. Saldırganlar şifreyi bilseler bile jeton olmadan hesaba erişemez. Çoğu zaman internetteki bir hesap dünyanın herhangi bir yerinden saldırıya uğrayabilir. Ancak fiziksel güvenlik jetonuyla korunan hesaplarda bu söz konusu değildir.

Micklitz: Bu arada, güvenlik jetonları yalnızca Google'ın Gelişmiş Koruma Programı'nda değil birçok web sitesinde kullanılabilir. Bunları küçük bir ücret karşılığında bizden veya diğer tedarikçilerden edinebilirsiniz. Tüm ayrıntıları g.co/advancedprotection adresinde bulabilirsiniz.

"Kullanıcılar internetteki riskleri değerlendirmekte bazen zorlanıyorlar."

Stephan Micklitz

Size göre günümüz internetinde farkında olmadığımız en büyük tehlikeler nelerdir?

Risher: Sorunlardan biri, kullanıcı adları ve şifreleri içeren birçok listenin internette dolaşıyor olması. İş arkadaşımız Tadek Pietraszek ve ekibi altı hafta boyunca internette yaptıkları ayrıntılı araştırmada 3,5 milyar kullanıcı adı ve şifre kombinasyonu buldular. Bunlar saldırıya uğramış Google Hesaplarından elde edilen değil, diğer sağlayıcılardan çalınan verilerdi. Ancak birçok kullanıcı, aynı şifreyi birkaç farklı hesapta kullandığından bu listeler bizim için de sorun oluşturuyor.

Micklitz: Hedefli kimlik avını büyük bir tehlike olarak görüyorum. Bu saldırı türünde saldırgan, hileli niyetin kurban tarafından fark edilmesinin zor olduğu, akıllıca kişiselleştirilmiş bir mesaj oluşturur. Bilgisayar korsanlarının, bu yöntemi giderek daha çok ve daha başarılı bir şekilde kullandığını görüyoruz.

Risher: Stephan'a katılıyorum. Ayrıca, hedefli kimlik avı, göründüğü kadar zaman alan bir yöntem değil. Bir spam e-postayı kişiselleştirmek, çoğu durumda yalnızca birkaç dakika sürer. Bilgisayar korsanları, kullanıcıların internette kendileri hakkında yayınladıkları bilgileri kullanabilirler. Kripto paralarla ilgili bir örneği ele alalım. 10.000 bitcoin'i olduğunu herkese açıklayan biri, bu bilgi siber suçluların dikkatini çektiğinde şaşırmamalıdır.

Micklitz: Bu, bir pazar yerinin ortasında durup banka hesabımdaki para miktarını megafonla duyurmaya benziyor. Bunu kim yapar? Hiç kimse. Ancak kullanıcılar, internetteki riskleri değerlendirmekte bazen zorlanıyorlar.

İki eliyle jestler yaparak ofis ortamında konuşmakta olan, kıvırcık saçlı bir adamın portresi. Adamın üzerinde açık mavi, yakası düğmeli bir gömlek var.

Sıradan spam e-postaları sorun olmaya devam ediyor mu?

Risher: Cihazların ve hizmetlerin birbirine bağlanması bizim için büyük bir zorluk. Kullanıcılar, internete bağlanırken yalnızca dizüstü bilgisayarları ile akıllı telefonları değil, aynı zamanda TV'leri, akıllı saatleri ve akıllı hoparlörleri de kullanıyorlar. Tüm bu cihazlarda çalışan çeşitli uygulamalar bilgisayar korsanlarına birçok potansiyel saldırı noktası sunuyor. Günümüzde birçok cihaz birbirine bağlı olduğundan, bilgisayar korsanları bir cihazı kullanarak diğer bir cihazda depolanan bilgilere erişmeye çalışabilirler. Bu durumda ele almamız gereken soru şudur: Çok sayıda yeni kullanım alışkanlığı karşısında kullanıcılarımızın güvenliğini nasıl garanti edebiliriz?

Micklitz: Önce kendimize her hizmet için gerçekte hangi verilere ihtiyacımız olduğunu ve hizmetler arasında hangi verilerin aktarıldığını sormalıyız.

Kullanıcıların korunmalarına yardımcı olmada yapay zekayı nasıl kullanıyorsunuz?

Micklitz: Google yapay zekayı epey bir süredir kullanıyor.

Risher: Bu teknoloji en başından beri e-posta hizmetimiz Gmail'e dahil edilmiş durumda. Google makine öğrenimi ile uğraşan programcıların işini kolaylaştıran TensorFlow adlı kendi makine öğrenimi kitaplığını bile geliştirdi. Gmail, tipik desenleri tanıma konusunda değerli bir hizmet sunan TensorFlow'dan özellikle yararlanıyor.

Bu desen tanıma işlevinin nasıl çalıştığını açıklayabilir misiniz?

Risher: Bazı kullanıcılar arasında kategorize edemediğimiz şüpheli etkinlik gözlemlediğimizi varsayalım. Kendi kendine öğrenen bir makine bu olayları karşılaştırabilir ve en iyi senaryoda yeni dolandırıcılık türlerini internette yayılmaya başlamadan önce bile tespit edebilir.

Micklitz: Ama sınırları var: Bir makine ancak onu kullanan kişi kadar zekidir. Bir makineyi yanlış veya tek taraflı verilerle beslersem tanıdığı desenler de yanlış veya tek taraflı olur. Büyük heyecana neden olmasına rağmen yapay zekanın etkinliği her zaman onu kullanan kişiye bağlıdır. Makineyi yüksek kaliteli verilerle eğitmek ve daha sonra sonuçları kontrol etmek kullanıcıya kalmıştır.

Risher: Geçmişte farklı bir e-posta sağlayıcısında çalışırken Lagos'taki bir banka çalışanından mesaj almıştık. O zamanlar Nijerya'dan geldiği düşünülen çok sayıda dolandırıcılık e-postası ortalarda dolaşıyordu. Adam saygın bir bankada çalışmasına rağmen gönderdiği e-postaların her zaman alıcının spam klasörüne düştüğünden yakınıyordu. Bu çok sık karşılaşılan durumda, desen tanıma teknolojisinin yetersiz bilgi nedeniyle yanlış genellemelere ulaştığı görülüyor. Algoritmayı değiştirerek bu sorunun çözümüne yardımcı olabilmiştik.

.

Fotoğraflar: Conny Mirbach

Sayfanın en başına dön