“LastPass” Gibi Şifre Kasaları Nasıl Güvenlik Sağlıyor?

Kabaca düşünerek 50 sitede yer alan giriş bilgilerimizi, adresimizi ve banka kartı bilgilerimizi emanet ettiğimiz şifre yöneticileri, bilgilerimizi tam olarak nasıl koruyor?

Bilgisayarların her eve girmeye başladığı dönemlerde kullandığımız 123456789’lu ve QWERTY’li şifrelerimizi bırakıp, onlara nazaran oldukça karışık olan yeni şifrelerimize geçmemizin temelinde siber güvenlik endişeleri bulunuyordu. Her geçen gün daha çok web sitesi ve uygulama çıktığı için de hatırlamamız gereken şifre sayısı kabardıkça kabarıyor.

Bu yüzden de çoğumuz ya her yerde aynı/benzer şifreyi kullanıyoruz ya da birbirinden farklı bir sürü şifreyi kafamızda tutmak zorunda oluyoruz. Fakat bazı uygulamalar periyodik olarak şifre değiştirmemizi istediğinde her şey altüst olabiliyor. Hem bu yüzden hem de şifre sayısı giderek arttığından, çoğu kişi şifre yöneticisi kullanıp kullanmama konusunda kararsız kalıyor.

En temel soru: Nedir bu şifre yöneticisi?

Şifre yöneticileri; şifrelerinizin yanında adres, telefon numarası ve banka kartı gibi bilgileri de saklamanıza imkân tanıyan dijital kasalardır. Şifrelerinizi barındıran bu kasa, siz bir yere giriş yapmak istediğinizde şifrenizi ve adres bilgilerinizi otomatik olarak doldurarak kolaylık sağlıyor.

Bir alışveriş yapmak istediğinizde de cüzdanınızdan kartınızı çıkarıp numaraları girme zahmetine gerek kalmadan kart bilgilerinizi aktarabilmeniz sağlanıyor. Tüm bunlar kulağa hoş gelse de verilerimizi girdiğimiz bu uygulamalardan birine siber saldırganların eriştiğini düşünsenize. Sadece tek uygulamaya erişen bu kişiler, tüm şifrelerimizi kolayca ele geçiremez mi?

Bunun neden ekstrem derecede zor olduğunu, kafaları karıştırmadan anlatalım.

Çok yaygın olduğu için bu şifre yöneticilerinden LastPass’ı temel alalım. Siz şifrelerinizi burada saklamak istediğinizde öncelikle LastPass hesabı oluşturuyor ve bu hesap için bir ana şifre belirliyorsunuz. Elbette bu, örneğin Webtekno üyeliğinde kullandığınız şifreden farklı oluyor.

Hesabınızı oluşturduğunuz zaman da eklenti veya uygulama olarak şifre yöneticisi, girdiğiniz sitelerdeki kullanıcı bilgilerinizi kaydetme izni istiyor. Bu sayede bilgileriniz size özel kasanıza yerleştiriliyor. Daha sonra ise Google’ın otomatik form doldurma özelliğini LastPass devralabiliyor.

Şifrelerinizi içeren LastPass kasanız, LastPass’ın kendisi bulut temelli bir hizmet olduğundan LastPass sunucularında saklanıyor. Peki buradaki güvenlik nasıl sağlanıyor?

Şifre

Siz şifre kasanıza erişmek istediğinizde öncelikle bu kasayı açmak için bir anahtar oluşturuyorsunuz. Bunun için önce ana şifrenizi giriyorsunuz. Doğrulama adımının ardından ana şifrenizle mail adresiniz, son güncellemelerle birlikte 600.000 kombinasyondan geçerek bir kasa anahtarı oluşturuyor.

Bunun ardından sunucudaki kasamıza erişmek kalıyor. Bunun için de mail adresimizin ve şifremizin 600.000 kez kombinasyonlanması sonucu oluşan şifre, tekrardan ana şifremizle 600.000 kombinasyona girerek sunucudaki kasaya iletiliyor ve bu sayede sunucu, ana şifremizi görmeden kasaya erişmeye çalışanın biz olduğunu anlıyor.

Bunun sonucunda bir adet doğrulama, bir adet de kasa anahtarı elde etmiş oluyoruz. Doğrulama anahtarı sunucudaki kasaya erişmemizi sağlarken kasa anahtarı da onu açabilmemizi mümkün kılıyor. İki anahtarın da güvenliği için ana şifrenizin sağlam olması gerekiyor.

Yani sizin oluşturduğunuz bir anahtar, kasaya giden bir anahtarı açarken ona ek olarak oluşturduğunuz diğer anahtar da o kasayı açmanıza yarıyor.

Locker Password Manager

Ve siz en başta bu anahtarı oluşturmak için gereken şifreyi LastPass gibi şifre yöneticilerine iletmiyorsunuz. Bu yüzden kasanızın kopyası, birazdan değineceğimiz üzere ele geçirilmiş olsa bile açılması neredeyse imkânsız oluyor. “Neredeyse” kısmı bu noktada önemli.

“Peki şu anda bunlara güvenebilir miyiz?” sorusu kişisel bir karara varacak olsa da biz, LastPass’in yakın zamanda yaşadığı talihsiz olaylara değinelim.

Başa dön tuşu