Tekrar tektar kullanılan en popüler 10 parola listelerini görmüşsünüzdür. Bu listelerden ilk akla gelen parolanın "password" olduğunu biliyoruz. Peki ya telefonların PIN kodları? Siber suçluların telefonlarımıza ulaşmalarını ya da en değerli hesaplarımıza erişmelerini engellemek için kullandığımız PIN kodlarımız ne kadar benzersiz?
İnsanlar telefonlarını bir kodla kilitleme eğilimindedir ama ya birisi bu kodu biliyorsa ya da çözebilirse? Veya belki de sık kullanılan PIN kodları arasından tahmin edebilirse? O zaman e-postalarınızı okuyabilirler mi; WhatsApp mesajı gönderebilir veya Amazon sepetinize bakabilirler mi?
SANS Enstitüsü tarafından yapılan son araştırmada, en çok kullanılan 20 telefon PIN kodu bulundu (sıralı değil):
0000
1004
1010
1111
1122
1212
1234
1313
2000
2001
2222
4444
3333
4321
5555
6666
6969
7777
8888
9999
Şaşırtıcı bir şekilde, bu kodlar denenerek tüm telefonların %26'sının kilidinin açıldığı görüldü. Telefonunuz çalınır ya da kaybolursa, suçlular sizin hakkınızda hiçbir şey bilmeseler bile ilk birkaç denemede telefonunuza erişebilirler.
O zaman Kanye West dahil insanlar neden basit kodlar kullanmaya devam ediyor? Peki, o zaman ilk olarak bu soruyu cevaplamak iyi olabilir: Telefon kilidinizi açan PIN kodunuzu en son ne zaman değiştirdiniz?
Yaklaşık on yıldır çoğu insan, üzerinde kilit bulunan bir akıllı telefona sahip oldu ve 2007'de, ilk Apple iPhone çıktığında, saldırı vektörlerini tartışmaktan ziyade telefonun özellikleriyle daha fazla ilgilenmiş olduğumuzu söylemeliyiz.
Parmak izi okuyucuların telefonlara entegre edilmesi birkaç yılı alacaktı ve bu nedenle telefon kilitlerimizi açmak için günde 50, belki de 100 kere kod girmemiz gerekiyordu. Bu nedenle insanlar telefonlarına daha hızlı ve kolay erişmek istiyordu.
Sorun şu ki; uzun kodlar, Face ID veya Touch ID kullanılmasına rağmen insanlar, telefonları nadiren PIN koduyla açtıkları halde, PIN kodlarını çok nadiren değiştiriyorlar ve tüm cihazlarında aynı kodları kullanıyorlar.
İnsanların PIN kodlarını hatırlamak için kullandığı başka bir yöntem de onlar için bir anlam ifade eden sayılar kullanmaktır. Ancak, insanların “benim başıma gelmez” tavrının altında büyük bir tehdit yatıyor; ya telefonunuza girmek isteyen kişi sizin hakkınızda biraz bilgi sahibiyse? Telefonlarda 4 rakamdan oluşan kodlar kullanıldığında, insanlar çoğunlukla bir yıl belirten kodlar kullanıyorlar, 6 rakamlı kod gerekli olduğunda da, telefonlarını açmak için genellikle kolay hatırlanabilen bir tarih kullanıyorlar.
Bu, en sevilen cihazınızı güvence altına almanın son derece tehlikeli bir yoludur ve bazı açık kaynaklı araştırma becerilerine sahip herhangi bir siber suçlunun telefonunuzun kilidini açmak için olası kodları denemesine olanak tanır.
İlişkilendirme önemlidir
Bunun ne kadar kolay olabileceğiyle ilgili küçük bir örnek vermek için, geçenlerde konuşma yaptığım bir etkinliğe katıldım. İronik bir şekilde, konuşmam "bir işletmenin nasıl hack'leneceğiyle" ilgiliydi ve siber suçluların sosyal mühendislikle insanların şifrelerini nasıl tahmin ettikleriyle ilgili konuşarak başladım. Tam o anda, ön sıradaki bir adam telefonunu cebinden aldı ve kilidini açmak için bir PIN girdi. 6 haneli bir kod girdiğini fark ettim ve son iki hane olan 1 ve 4'ü de görebildim.
Çoğu insana bu sadece iki rastgele sayı gibi gelebilir ama bu sayıları başka şeylerle ilişkilendirirsem diğer dördünü de çözebilirim. Konuşma sırasında işe koyulmaya karar verdim, bu yüzden adını sordum. Kendisi de kabul etti ve ismini Facebook'a girdim. Profilinin "hakkında" bölümünde evli olduğunu fakat eşinin adı dışında bir bilgi olmadığını gördüm. Ben de eşinin Facebook profiline girerek onun "hakkında" bölümüne baktım.
Orada eşinin, birçok kişisel bilgisini herkesin görmesine izin verecek şekilde eklediğini gördüm ve ilk dikkat ettiğim kısım da evlilik tarihi olan 1 Eylül 2014 oldu. Daha sonra o beyefendiye kibarca, telefonunu alıp ekran kilidini açmayı denemek istediğimi söyledim. Pek istekli olmasa da teste devam edebilmemiz için buna izin verdi. Telefonuna "010914" girdim veee, telefon kilidi açıldı! Gerçek hayatta neler olabileceğine dair harika bir örnek vermiştim ve o anda seyircilerin yarısı telefonlarını çıkardı ve telefonlarının PIN kodunu değiştirmek için kısayolun ne olduğunu sordu.
Peki ya Face ID veya Touch ID? Bunlar bizi saldırganlardan tamamen korumaz mı? Kısaca cevap verecek olursak, hayır. Birçok kişi, cihazlarında parmak izi okuyucu veya yüz tanıma olduğunda, PIN kodu güvenliğinde bu kadar dikkatli olmaları gerekmeyeceğini düşünüyor. Telefonunuza girmek için hâlâ varsayılan bir kod olduğunu ve bir bilgisayar korsanının bu kodu parmağınızı kesmekten veya cihazınızı açmak için yüzünüzü kopyalamaktan çok daha kolay çözebileceğini unutmayın (bu arada, bir keresinde bir telefona erişmek için ölü birinin parmağını kullandım, ancak bunu başka bir blog yazısı için saklıyorum!)
Polis için Dijital Adli Tıp Birimi'nde çalışırken, iOS 8 Eylül 2014'te çıkmadan önce Apple iPhone'lara girebilecek harika bir aracımız vardı. Kod kırıcımız, telefonları kilitlemeden veya silmeden 0000'dan 9999'a kadar tüm 4 haneli kodları sırayla denerdi. Bu işlem deneme başına 4 saniye sürerdi ve zamandan kazanmak için işlemi PIN'in yakın olabileceğini düşündüğümüz sayılardan başlatırdık.
Aracı “1970” de çalıştırırdık ve çoğu zaman “2010”a ulaşmadan cihazlara erişebilirdik. Bunun nedeni, pek çok insanın kolay hatırlamak için doğum tarihlerini, düğün yıllarını veya çocuğunun doğduğu yılı kullanma hatasına düşmeleridir (aynı makinenin çalışmasını buradagörebilirsiniz).
Nasıl güvende kalabiliriz
En iyi önlem, telefonunuzun kilidini açmak için uzun benzersiz bir alfasayısal kod kullanmaya başlamaktır; daha sonra, cihazınızın kilidini açmak zaman alıcı olabileceğinden, girişi hızlandırmak için Touch ID veya Face ID'yi açın.
Ayrıca, çevrenize ve hareketlerinizi kimin izliyor olabileceğine dikkat etmeniz gerektiğini de belirtmekte fayda var. Toplu taşıma araçlarında insanların sık sık PIN kodlarını, şifreleri girdiğini hatta telefonda arkasındaki üç haneli CVV numarası da dahil olmak üzere tüm kredi kartı bilgilerini bağırarak paylaştığını gördüm!
Son olarak, cihazınızı yedekledikten sonra, iOS için “iPhone'umu Bul” veya Android'de “Cihazımı Bul” seçeneğini açarak daha fazla güvenlik katmanı eklemelisiniz; bu da çalınırsa telefonunuzu uzaktan silmenize olanak tanır (hırsızlığa karşı koruma ve uzaktan silme özellikleri de saygın mobil güvenlik çözümlerine dahildir). Bu cihazı bir daha asla göremeyebilirsiniz, en azından suçlular cihazınıza giremez ve kişisel verilerinize ve bilgilerinize bakamaz.