Şu günlerde birçok kurum ve şirket kimlik doğrulama yöntemi olarak parola kullanımını azaltmanın genel güvenlik seviyelerini arttıracağını düşünüyor. Peki, haklılar mı?
Öncelikle parola kelimesinin anlamına bakalım. Bir yere giriş için kullanılan harf ve/veya rakamlardan oluşan ve sadece yetkililerin bileceği şekilde gizli tutulan kelimeye parola denir. Halk arasında sıkça kullanılan “şifre” kelimesi ile aynı anlama gelmez; en azından bilgisayar dünyasında.
Parolaların kullanımının Roma İmparatorluğu dönemine kadar gittiği söylenir. Bilgisayar dünyasında ise ilk defa 1960 yılında MIT'de (Massachusetts Institute of Technology) Fernando Corbato tarafından kullanıldı. Amaç üniversite tarafından geliştirilen Zaman Paylaşımlı İşletim Sistemi'ne erişimi sınırlandırmaktı.
Bilişim dünyasında kullanıcı kimliğini doğrulamak için 60 yıldır parolaları kullanıyoruz. Bu kadar uzun yıllardır yaygın olarak kullanılmasının en önemli nedeni, herkesin parolayı nasıl kullanacağını biliyor olması. Buna karşın geçtiğimiz birkaç yılda kimlik doğrulama ihtiyacı doğuran hizmet, uygulama ve web sitelerinin olağan üstü artışı nedeni ile sorunlar çıkmaya başladı. Bunların başında firmaların güvenliğini tehlikeye sokan zayıf parola kullanımı geliyor.
Verizon'un 2019 Veri Sızıntısı Raporu'na göre sızıntıların yüzde 80'i zayıf veya çalınmış parolalar nedeniyle gerçekleşiyor.
Bu nedenle birçok firma kimlik doğrulamak için alternatif arayışlar içine girdi. Bu hemen olabilecek bir değişimden ziyade bir süreç. Sorunu çözmek için adım atmaya niyetli firmaların ilk önce tam olarak ne yapmak, hangi sorunu çözmek istediklerine karar vermeleri gerekiyor.
Kullanıcıların parola ile imtihanı
Karşımızda üç sorun var; ilki kullanıcıların hatırlamakta zorlandıkları için zayıf parolalar seçmesi ve bunların oldukça kolay yöntemlerle ele geçirilmesi. İkinci sorun IT departmanlarının çeşitli kurallarla kullanıcıya güçlü parola seçtirmesinin bir sonucu olarak kullanıcıların parolalarını hatırlamak için kâğıt kullanmak gibi hatalara düşmeleri. Üçüncü sorun ise ; parola sıfırlamak. Parola doğası gereği ücretsiz bir güvenlik çözümü, peki ya parola sıfırlamak da ücretsiz mi? One-Login tarafından yapılan araştırmaya göre Amerika'daki firmaların IT departmanları yılda yaklaşık iki aylarını parola sıfırlamak için harcıyor.
Kullanıcının parola ile imtihanını kolaylaştırmak ve aynı zamanda güvenlikten de ödün vermemek için günümüzde çeşitli çözümler var. Örneğin 2FA, İkili Kimlik Doğrulama, (Two Factor Authentication). 2FA kısaca oturum açma sürecinin parola dışında ikinci bir yöntem ile tamamlanmasıdır. Kullanıcı oturum açmak için kendi belirlediği parolayı kullandıktan sonra, cep telefonuna gelen bir bildirim veya SMS (SMS o kadar da güvenilir olmayabilir, bu aşamada uygulamaları tercih edin) ile ikinci bir parola alır. Bu ikinci parola her zaman farklıdır, dolayısı ile kullanıcının kendi parolası zayıf olsa bile bu ikinci parolanın tahmin edilme imkânı yoktur. 2FA günümüzde kullanılan en yaygın ve en ucuz çözümlerden biridir. Mevcut cep telefonları kullanıldığı için yeni bir donanım yatırımı gerektirmez.
Modern yöntemler
Diğer taraftan parola sorunlarına çözüm bulmak için 2012 yılında çeşitli firmaların ortaklığı ile FIDO (Fast IDentity Online Allience) kuruldu. FIDO'nun amacı basitçe biometrik verilerini kullanan web hizmetleri aracılığı ile kullanıcıların parola girmek zorunda kalmamalarını sağlamak. FIDO'nun yeni standartları (FIDO2) Google ve Microsoft gibi teknoloji devleri tarafından kullanılmaya başlandı.
Windows 10 bir süredir sık sık parola girmeye gerek kalmadan kullanılabiliyor. Kullanıcılar Windows Hello yüz tanıma, parmak izi veya PIN ile giriş yapabiliyorlar. Apple ise parmak izinden 20 kat daha güvenli olduğunu iddia ettiği FaceID özelliğini bir süredir cihazlarında kullanıyor.
Parolaya veda mı ediyoruz?
Birçok insan parolaların sonunun geldiğini düşünse bile gerçek çok da öyle değil. Parola ücretsiz ve güvenilir bir yöntem. Zaman içerisinde parola yönetimi veya oturum açma süreçleri mutlaka kolaylaşacak ve daha da güvenli hale gelecektir fakat parolanın sonunun geldiğini düşünmek için daha çok erken.
Parolanın en önemli avantajı beynimizde olması ve yüz tanıma veya parmak izi gibi biometrik yöntemlere göre ele geçirilmesinin çok daha zor olması.
Bu durumda gerçekten güvende kalmak isteyen ve bunu hakkıyla yapan insanlar parola kullanmaya devam edecektir.
Son olarak her zaman hatırlattığımız güvenli parola kullanımı ile ilgili notlarımızı eklemeyi unutmayalım.
Güvenli parola kullanımı nasıl olmalıdır?
• 12 karakterden fazla olmalıdır
• Harf, rakam, karakter karışık olmalıdır
• Belli aralıklarla (3 ayda bir) değiştirilmelidir
• Her hesap için farklı parola kullanılmalıdır
• Mümkün olan her durumda 2FA kullanılmalıdır