ŞİFRELERİN KRALLIĞI ÇÖKÜYOR
Bilgisayar başına ilk oturduğum günleri hatırlıyorum. O zamanlar bir hesap açtığınızda size sorulan tek şey kullanıcı adı ve birkaç haneli bir şifreydi. Aradan otuz yıl geçti; biz hâlâ aynı yöntemle, biraz daha uzun ve biraz daha karmaşık karakter dizileri kurarak dijital kimliğimizi koruduğumuzu sanıyoruz. Oysa gerçek şu: parola, çoktandır en zayıf halka.
Geçtiğimiz yıllarda yaşanan büyük veri sızıntılarının ortak paydası bir yazılım açığı değil, çalınmış ya da tahmin edilmiş bir paroladır. Saldırgan bir kapıyı kırmak yerine anahtarı bulmayı tercih ediyor; çünkü bu çok daha kolay. 123456 hâlâ dünyanın en yaygın parolası. İnsan zihni rastgele dizileri ezberlemek üzere tasarlanmamış. Doğum tarihleri, çocukların isimleri, ev numaraları... Her birimiz, farkında olmadan saldırganlara küçük ipuçları bırakıyoruz.
Geçen ay bir tanıdığım, e-posta hesabının çalındığını öğrendiğinde önce şaşırdı, sonra utandı. Şifresi köpeğinin adı ve doğum yılıydı. Sosyal medyasında hem köpeğinin fotoğrafları hem de doğum günü kutlamaları yıllardır paylaşılıyordu. Saldırganın kapıyı zorlamasına bile gerek kalmamıştı; anahtar profilinde asılıydı.
Geçiş kapıdan içeri girdi bile
Endüstri yıllardır parola sonrası bir dünyanın eşiğinde olduğumuzu söylüyor. Bu sefer söylenti değil. Apple, Google ve Microsoft gibi büyük oyuncuların ortak desteklediği passkey yani geçiş anahtarı sistemi, telefon ya da bilgisayardaki kriptografik bir anahtarı parmak izinizle ya da yüzünüzle açmanıza dayanıyor. Saldırganın çalabileceği bir şifre yok artık; çünkü ortada hatırlanması gereken bir şifre de yok.
Teknolojinin en güzel devrimleri zaten gürültüsüz olur; siz fark etmeden hayatınızı değiştirir, sonra döndüğünüzde eski hâline geri dönmek istemediğinizi anlarsınız.
Bu geçişin en çarpıcı tarafı sessizliği. Çoğu kullanıcı, geçen ay Google hesabına girerken parola yerine telefonunun kilidini açtığında bir devrime tanıklık ettiğinin farkında bile değil. Sessiz devrimler en kalıcı olanlardır; çünkü insanlar yeni düzene direnmeden, fark etmeden alışırlar.
Peki bu kez de bir tuzak var mı
Her güvenlik teknolojisi yeni saldırı yüzeyleri doğurur. Geçiş anahtarları cihaza bağlı; cihazı kaybettiğinizde ne olacak? Bulutta yedeklenen anahtarlar gerçekten tek sahibinin sizin olduğunuzdan emin olabilir mi? Üstelik aileler, yaşlı kullanıcılar, teknolojiye uzak duranlar bu yeni düzene nasıl alışacak? Sorular yığılıyor. Ancak yığılan soruların altında, en azından artık parolaların bizi yarı yolda bıraktığını kabul etmiş bir endüstri var.
Geçişin bir başka cilvesi de şu: parolasızlık vaadinin altında, aslında parolaların farklı bir biçimde geri döndüğünü görüyoruz. Telefonun kilit ekranı parolası, kurtarma kodları, yedek anahtarlar... Sadece sahne arkasına çekildiler. Kullanıcı için görünmez oldular ama tamamen yok olmadılar.
Önümüzdeki beş yıl içinde, çocuklarımıza "eskiden internete girmek için kelimeler ezberlerdik" dediğimizde bize gülüp geçeceklerini düşünüyorum. Tıpkı bizim çevirmeli telefon seslerini, modem cızırtılarını hatırladığımız gibi, parola da nostaljik bir hatıraya dönüşecek. Yeter ki o güne dek hesaplarımızı çaldırmayalım.
🛡 Bugün ne yapabilirsiniz
- En önemli üç hesabınızda (e-posta, banka, sosyal medya) iki adımlı doğrulamayı açın.
- Bir parola yöneticisi kullanın — Bitwarden, 1Password gibi. Ezberlenecek tek parola onun ana parolası olsun.
- Telefon ve bilgisayarınızda passkey desteğini aktif edin; çoğu modern hesap artık sunuyor.
- Hesaplarınızın "kurtarma e-postası" ve "kurtarma telefonu" güncel mi, kontrol edin.
> Mahmut Vural — siber güvenlik & teknoloji üzerine yazıyor.
> görüşler yazara aittir; eleştiri ve sorularınızı yorumlara bekliyorum.