10 sene önce internet bugün olduğu kadar yaygın değilken ve hemen herkes sosyal ağlarda kişisel bilgilerini uluorta vermezken, e-mail servislerinin ve web sitelerinin parolasını unutan üyelerine kişisel bilgilerini sorması mantıklıydı.

bugün üyelik gerektiren sitelerin “parolamı unuttum” seçeneği web güvenliğinin en zayıf halkası sayılıyor.

bir sitede parolanızı unuttunuz. “parolamı unuttum” linkine tıkladıktan sonra “annenizin kızlık soyadı”nı ya da “en sevdiğiniz evcil hayvanınızın adı”nı girdikten sonra parolanıza kavuşuyorsunuz. peki ya bunu başkaları yapmaya çalışırsa?

people security firmasının güvenlik stratejisi şefi Herbert Thompson birkaç arkadaşından izin alarak banka hesaplarına ulaşmaya çalışıyor.

bir arkadaşının sadece ismi ve çalıştığı yerin ismiyle kişisel blog’unu ve özgeçmişini buluyor. daha sonra bankasının sitesine gidip kullanıcı adı olarak “ismin ilk harfi + soyadı”nı deniyor (ve başarılı oluyor). parolamı unuttum deyince parola bir email hesabına, oranın parolası da başka bir hesaba yollanıyor ve en sonunda Thompson öğrendiği kişisel bilgilerle arkadaşının bir email hesabını, oradan da diğer email hesaplarını ve banka hesabını ele geçiriyor.

kişisel bilgileri ve “parolamı unuttum” linkini kullanmak yaygın bir hacker yöntemi değil ancak hacker sitelerinde “evcil hayvan ismi” gibi kişisel bilgiler satılmaya başlanmış durumda. sosyal ağların da giderek yaygınlaştığını düşünürsek bu büyük bir açık.

Kaliforniya Üniversitesi, berkeley‘den Ariel Rabkin bu sorunla ilgili “Security questions in the era of Facebook” (facebook çağında güvenlik soruları) isimli bir makale hazırlamış.

yapılması gereken ise kişisel bilgileri yabancılardan gizlemek ve “parolamı unuttum” sorusunu listeden seçmeyip kendi yazmak. “cüzdanımı çalan birisi cevaplayabilir mi” diye kendinize sorduğunuzda yanıt “hayır”sa sorun yok demektir.

kaynak