Bu devirde internet kullanıcısı olmak zor bir iş. Bir sürü hesabınız, bir sürü kullanıcı adınız, bir sürü parolanız var. Biliyorum ki çağın gereklerinden haberdar, aklı başında her insan gibi bir parola yöneticisi kullanıyor ve her site için yeni ve karmaşık bir parola üretiyorsunuz (değil mi?). Peki, parolanız sizi ne kadar koruyor?
2012 yılında yayımlanmış bir makalede bir tane adam akıllı ekran kartına sahip bilgisayarla saniyede 8.2 milyar parola kırılabildiği belirtilmiş. Dikkatinizi çekerim aradan 5 yıl geçmiş, şu anda bunun en azından 5 katı bir işlem gücüne sahip olunduğunu tahmin etmek güç değil. Parola bazlı kimlik denetimi pratik olduğu kadar saldırıya açık bir yöntem. Hele varsaydığım gibi bir parola yöneticisi kullanmıyor ve her kayıt olduğunuz site için aynı parolayı kullanıyorsanız tek bir yerde verilen açık, online varlığınız için tehdit yaratabilir.
Not: HaveIBeenPwned online varlığınıza dair tehditlerden erken haberdar olmak için güzel bir site.
Ben ne mi yapıyorum? Kişisel ve iş bilgisayarlarımda parola yöneticisi olarak keepassx adlı ücretsiz ve özgür bir yazılımı kullanıyorum. Mobil cihazlarımda ise yine ücretsiz (ama bağışı sonuna kadar hakeden) ve özgür bir yazılım olan keepass2android kullanıyorum. Hali hazırda keepassx veritabanımda 178 kayıt var ve hepsi büyük-küçük harf, rakam ve simgelerden oluşan en az 16 karakterli parolalar. Yetiyor mu? Yukarıda saydığım sebeplerle elbette hayır. İşte bu noktada devreye iki faktörlü kimlik denetimi (2-factor authentication) giriyor.
İki faktörlü kimlik denetimi en basit anlatımıyla parolanıza ek olarak sahip olduğunuz başka bir cihaz (sıklıkla cep telefonunuz) ile işlemi onaylama yöntemi. Bu en çok SMS ile karşımıza çıksa da SMS’in yeteri kadar güvenli olmadığı uzmanlarca dile getiriliyor. SMS dışındaki yöntemlerden biri ise bu işe hasredilmiş bir yazılım kullanmak. Bu iş için 1 yıldan fazla süredir kullandığım Google Authenticator ile gayet mutluydum ki, iki hafta önce Akın, Onur ve ben Akın’ın ünlü deyişi ile “en asil duyguların cihazı olan” Yubikey’den birer tane sipariş ettik.
Yubikey nedir, yenir mi?
Yubikey, birden fazla kimlik kontrolü ve şifreleme protokolünü destekleyen minik bir USB cihaz. İki faktörlü kimlik denetimi için kullanılabildiği gibi, PGP anahtarlarının barındırılması ve hatta statik parola üretimi için de kullanılabiliyor. Fiyat ise gayet makul, 40$ (dolar kaç olmuştu ya?).
Baştan söylemek gerekir ki, Yubikey iki faktörlü kimlik denetimi için adeta bir şaheser. Örneğin Google Authenticator ile süreç şu şekilde işliyordu: siteyi aç, parolanı gir, telefonunu eline al, Google Authenticator uygulamasını aç, geçerlilik zamanı az kaldıysa yeni kodun gelmesini bekle, kodu gir ve giriş yap. Yubikey ile ise parolanı girip üzerindeki tuşa basıyorsun ve içerdesin!
İki faktörlü denetimi destekleyen sitelerin çoğunluğu Yubikey’i destekliyor. Ben şu anda Google, Facebook, Dropbox, GitHub ve GitLab için Yubikey kullanıyorum. Yubikey’i desteklemeyen bazı siteler de var, örneğin DigitalOcean.
Küçük bir not, sunucularınızın güvenliği için de iki faktörlü denetim seçeneğini kullanabilirsiniz. Ubuntu ve Fedora resmi depolarında Yubikey için PAM modülü bulunuyor. Asla, asla ve asla parola bazlı SSH kullanmayın, kullanmak zorundaysanız Yubikey veya Google Authenticator ile iki faktörlü denetim yapın.
Ofis bilgisayarlarını Yubikey ile açmak
Yubikey’in kullanım alanı bunlarla sınırlı değil. Mesela ben biraz aşırı bulsam da Onur ve Akın bilgisayarlarına giriş yapmak için de Yubikey kullanıyor. Bu konuda daha fazla bilgi almak istiyorsanız, Akın‘ı dürtmelisiniz.
Şimdi gelelim Yubikey’in benim için en can alıcı özelliğine: PGP anahtarları. PGP (dikkat, Wikipedia linki), dijital verilerin şifrelenmesi ve online mahremiyetin sağlanabilmesi için Phil Zimmerman tarafından geliştirilmiş bir program. PGP’nin veri şifreleme için nasıl kullanıldığı hakkında bir özet geçmek gerekirse öncelikle bir anahtar çifti yaratıyorsunuz. Bu anahtarlardan ilki herkesle paylaştığınız, uluslararası sunucularda yayınladığınız umumi anahtarınız (public key), ikincisi ise sır gibi sakladığınız özel anahtarınız (private key). Sizinle üçüncü kişilerin anlayamayacağı şekilde iletişim kurmak isteyen kişiler, gönderecekleri veriyi umumi anahtarınız ile şifreliyorlar ve siz de bu şifrelenmiş veriyi özel anahtarınız ile çözerek okuyorsunuz. Dolayısıyla veri sadece ve sadece sizin tarafından görüntülenebiyor. Ayrıca bir veriyi şifrelemeyip imzalayabilirsiniz ve böylece verinin kaynağının siz olduğu hususunda şüphe kalmaz. Tabii bunun çok kabaca bir anlatım olduğunu söylemek gerek.
PGP ile ilgili en temel sorun (en azından benim için) anahtarlarınızı nasıl yöneteceğiniz, nasıl saklayacağınız sorusu. Her yeni dağıtım kurduğumda yeniden anahtar üretmek mi olsun, anahtarları Dropbox’ta oradan oraya taşımak mı olsun, her türlü yanlış uygulamayı yaptım bugüne kadar. Anahtar ile ilgili temel mantık şu: Anahtar sizin imzanız ve imzanıza güven duyulması için onu değiştirmemeniz gerekir. İşte Yubikey burada devreye giriyor. Anahtarınızı Yubikey’e yükleyebiliyorsunuz, böylece anahtarlarınız güvenli ve her zaman yanınızda olabilecek taşınabilir bir yuvaya sahip oluyor.
Başta dediğim gibi bu devirde internet kullanıcısı olmak zor bir iş. Dijital kimliğiniz gitgide fiziksel kimliğinize eş hale geliyor. Ancak dijital kimliğiniz kolayca taklit edilebilir ve çoğunlukla savunmasız durumda. Dolayısıyla kimliğinizi korumak için iyi yöntemler ve doğru araçlar kullanmalısınız. Her şeyden önce bir parola yöneticisi kullanmalı ve destekleyen her yerde iki faktörlü kimlik denetimini aktif hale getirmelisiniz. Bunun için Yubikey hem güzel hem de kullanışlı bir araç, öneririz.
Ali Işıngör
Ege Bey,
Yubikey’e dair birkaç sorum olacak. Yazıda yazmamışsınız ama sanırım cihaz parmak izi ile cihazlara erişimi sağlıyor. Şimdi sorularım şunlar:
1) Parmak izi nerede muhafaza ediliyor? Yubikey’de mi, merkez sunucu da mı yoksa her ikisinde birlikte mi? Bir başka deyişle, parmak izi doğrulaması nerede yapılıyor?
2) Yubikey’in sitesinde iki ürün var. Yubikey 4.0 ve Yubikey Neo. Aralarındaki fark nedir, siz hangisini kullanıyorsunuz?
Ege Güneş
Ali Bey,
Öncelikle sorularınız için teşekkürler. Sürüm geliştirme süreçleri arasında cevap verebilmek için ancak zaman bulabildim, gecikme için kusuruma bakmayın.
1) Yubikey’e erişim parmak iziniz ile sağlanmıyor (bkz. https://www.yubico.com/support/knowledge-base/categories/articles/yubikey-biometric-device/).
2) Yazımda belirtmeyi atlamışım, biz Yubikey 4 modelini kullanıyoruz. Yubikey 4 ile Yubikey Neo arasındaki farklar ise… Bu sorunun cevabı kendi başına bir blog yazısı olabilir. Ancak burada bir özet geçmek gerekirse;
Yubikey Neo sadece RSA-2048 anahtarları desteklerken Yubikey 4 RSA-4096 anahtarları da destekleyen bir cihaz. Bu konuda daha fazla bilgi için şu blog serisine bakabilirsiniz: https://www.yubico.com/2015/02/big-debate-2048-4096-yubicos-stand/
Yubikey Neo NFC bağlantıyı desteklerken bu özellik ne yazık ki Yubikey 4 cihazlarda bulunmuyor.
Ve zurnanın zırt dediği yer: Yubikey Neo açık kaynak iken Yubikey 4 değil! Yubico bu konuda özetle “Dostlar, Yubikey Neo donanım seviyesinde çok da güvenli değildi. Biz Yubikey 4 ile çok güvenli bir çip geliştirdik ancak çeşitli üreticilerle gizlilik anlaşmaları vs. derken kaynağını açabileceğimiz kısım o kadar daraldı ki açık kaynak yapmanın pratik bir anlamı kalmadı” diyor. Yubico’nun bu kararını daha iyi anlayabilmek için şu blog yazısına göz gezdirmenizi şiddetle tavsiye ederim: https://www.yubico.com/2016/05/secure-hardware-vs-open-source/
Bekir
Şahsi yubikey im kaybettiğim zaman nasıl yol izlemeliyim.