Merge pull request 'riseup çeviri güncellemesi' (#18) from hmdgms/guvenlik:master into master

Reviewed-on: oyd/guvenlik#18
ag_guvenlik_duzenleme
murat emir cabaroğlu 4 years ago
commit 4990994cbd
  1. 8
      README.md
  2. 20
      src/beseri_guvenlik/mesaj_disiplini.md
  3. 59
      src/beseri_guvenlik/parolalar.md

@ -1,16 +1,16 @@
# Özgür Yazılım Derneği Güvenlik Rehberi
Bu depo, [guvenlik.oyd.org.tr](https://guvenlik.oyd.org.tr) adresinde bulunan Güvenlik Rehberi'ni içerir.
Bu depo, [guvenlik.oyd.org.tr](https://guvenlik.oyd.org.tr) adresinde bulunan Güvenlik Rehberi'ni içerir.
## Kullanım ve test
Güvenlik Rehberi, [mdBook](https://github.com/rust-lang/mdBook) ile oluşturulmuştur.
Güvenlik Rehberi, [mdBook](https://github.com/rust-lang/mdBook) ile oluşturulmuştur.
mdBook kurulumu:
```
wget https://github.com/rust-lang/mdBook/releases/download/v0.4.1/mdbook-v0.4.1-x86_64-unknown-linux-gnu.tar.gz -o mdbook.tar.gz
tar xzvf mdbook.tar.gz
wget -O mdbook.tar.gz https://github.com/rust-lang/mdBook/releases/download/v0.4.1/mdbook-v0.4.1-x86_64-unknown-linux-gnu.tar.gz
tar -xvf mdbook.tar.gz
sudo mv mdbook /usr/local/bin/
```

@ -1,6 +1,12 @@
# Mesaj Disiplini
## Gönderene asla güvenmeyin
* [Gönderene asla güvenmeyin](#gonderene-guvenme)
* [E-postalardaki bağlantılardan sakının](#eposta-baglanti)
* [Asla bir bağlantıya tıkladıktan sonra hesap girişi yapmayın](#hesap-girisi)
* [Dosya Eklerinden uzak durun](#dosya-eki)
* [Ek okumalar](#ek-okuma)
## Gönderene asla güvenmeyin<a name="gonderene-guvenme"></a>
E-postanın yaşanan çoğu saldırının temel kaynağı olmasının nedeni gönderenin kimliğinin doğrulanmasının imkanı olmamasıdır.
@ -16,7 +22,7 @@ Genel olarak posta kutunuzda beklenmedik her e-postaya şüphe ie yaklaşmalıs
Eğer hesabınıza girildiyse; hatırlamadığınız yanıtlar, yeni girdiler, dizinler, yaratılmış filtreler veya ayarlarınızda değişiklikler görmeniz mümkündür. Bu gibi şüpheli durumlarda teknik destek almalı ve önleyici olarak parolalarınızı değiştirmelisiniz.
## E-postalardaki bağlantılardan sakının
## E-postalardaki bağlantılardan sakının<a name="eposta-baglanti"></a>
Bağlantılar (linkler), çoğunlukla masum görünümlü, hatta kimi zaman e-postanın içinde gizli olmakla saldırganların bilgi çalmasının veya cihazları ele geçirmeleri için en temel yoldur.
@ -28,7 +34,7 @@ En iyisi e-postalarla gelen bağlantılara asla tıklamamaktır. Eğer e-posta i
Bilinmeyen kişilerden veya şüpheli görünen e-postalarla gelen bağlantılar ve dosyaları asla açmayın. Tanıdığınız kişilerin aksine bilinmeyen kimseler size gerçekten ihtiyacınız olacak bir bağlantı veya dosya göndermeyecektir. Eğer bilinmeyen bir gönderenin bağlantısı gerçekten gerekli bir bilgi içeriyorsa, bu bilgiye ayrıca yapılacak bir arama gibi daha güvenilir bir şekilde ulaşmak mümkündür.
## Asla bir bağlantıya tıkladıktan sonra hesap girişi yapmayın
## Asla Bir Bağlantıya Tıkladıktan Sonra Hesap Girişi Yapmayın<a name="hesap-girisi"></a>
Eğer e-posta ile gelen bir bağlantıya tıklarsanız, açılan sayfada herhangi bir hesabınızın bilgileri ile giriş yapmamanız önemlidir. Eğer bir web sayfası sizden giriş yapmanızı isterse şu adımları takip edin:
@ -39,15 +45,15 @@ Eğer e-posta ile gelen bir bağlantıya tıklarsanız, açılan sayfada herhang
Bu yöntem sizi çoğu oltalama saldırısından koruyacaktır.
## Eklentilerden uzak durun
## Dosya Eklerinden Uzak Durun<a name="dosya-eki"></a>
E-posta eklentileri oltalama saldırıları için aracı olmak dahil ciddi tehlikeler içerir. Eklentilerin gönderenler arasında gözlenmediği veya değiştirilmediğine dair güvence yoktur. Hali ile gönderdiğiniz eklentinin alıcıya ulaşan ile aynı olduğuna emin olamazsınız. Sizin ile alıcınız arasındaki kötücül bir sunucu, gönderinizi istediği gibi bir virus veya kötücül yazılım ile değiştirebilir. Ek olarak gönderilen ekler alıcının, kontrol edilmesi kolay olmayan e-posta kutusunda kalmaktadır. Örneğin, kredi kartı bilgilerinizi içeren bir ödeme formunu satıcıya göndermeniz durumunda satıcı silmediği sürece o bilgi kendilerine ait e-posta sunucusunda duracaktır. Bir ihlal olması durumunda, sunucuya giren saldırganlar gönderdiğiniz bilgiye de erişecektir.
E-posta dosya ekleri, oltalama saldırıları için aracı olmak dahil ciddi tehlikeler içerir. Dosya eklerinin gönderenler arasında gözlenmediği veya değiştirilmediğine dair güvence yoktur. Hali ile gönderdiğiniz ekin alıcıya ulaşan ile aynı olduğuna emin olamazsınız. Sizin ile alıcınız arasındaki kötücül bir sunucu, gönderinizi istediği gibi bir virus veya kötücül yazılım ile değiştirebilir. Ek olarak gönderilen dosyalar alıcının, kontrol edilmesi kolay olmayan e-posta kutusunda kalmaktadır. Örneğin, kredi kartı bilgilerinizi içeren bir ödeme formunu satıcıya göndermeniz durumunda satıcı silmediği sürece o bilgi kendilerine ait e-posta sunucusunda duracaktır. Bir ihlal olması durumunda, sunucuya giren saldırganlar gönderdiğiniz bilgiye de erişecektir.
E-posta eklentileri yerine, ekleri sunucuda tutup bağlantılarını e-posta ile göndermek daha iyidir. İdeali, bu bağlantıların dosyaları bir parola ile korunduğu veya bir tür yetkilendirme sistemi ile giriş yapılan ve bir süre sonra süresi geçen sistemlerle sunulmasıdır. Bu bağlantılar çoğu veri depolama sistemi tarafından kolaylıkla üretilebilmektedir. Kendi sunucunuzda duran veya uzak sunucularda çalıştırdığınız sistemler bu imkana sahip olabilir ([ör:Nextcloud](https://nextcloud.com/))
E-posta dosya ekleri yerine, dosyaları sunucuda tutup bağlantılarını e-posta ile göndermek daha iyidir. İdeali, bu bağlantıların dosyaları bir parola ile korunduğu veya bir tür yetkilendirme sistemi ile giriş yapılan ve bir süre sonra süresi geçen sistemlerle sunulmasıdır. Bu bağlantılar çoğu veri depolama sistemi tarafından kolaylıkla üretilebilmektedir. Kendi sunucunuzda duran veya uzak sunucularda çalıştırdığınız sistemler bu imkana sahip olabilir ([ör:Nextcloud](https://nextcloud.com/))
Fazladan tedbir için, şifrelenmiş dosyaları <https://share.riseup.net> üzerinden geçici bağlantılar aracılığı ile paylaşabilirsiniz.
## Ek okumalar
## Ek Okumalar<a name="ek-okuma"></a>
* [Security Self-defense / How to Avoid Phishing Attacks](https://ssd.eff.org/en/module/how-avoid-phishing-attacks)
* [Security Education Companion / Phishing and Malware](https://sec.eff.org/topics/phishing-and-malware)

@ -1,59 +1,66 @@
# Parolalar
## Parola yöneticisi kullanın
* [Parola yöneticisi kullanın](#parola-yoneticisi)
* [Güçlü Parolalar Kullanın](#guclu-parola)
* [Eşsiz parolalar kullanın](#essiz-parola)
* [Parolalarınızı gizli tutun](#gizli-parola)
* [Kurumsal ve kişisel parolalarınızı ayırın](#kurumsal-kisisel-parola)
* [Ek okuma listesi](#ek-okuma)
Parola yöneticisi kullanmak, kişisel güvenliğinizi arttırmak için yapabileceğiniz en önemli şeydir. Bilgisayarların işlem güçlerinin giderek arttığı ve sızıntılar dolayısı ile çokça kişinin parolaları İnternet'e saçıldığı için insanların kafalarından uydurduğu parolalar artık yetersiz kalmaktadır. Güvenli parolalar artık **xoo|Z'eetohth3Zoaph^** gibi göründüğünden insanların hatırlaması mümkün değildir.
## Parola yöneticisi kullanın<a name="parola-yoneticisi"></a>
Parola yöneticisi kullanmak, kişisel güvenliğinizi arttırmak için yapabileceğiniz en önemli değişikliktir.
Bilgisayarların işlem güçlerinin giderek arttığı ve sızıntılar dolayısı ile çokça kişinin parolaları İnternet'e saçıldığı için insanların kafalarından uydurduğu parolalar artık yetersiz kalmaktadır. Güvenli parolalar artık **xoo|Z'eetohth3Zoaph^** gibi göründüğünden insanların hatırlaması mümkün değildir.
Bir parola yöneticisi, size hem güçlü hem de eşsiz parolalar kullanma imkanı sağlar. Parola yöneticisi ile her hesabınız için benzersiz parolalar atar ve tüm hesaplarınızın parolalarına erişmenizi sağlayacak sadece bir adet parola hatırlarsınız. Özetle siz bir tane güvenli parola hatırlarsınız, parola yöneticisi sizin için yüzlerce!
İyi bir parola yöneticisinin dikkat edilmesi gereken üç önemli özelliği vardır:
İyi bir parola yöneticisinde dikkat edilmesi gereken üç önemli özelliği vardır:
* **Yerel Yazılım**: Özel bir amaçla yazılmış bir yazılım olarak parola yöneticisinin sakladığı parolaları yerel olarak bilgisayarınızda bulundurması, bir ana parola ile şifrelemesidir. Bu en güvenli seçenek olmakla birlikte birden fazla cihaz arasında eşitlemeyi güçleştirecektir.
* **Bulut Hizmetleri**: Genellikle ücretli olmakla parolalarınızı cihazlarınızdan bağımsız olarak saklayan bir hizmeti ifade eder. Bulut hizmetleri aracılığı ile parolalarınıza heryerden ulaşmanın rahatlığını daha az güvenlik olarak ödersiniz.
* **Tarayıcı Eklentileri**: Hem yerel yazılım hemde bulut hizmeti olarak sunulan parola yöneticileri çoğunlukla, parolalarınıza kolaylıkla erişebilmeniz için bir tarayıcı eklentisine sahiptirler. Bu eklentiler rahatlık sağlar fakat daha az güvenlidirler.
* **Yerel Uygulama**: Parolalarınızı, bir ana parola ile şifreleyerek saklayan özel bir uygulamadır. Bu oldukça güvenilir bir seçenek olmakla birlikte birden fazla cihaz arasında eşitlemeyi güçleştirecektir.
* **Bulut Hizmetleri**: Genellikle ücretli olmakla parolalarınızı cihazlarınızdan bağımsız olarak saklayan bir hizmeti ifade eder. Bulut hizmetleri aracılığı ile parolalarınıza heryerden ulaşmanın kolaylığı olmakla birlikte dezavantajı daha az güvenliğe sahip olmasıdır.
* **Tarayıcı Eklentileri**: Hem yerel uygulama hem de bulut hizmeti olarak sunulan parola yöneticileri çoğunlukla, parolalarınıza kolaylıkla erişebilmeniz için bir tarayıcı eklentisine sahiptirler. Bu eklentiler rahatlık sağlar fakat daha az güvenlidirler.
Hangi aracı seçtiğinizden bağımsız olarak gerçekten önemli olan bir parola yöneticisi kullanmanızdır. Lütfen aşağıdaki önerileri aklınızda tutun:
Hangi aracı seçtiğinize bakmaksızın gerçekten önemli olan bir parola yöneticisi kullanmanızdır. Lütfen aşağıdaki önerileri aklınızda tutun:
* **Ana Parola**: Bir parola yöneticisi kullanırken, ana parolanızı kaybetmemeniz hayati öneme sahiptir. Bunun için **[Zarola](https://zarola.oyd.org.tr)** kullanmanızı öneriyoruz. Bilgisayarlar için zor ama hatırlamanız için kolay bir parola tüm sayısal hayatınızın dayanacağı bir parolayı unutmamak için en garanti yoldur.
* **Yedekler**: Parola yöneticinizin verilerini düzenli olarak yedeklemeniz de bir o kadar önemlidir. Bulut hizmetinin kesilmesi sonunuzun gelmesi olur bu yüzden düzenli yerel yedek almak iyi bir fikirdir. Yerel yazılımlar için basitçe yedek almak yeterlidir. Ara sıra parola yöneticinizin parolaları sakladığı küçük dosyayı bir flash belleğe koyup kenara kaldırmak sizi çokça baş ağrısından kurtarabilir.
* **Ana Parola**: Bir parola yöneticisi kullanırken, ana parolanızı kaybetmemeniz hayati önem taşır. Ana parolayı unutma ihtimaline karşı bir yere bu parolayı not edebilirsiniz. Ama güçlü ve unutulması zor bir ana parola üretmek için **[Zarola](https://zarola.oyd.org.tr)** kullanmanızı öneriyoruz. Bilgisayarlar için zor ama hatırlamanız için kolay bir parola tüm sayısal hayatınızın dayanacağı bir parolayı unutmamak için en garanti yoldur.
* **Yedekler**: Parola yöneticinizin verilerini düzenli olarak yedeklemeniz de bir o kadar önemlidir. Bulut hizmeti yedekleme işini sizin için yaparken yerel yedeklerinizi düzenli olarak almanız yararınıza olacaktır. Yerel uygulamalar için veri dosyasının yedeğini almak yeterlidir. Ara sıra parola yöneticinizin parolaları sakladığı küçük dosyayı bir flash belleğe koyup kenara kaldırmak sizi çokça baş ağrısından kurtarabilir.
Yaygın parola yöneticileri;
* Keepass ve KeepassX (yerel yazılım) ciddi şekilde önerilen iki yerel parola yöneticisinin versiyonlarıdır. Bu iki araç aynı şifreli dosya tipini kullanmakta ve neredeyse her bilgisayarda çalışabilmektedir.
* Keepass ve KeepassX (yerel uygulama) ciddi şekilde önerilen iki yerel parola yöneticisidir. Bu iki araç aynı şifreli dosya tipini kullanmakta ve neredeyse her bilgisayarda çalışabilmektedir.
* [Security Self-defense / How to: Use KeepPassXC](https://ssd.eff.org/en/module/how-use-keepassxc)
* [Security In-a-box / KeePass overview](https://securityinabox.org/en/guide/keepass/windows)
* LassPass (Bulut)
* 1Password(bulut & yerel yazılım)
## Güçlü Parolalar Kullanın
* LassPass (Bulut uygulaması)
* 1Password(bulut & yerel uygulaması)
Rastgele üretilmiş güçlü parolalar kullanın. Bir parolanın gücünü, uzunluğu ve rastgeleliği belirler. Parolalarınız parola yöneticisi tarafından rastgele üretilmiş olması gereklidir. Parola yöneticinizin hafızası ile bir sıkıntısı olmadığından 24 karakterden kısa parolalar kullanmamanız geleceğe yönelik iyi bir yatırımdır.
## Güçlü Parolalar Kullanın<a name="guclu-parola"></a>
Güçlü ve rastgele parolaların istisnası olarak cihazlarınızın ekran kilitlerine koyduklarınız sayılabilir. Bu sistemler birden fazla giriş denemesini engellediklerinden ve sizin tarafınızdan ara sıra değiştirildiklerinde görece kısa olsalar da amaçlanan güvenlik için yeterlidirler.
Güçlü parolalar rastgele üretilirler. Bir parolanın gücünü, uzunluğu ve rastgeleliği belirler. Cihazınız ve parola yöneticisi ana parolası haricindeki tüm parolalarınız bir parola yöneticisi tarafından rastgele üretilmelidir. Parolalarınız en az 12 karakter olmalıdır. Ancak 26 karakterden uzun parola kullanmanıza gerek yoktur. İyi bir parola geleceğe yönelik iyi bir yatırımdır.
İnsanlar, bilgisayarların aksine güvenli parolalar yaratmakta çok başarısızdır. Bırakın bilgisayar bu işi sizin için yapsın.
İnsanlar, bilgisayarların aksine güvenli parolalar yaratmakta bir hayli başarısızdır. Bırakın bilgisayar bu işi sizin için yapsın.
Hatırlamanız gereken parolalar üretmek için çokça yol bulunmaktadır. Eğer parola yöneticisine bırakmak yerine hatırlamanız gereken parolalar varsa bunlar için biz [Zarola](https://zarola.oyd.org.tr) kullanmanızı öneriyoruz.
Hatırlamanız gereken parolalar üretmek için pek çok yol bulunmaktadır. Eğer parola yöneticisi kullanıyorsanız bırakın uygulama sizin için üretsin. Ancak kendiniz hatırlaması kolay güçlü parolalar oluşturmak istiyorsanız biz [Zarola](https://zarola.oyd.org.tr) kullanmanızı öneriyoruz.
[Zarola](https://zarola.oyd.org.tr) Zarola, kolayca hatırlanabilir ve yüksek derecede güvenli parolalar oluşturabilmenizi sağlayan bir yöntemdir. İnsanlar rastgele şeyler üretemeyeceklerinden rastgelelik kaynağı olarak zar veya bozukpara kullanılır. 7776 Tane kelime içinden seçilen 7 adet ile parola oluşturulur ve hikayeleştirilerek ezberlenir. Bazen komik hikayeler bile çıkar!
Konuya ilişkin Gözetim Meşru Müdafaa'nın [Güçlü Parolalar Üretmek](https://ssd.eff.org/en/module/creating-strong-passwords) rehberine bakabilirsiniz.
Konuya ilişkin Gözetim Meşru Müdafaa'nın(Security Self-defense) [Güçlü Parolalar Üretmek](https://ssd.eff.org/en/module/creating-strong-passwords) rehberine bakabilirsiniz.
Her hesabın güvenli parolalar ile korunması önemlidir, öyle ki bir hesaba erişim çoğunlukla diğer hesap ve sistemlere giriş için de kullanılabilir. Bu özellikle hesaplarınızı sıfırlama imkanı olan her **e-posta hesabı** için geçerlidir (genellikle "parolamı unuttum" bağlantıları ile).
## Eşsiz parolalar kullanın
## Eşsiz parolalar kullanın<a name="essiz-parola"></a>
Şayet bir parolayı birden fazla hesap için kullanırsanız, bir hesaptan sızan parolalar ile diğer hesaplarınıza erişilebilir. Paralolarınızı hesap başına ayrı tutmanız hesaplarınızı izole ederek riskinizi azaltacaktır. Bir parola yöneticisi kullanmak bunu yapmayı çok kolaylaştırır.
Eşsiz parolalar kullanmak üçüncü parti hizmetleri kullanmadaki riskleri en aza indirir. Şayet bir parolayı birden fazla hesap için kullanırsanız, bir hesaptan sızan kullanıcı adı ve parolalar ile diğer hesaplarınıza sızabilir. Farklı servisler için farklı parala kullanmak tutmanız hesaplarınızı birbirinden izole ederek riski azaltacaktır. Bir parola yöneticisi kullanmak bunu yapmayı oldukça kolaylaştırır.
## Parolalarınızı gizli tutun
## Parolalarınızı gizli tutun<a name="gizli-parola"></a>
Biri yardım teklif etse veya kendini teknik destek olarak tanıtsa bile asla kimseye parolalarınızı vermeyin. Neredeyse her hesap ve sistem parola sıfırlanmasına olanak tanımakta. Gerçek bir IT uzmanı size parolanızı sormak yerine sahip olunan bu imkanları kullanabilir. Bu tip sistemler aynı zamanda erişimleri takip altında tutar ve sizi sıfırlama hakkında bilgilendirir. Sizin de her yönetici erişiminden sonra parolanızı değiştirmeniz gerekmektedir ki sadece sizin söz konusu sistemlere erişiminiz olduğuna emin olun.
Bir bilişim personeli dahi teknik destek için parolalarınızı sorsa parolanızı asla vermeyin. Neredeyse her hesap ve sistem parola sıfırlanmasına olanak tanımaktadır Meşru olarak herhangi bir IT uzmanı size parolanızı sormadan bakım amaçlı parolanızı sıfırlayabilmektedir. Bu tip sistemler aynı zamanda erişimleri takip altında tutar ve sizi sıfırlama hakkında bilgilendirir. Sizin de her yönetici erişiminden sonra parolanızı değiştirmeniz gerekmekir. Bunun için sadece söz konusu sistemlere erişiminizin olması gerekir ve bu sistemler ornaizasyon içerisinde hesabınızdaki değişikliğin kim tarafından yapıldığı konusunda size bilgi verir.
## Kurumsal ve kişisel parolalarınızı ayırın
## Kurumsal ve kişisel parolalarınızı ayırın<a name="kurumsal-kisisel-parola"></a>
Kurumsal parolalar, kurumunuzun sistemlerine ve sayısal kimliklerine erişim sağlayan herhangi bir paroladır. Bunlar gerçekten önemli bilgiler olduğundan kişilerin kendi kişisel hesaplarına girmek için kullandıklarından farklı olmalıdır. Bunu parola yöneticisinde ayrı bir giriş veya farklı bir parola dosyası kullanarak veya tamamen farklı bir parola yöneticisi seçerek sağlayabilirsiniz.
Kurumsal parolalar, kurumunuzun sistemlerine ve sayısal kimliklerine erişim sağlayan herhangi bir paroladır. Bunlar gerçekten önemli bilgiler olduğundan kişilerin kendi kişisel hesaplarına girmek için kullandıklarından farklı olmalı ve ayrı olarak saklanmalıdır. Kurumsal parolanızı, parola yöneticisinde ayrı bir giriş veya farklı bir parola dosyası kullanarak veya tamamen farklı bir parola yöneticisi seçerek saklayabilirsiniz.
## Ek okuma listesi
## Ek okuma listesi<a name="ek-okuma"></a>
* [Security Planner / Password Managers](https://securityplanner.org/#/tool/password-manager)
* [Security In-a-box / Passwords](https://securityinabox.org/en/guide/passwords/)

Loading…
Cancel
Save