Güvenli bir deneyim için güçlü şifre oluşturma önemlidir. Peki ama bilgisayar korsanlarının kolayca kırmasını engellemek için güçlü bir şifre nasıl olmalıdır?
“Güçlü bir şifre nasıl olmalıdır?” sorusunun cevabı olarak bir çok kişi birkaç kuralı bilir. Mümkün olduğunca uzun olmalı, özel karakterler içermeli ve basit bir kelime olmamalıdır. Ayrıca şifrenizi düzenli olarak değiştirmeli, her kullanıcı hesabı için farklı bir şifre seçmeli ve asla bir yere yazmalısınız.
Özel dijital güvenlik şirketi NordPass her yıl 30 ülkedeki en popüler şifrelerin bir listesini yayınlıyor. Ve listesinin başındaki ilk beşli olan “şifre”, “123456”, “123456789”, “misafir” ve “qwerty” şifrelerinin popülerliği neredeyse hiç değişmiyor.
Bu şifrelerin son derece zayıf olduğunu çoğumuz biliyoruz. Ancak tüm bu öneriler doğru olsa da hepsini aynı anda karşılamak neredeyse imkânsızdır. Çünkü çok güçlü bir şifre bulduğunuzu düşündüğünüz anda bir web sitesi bunu kabul etmeyebilir. Ya çok kısadır, ya çok uzundur ya da geçersiz bir karakter içermektedir. Bu kısıtlamalar, şifre seçimini çoğu kullanıcı için son derece sinir bozucu hale getirir.
Güvenli parola gereksinimleri için birçok İnternet servis sağlayıcısı, mümkün olduğunca çok sayıda özel karakter, büyük harf ve küçük harf içeren parolalar öneren, ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayımlanan 2003 yönergelerine güvenir. Ancak bu yönergeleri oluşturan Bill Burr önerilerin çoğundan pişman olduğunu da söylemiştir.
Bunun nedeni de aslında oldukça ilginçtir. İnsanları parolalarını değiştirmeye zorlamak ve özel karakterler kullanmalarını zorunlu kılmak, genellikle belirli bir şema veya deseni izleyen, hatırlaması kolay (ve bu nedenle güvenli olmayan) parolalar seçilmesine neden olmaktadır
Aslına bakarsanız bu nedenle de yönergeler revize edilmiş durumdadır. Ancak tüm sağlayıcılar buna uyum sağlamadığı için de hala bir şifrede özel karakterler, sayılar ve büyük ve küçük harfler kullanmak zorunda kalıyoruz.
Kolay Şifre ve Zor Şifre Oluşturma Farkı Nedir?
Sadece küçük harflerden oluşan, altı karakter uzunluğundaki şifreleri ele alalım. Altı haneli bir şifre oluşturmak için sadece İngiliz alfabesindeki 26 harfi kullanırsak 266 = 308 915 776 farklı şifre olasıdır.
Şimdi de sadece küçük harfler değil, büyük harfler, rakamlar ve on ayrı sembol (örneğin, !, @, #, $, %, ^, &, , /, ve =) içeren on iki karakter uzunluğundaki şifreleri ele alalım. Her bir karakter için 26+26+10+10 = 72 ayrı ihtimal vardır. (26 Büyük harf, 26 küçük harf). Dolayısıyla muhtemel tüm şifrelerin sayısı 7212 =19 408 409 961 765 342 806 016 dir. Bu ilk yaptığımız hesaptan yaklaşık 62 trilyon daha fazladır.
Güçlü Bir Şifre Oluşturma Çeşitlilik İle Mümkündür
Şifre entropisi, bir şifrenin ne kadar öngörülemez olduğunun bir ölçüsüdür. Aşağıda sayılarda da gördüğünüz gibi uzunluk arttıkça ve seçeneklere başka karakterler eklendikçe şifre alanı genişler. Bu nedenle küçük ve büyük harfleri, sayı ve sembolleri içeren uzun şifreler kullanmamız istenir.
Ancak buradaki sorun biz ne kadar karmaşık şifreler koyarsak koyalım, bilgisayarların parolaları tahmin etmek de dahil olmak üzere yinelenen görevlerde oldukça verimli olmasıdır. 2021 yılında akla gelebilecek her şifreyi üretmek üzere programlanmış bir bilgisayar, 1 saniyede 100.000.000.000’dan fazla tahminde bulunarak rekor kırmıştı.
Siber suçlular, bilgisayarların bu gücünden yararlanır. Kaba kuvvet saldırıları adı verilen bir süreçte sistemleri mümkün olduğu kadar çok şifre kombinasyonuyla bombalayarak kolayca hacklemeleri mümkündür.
Üstelik 8 karakterlik bir şifreyi kırmaları için gereken zaman sadece 12 dakikadır. Bunu 25 dolar gibi bir ücret karşılığında yapabilirler. Aslında arka plandaki pazarda yalnızca 14 Avustralya Doları karşılığında çevrimiçi olarak yaklaşık 600 milyon şifre satın alabilirsiniz.
Sonucunda şu ana kadar uzun ve karmaşık bir şifrenin bile yeterince bizi korumayacağını anladık. Ancak banka kartlarımız sonuçta sadece 4 rakama dayanıyor. Şimdi aşağıdaki görsele bakalım. Bu görselde 4 haneli bir şifrenin tüm olası kombinasyonlarını kullanım sıklığına göre sıralıyor.
Görüyoruz ki güçlü şifre seçme konusunda gerçekten kötüyüz. Sadece 1234’e basarak dünyadaki PIN’lerin %10’undan fazlasını kırabilirsiniz. 1234, 0000 ve 1111 tüm parolaların yaklaşık %20’sine denk geliyor.
Gördüğünüz gibi söz konusu olan güvenliğimiz olsa bile biz insanlar hala yeterince iyi değiliz. Bu nedenle web siteleri ve bankalar bizden sıklıkla şifrelerimizi güncellememizi veya daha zor şifreler oluşturmamızı istiyor.
Web Siteleri Şifrelerin Gücünü Nasıl Kontrol Eder?
Yeni bir şifre oluşturma sürecini başlattığınızda, web sayfasının siz kayıt düğmesine tıklayana kadar asla yeniden yüklenmeyeceğine dikkat edin. Bu esnada web sayfası, sunucuyla iletişim kurmadan şifrenizin gücünü kontrol eder. Bunu, JavaScript adı verilen bir dilde yazılı küçük bir kod yapar. Javascript, HTML ve CSS ile birlikte world wide web’in üzerine inşa edildiği temel teknolojiyi oluşturan nesne yönelimli bir programlama dilidir.
Yeni bir şifre belirleme durumunda, komut dosyası, girişiniz için şifre alanını izler ve eklenmesi gereken karakterleri kontrol listesinden geçirir. Bunlardan herhangi birinin eksik olması durumunda da size bir hata mesajı görüntüler.
Bu esnada da arka planda Karma işlevi ( hashing) adı verilen ve yazdığınız şifreyi karmaşıklaştıran bir algoritma çalışır. Örneğin “Pa$$w0rd” şifresi, SHA1 karma algoritması kullanılarak hesaplandığında “02726d40f378e716981c4321d60ba3a325ed6a4c” değerini verecektir.
Şimdi “02726d40f378e716981c4321d60ba3a325ed6a4c” sayılarını kullanarak bir Google araması yapın. Ne yazık ki aşağıda da gördüğünüz gibi bu sayılar yardımı ile şifrenizin ele geçirilmesi son derece kolaydır.
Yazımızı buraya kadar okuduysanız endişelenmiş olmanız olasıdır. Şifrenizin gerçekten ne kadar güvenli olduğunu hiç merak ettiniz mi? Birinin e-postanıza, facebook’unuza veya çevrimiçi olan diğer hassas malzemelerinize girmesi ne kadar sürer? Bunu hemen a Randomize sitesi aracılığı ile deneyebilirsiniz. Bu sayede şifrenizin ne kadar zamanda kırılacağını göreceksiniz.
Çözüm Daha Karmaşık Şifreler Oluşturmak mı?
Bu arada, şifrelerden tamamen kurtulmak için çabalar var. Mayıs 2023’te teknoloji devi Google ilk adımı attı ve kullanıcıların yalnızca biyometrik veriler gerektiren parolalarla oturum açmasına izin verdi. Başka bir seçenek, kimliği doğrulanmış bir cihazda (örneğin, cep telefonuna SMS yoluyla) bir kod almak ve ardından bunu web sitesinde yazmaktır.
Artık şifreleri hatırlamak zorunda kalmayacağımız zamana kadar (eğer o gün gelirse), parola yöneticileri muhtemelen en fazla korumayı sağlar. Elbette bu sistemi kullanmak için de bir şifre oluşturmanız gerekiyor. Ancak sadece bu şifreyi hatırlayarak kalan işleri şifre yöneticine bırakabilirsiniz.
Sonucunda internet dünyası tuzaklarla doludur. Ancak basit önlemler sizleri bu tuzaklardan nispeten koruyacaktır. Şu an için yapabileceğiniz en iyi şey şifrelerinizi kontrol etmek ve zayıf olduğunu düşündüklerinizi güçlendirmektir.
Kaynaklar ve İleri Okumalar:
- A computer can guess more than 100,000,000,000 passwords per second. Still think yours is secure? Yayınlanma tarihi: 15 Eylül 2020; Bağlantı: https://theconversation.com/
- The Mathematics of (Hacking) Password; yayınlanma tarihi: 12 Nisan 2019; Bağlantı: https://www.scientificamerican.com/
- How Are They Able To Tell You The Strength Of Your Password?. Yayınlanma tarihi: 13 Kasım 2021. Kaynak site: Science ABC. Bağlantı: How Are They Able To Tell You The Strength Of Your Password/
Matematiksel
