Güvenli İnternet Günü’nü kutladığımız bu zamanlarda çoğu kişinin göz ardı ettiği temel bir güvenlik konusuna değinmek istedik: şifreler. Kullandığımız şifreler web güvenliğinin en temel parçalarından biri ancak şifre yöneticisi kullanmak ya da güçlü şifreler oluşturmak gibi konularda ne yazık ki genellikle rahat bir yaklaşım sergileniyor.
Öyle ki, online güvenlik sağlayıcısı TeamPassword’un verileri, geçtiğimiz yıl en çok sızdırılan şifrenin “123456” olduğunu gösteriyor. Bunu “qwerty” ve “password” takip ediyor.
Herkesin kendi şifre oluşturma yöntemi ve politikası olduğu bir gerçek. Bu genellikle oldukça kişisel bir yaklaşım olmasının yanı sıra online güvenlikle ilgili birtakım varsayımlara dayanıyor. Ve birçok kullanıcı şifre konusunda güvenlik yerine kolaylığı tercih ediyor. Ancak güvenlik konusunu çok ciddiye alanların bile kabul etmesi gereken bir gerçek var.
Tüm güvenlik önlemleri gibi, şifre yönetimi için uygulanan önlemler de riskin en aza indirilmesini sağlayabilir ancak riski tamamen ortadan kaldıramaz.
Şifre yönetimi bir seçim ve bir alışkanlıktır. Kullanıcılar konu hakkında daha ayrıntılı bilgi sahibi olarak bilinçli kararlar verebilir ve şifre yöneticisi, şifre kasası ve güçlü şifreler kullanmak gibi daha güvenli yöntemler uygulamaya başlayabilirler.
Bir şifreyi iyi şifre yapan nedir?
Güçlü bir şifre oluşturmak için dikkat etmeniz gereken birkaç nokta var. Şimdi bunları gözden geçirelim.
Benzersizlik
Bunu daha önce de duymuş olabilirsiniz ama Password123! veya 123456 ya da ardışık sayı ve harflerin herhangi bir kombinasyonundan oluşan şifreleri tahmin etmek oldukça kolaydır. Ayrıca, doğum gününüz ya da evcil hayvanınızın ismi gibi internette basit bir arama yaparak herkesin kolayca ulaşabileceği bilgileri de şifre olarak kullanmak pek akıllıca değildir.
Uzunluk
Şifreniz ne kadar uzunsa o kadar iyidir. Şifrenizdeki karakter sayısı ne kadar fazlaysa matematiksel olarak tahmin edilememe olasılığı o kadar artar. Bu nedenle daha fazla karakter, daha güçlü şifreler anlamına gelir.
Karmaşıklık
Sayılar ve benzersiz karakterler eklemek şifrenizin diğerlerinden ayrışmasını sağlar. Herkes köpeğinin adını bir şifre olarak kullanabilir. Diyelim ki burada köpeğin adı Harry olsun. Rakamlar, karakterler ve büyük ve küçük harf ekleyerek bu şifreyi bile benzersiz bir hale getirebilirsiniz. Böylece Harry’den &H4RrY)*7’ye dönüşmüş şifrenizi tahmin etmek çok daha zor olacaktır.
Her şifreyi sadece bir yerde kullanmak
Benzersiz şifreler oluşturduğunuzda bunları tekrar kullanmamaya dikkat edin. Hesaplarınızdan birinin güvenliği ihlal edilirse, bu hesabın izole edildiğinden emin olmak güvenliğiniz için önemlidir. Aynı şifreye sahip birden fazla farklı hesabınız varsa, bir tanesinin şifresinin ele geçirilmesi durumunda tüm hesaplarınız tehlikeye girebilir. Bu da yalnızca web siteniz için değil kişisel yaşamınız için de kötü sonuçlara sebep olabilir.
İlgili yazı: Güçlü şifre oluşturmak ve şifreleri güvence altına almak için 10 yöntem
Şifre yöneticisi kullanmaya geçmeden önce entropiden bahsedelim
Entropi, bir şifrenin ne kadar rastgele olduğunu tanımlamak için kullanılır. Bir şifrenin entropisi ne kadar fazlaysa, o kadar güçlü ve zor tahmin edilebilir bir şifredir. Daha uzun şifreler kullanmak entropiyi kat kat artırır. Farklı karakterler eklemek (sayılar, semboller vb.) de şifrenin uzunluğu ne olursa olsun olasılıkları artıracağından tahmin edilmesini de zorlaştırır. Şifreniz ya da şifrenizin bir kısmı herhangi bir kelime listesinde (örneğin sözlükte) yer alıyorsa, bu rastgele olmadığı anlamına gelir.
Şifreniz bir kalıba ya da belirli bir temele dayanıyorsa, rastgele değildir. Bir şifrenin entropisi ne kadar düşük olursa, tahmin edilmesi de o kadar kolay olur.
Hâlâ birçok şifre alanının en sekiz karakter olma zorunluluğundan öteye geçmediğini görüyoruz. Şifre belirlerken karşınıza çıkan şifre gücü ölçümlerinin de birbirlerinden büyük farklılık göstermesi de duruma yardımcı olmuyor. Bu nedenle bir şifreyi neyin “güçlü” veya tahmin edilemez yaptığını anlamaya çalışmak zor olabiliyor. Bir yandan da herhangi bir şifreyi kolayca kırabilecek kadar hızlı olması amaçlanan kuantum bilgisayarlardan bahsediliyor tabii…
Şifrelerinizi hatırlamakta zorlanıyorsanız bir şifre yöneticisi kurtarıcınız olabilir
Tüm hesaplarınız için ayrı ayrı şifreleri hatırlamaya çalışmak sizi tedirgin ediyorsa işinizi kolaylaştıracak bir çözüm var. LastPass, KeePass ya da Dashlane gibi bir şifre yöneticisi kullanmak!
Bir şifre yöneticisi bütün şifrelerinizi tek bir "kasada" saklamanın yanı sıra tarayıcı uzantısını da kullanıyorsanız şifreleri otomatik olarak doldurur. Ayrıca güçlü şifreler oluşturma konusunda da endişelenmenize gerek kalmaz, çünkü bunları da sizin için otomatik olarak üretir.
Şifre yöneticisi kullanmak istemiyorsanız şifrelerinizi gruplandırmayı deneyin
İşte size işinizi kolaylaştırabilecek başka bir fikir: Şifrelerinizi gruplandırırsanız onları daha kolay yönetebilirsiniz. Bu gruplandırmaları istediğiniz gibi yapabilirsiniz.
- Önemli – Finans kurumları, altyapı erişimi, e-posta ve ana hesaplar
- Orta seviye – Sosyal ağlar, web siteleri, forumlar
- Düşük seviye – Sahte hesaplar, takma ad hesapları, oyun hesapları
Daha sonra bu listeyi kullanarak kategorilere kendi istediğiniz özellikleri verebilirsiniz. Örneğin:
- Önemli – 12 karakterden az olmayan, özel karakterlerin kullanıldığı, otomatik araçlar ile rastgele olacak şekilde oluşturulmuş şifreler
- Orta seviye – 8 karakterden az olmayan, büyük ve küçük harf kullanılan, otomatik araçlar ile rastgele oluşturulmuş şifreler
- Düşük seviye – 8 karakterden az olmayan, insan tarafından oluşturulan, hızlı erişimin gerekli olduğu şifreler
Gruplandırmaları yaparken iyi düşündüğünüzden emin olun. Düşük güvenlik seviyesinde olduğunu varsaydığınız bir hesap aslında önemli olabilir.
Örneğin Hepsiburada gibi bir hesabınızı ele alalım. Bunun en azından orta seviyede olması gerekiyor.
Birinin hesabınıza giriş yapması durumunda profil bilgilerinize hızlıca erişme olasılığı oldukça yüksek. Bu, fatura adresiniz, telefon numaranız ve kredi kartı bilgileriniz gibi kişisel verilerinizi toplamak için kullanılabilir. Bu bilgilerin başkasının eline geçmesi de güvenliğinizi büyük tehlikeye atacaktır.
Şifreler nasıl hack’lenir?
Bilgisayarlar inanılmaz derecede hızlı çalışır ve hacker’lar bilgisayarların daha verimli bir şekilde tahmin yapmasına yardımcı olan büyük miktarda veriye erişebilirler. Örneğin, tipik bir klavyede 94 karakter bulunur. Bir hacker kaba kuvvet saldırısı kullanarak hesaba erişim sağlayana kadar bu karakterlerin olası kombinasyonları deneyebilir.
Şifre kısaysa bu yöntem etkili bir şekilde çalışır ancak daha uzun şifreler için oldukça zaman alabilir. Sözlük saldırısı uzun şifreleri tahmin etmek için daha etkili bir yöntemdir.
Sözlük saldırısı da kaba kuvvet saldırısıyla aynı tekniği kullanır, ancak tüm karakter kombinasyonlarını denemek yerine sözlüklerde ve literatürde geçen ortak şifreler ve sözcükler listesinden denemeler yapar. Yalnız, harfleri rakamlarla değiştirmek gibi kullanımların bile (B0YL3 Y4ZM4K G1B1) yaygın kelimeler listesinde bulunduğunu unutmamak gerek.
Şifre ihlallerinin yükselişi
Tüm bunlara ek olarak, güçlü şifreler bile kırılmamayı garanti edemez. Veri ihlalleri ya da araştırma girişimleri nedeniyle şifrelerin sızdırılma olasılığı da gittikçe artıyor. Sürekli karşılaştığımız şifre ihlali haberleri düşünülürse, internette dolaşan oldukça fazla sayıda aktif şifre olduğunu söyleyebiliriz.
Hem iyi niyetli hem de kötü niyetli insanlar en yaygın şifreleri ve kalıpları araştırmak için bu şifre dökümlerini inceliyorlar. Bu veriler, insanların şifreleri hem güçlü hem de akılda kalıcı hale getirebilmek için ne gibi yöntemler izlediklerini ortaya çıkarıyor.
Yeterli miktarda veri ile şifrelerin oluşturulma taktikleri şeffaf bir hale geliyor. İşte bunlardan bazıları:
- Belli bir düzene dayalı şifreler (qwert678^&*)
- Başta büyük harf sonda bir numara ve sembol olan şifreler (Password1!)
- Yaygın harf/sembol değişimleri (P@ssw0rd)
- Kullanıcı ya da web sitesi ile ilişkilendirilen şifreler (Kullaniciadi@2014)
Bir kere keşfedildikten sonra, bu yöntemleri de göz önünde bulunduracak bir program tasarlanabilir ve kaba kuvvet saldırılarının dayandıkları kelime listeleri bu varyasyonlar da eklenerek daha da genişletilebilir.
Şifreleri ortaya çıkarmak için çeşitli sosyal taktikler de kullanılabilir. Hacker’lar, meşru görünen sahte e-posta adresleri ile kimlik avı dolandırıcılığı yaparak kullanıcıları kandırabilir. Benzer şekilde kötü amaçlı yazılımlar da kullanıcıları korkutarak bilgilerini açıklamalarına neden olabilirler.
Hedefli saldırılarda, hacker’lar saldırılarını geliştirmek için bulabildikleri kişisel bilgilerinizi (doğum gününüz ya da köpeğinizin adı gibi) de kullanırlar.
Bu tür saldırılara karşı web sitesi koruması için, CloudProxy gibi bir web uygulaması güvenlik duvarı kullanmanızı öneririz. Bu, kötü niyetli kullanıcıların sitenize girmesini engeller.
Şifre yöneticisi ve şifre güvenliği üzerine son sözler
Gelecekte bulunabilecek tüm şifre kırma yöntemlerine dayanıklı bir şifre hayal etmek oldukça zor. İşe şifrelerinizi benzersiz, karmaşık ve daha uzun hale getirerek başlayabilirsiniz ve bunların tümünü iyi bir şifre yöneticisi ile kolayca gerçekleştirebilirsiniz. Belki de ileride şifreler yerine yeni kimlik doğrulama yöntemleri ile karşılaşabiliriz.
Kesin olan bir şey var: Bilgisayarlar işlem hızı ve depolama kapasitesi açısından geliştikçe, parola entropisi için belirlenen gereksinimlerin de gelişmesi gerekecek.
Şifre ihlallerinin gittikçe arttığını ve şimdilik standart şifre kullanımının ortadan kalkmayacağını biliyoruz. Güvenlik ile ilgili olan her unsurda olduğu gibi şifreler konusunda da, riskleri bilmek ve sizi potansiyel tehditlerin bir adım önünde tutacak politikalar belirlemek yararınıza olacaktır. Kişisel hesaplarınız ve site ziyaretçileriniz söz konusu olduğunda, kaba kuvvet ve sözlük saldırılarına karşı korunmak, almanız gereken önemli bir önlemdir.