Bildiğiniz gibi internet tamamen güvenli bir ortam değildir. Bu nedenle kişisel işlemler yapmamız gerektiğinde şifre oluşturmamız ve güvenli giriş yapmamız gerekir. Bunun için web siteleri, kendilerine ilk eriştiğinizde güçlü bir şifre oluşturmanızı ister. Ancak bir sorun var.
Bilgisayarlar güçlendikçe, şifreleri kırmak da giderek kolaylaşıyor. Bu nedenle eskiden bir kaç haneli şifreler oluşturmak yeterli olurken günümüzde şifrelerimiz giderek daha da uzamaya başladı. Sonuçta şifrelere farklı karakter türleri eklemek saldırganların işini zorlaştırır.
Kolay Şifre ve Zor Şifre Oluşturma Farkı Nedir?
Sadece küçük harflerden oluşan, altı karakter uzunluğundaki şifreleri ele alalım. Şifre oluşturulurken genellikle sadece İngiliz alfabesindeki 26 harf kullanılır. Bu nedenle 26 x 26 x 26 x 26 x 26 x 26 = 266 = 308 915 776 farklı şifre olabilir.
Şimdi de sadece küçük harfler değil, büyük harfler, rakamlar ve on ayrı sembol (örneğin, !, @, #, $, %, ^, &, , /, ve =) içeren on iki karakter uzunluğundaki şifreleri ele alalım. Her bir karakter için 26+26+10+10 = 72 ayrı ihtimal vardır. (26 Büyük harf, 26 küçük harf). Dolayısıyla muhtemel tüm şifrelerin sayısı 7212 =19 408 409 961 765 342 806 016 dir. Bu ilk yaptığımız hesaptan yaklaşık 62 trilyon daha fazladır.
Güçlü Bir Şifre Hem Uzun Olmalı Hem de Çok Çeşitli Karakterler İçermelidir.
Nispeten yakın zamana kadar, iyi bir şifre için altı ila sekiz karakter yeterliydi. Ancak artık minimum uzunluk yönergelerimiz var. Bunun nedeni “entropi”dir. Şifre entropisi, bir şifrenin ne kadar öngörülemez olduğunun bir ölçüsüdür. Olası tüm seçenekler ise şifre alanı ( Password space) olarak adlandırılır.
Aşağıda sayılara dikkatle bakın. Gördüğünüz gibi uzunluk arttıkça ve seçeneklere başka karakterler eklendikçe şifre alanı genişler. Bu nedenle küçük ve büyük harfleri, sayı ve sembolleri içeren uzun şifreler kullanmamız istenir.
Ancak buradaki sorun biz ne kadar karmaşık şifreler koyarsak koyalım, bilgisayarların parolaları tahmin etmek de dahil olmak üzere yinelenen görevlerde oldukça verimli olmasıdır. 2021 yılında akla gelebilecek her şifreyi üretmek üzere programlanmış bir bilgisayar, 1 saniyede 100.000.000.000’dan fazla tahminde bulunarak rekor kırmıştı.
Siber suçlular, bilgisayarların bu gücünden yararlanır. Kaba kuvvet saldırıları adı verilen bir süreçte sistemleri mümkün olduğu kadar çok şifre kombinasyonuyla bombalayarak kolayca hacklemeleri mümkündür.
Üstelik 8 karakterlik bir şifreyi kırmaları için gereken zaman sadece 12 dakikadır. Bunu 25 dolar gibi bir ücret karşılığında yapabilirler. Aslında arka plandaki pazarda yalnızca 14 Avustralya Doları karşılığında çevrimiçi olarak yaklaşık 600 milyon şifre satın alabilirsiniz.
Ancak buna rağmen bu konuda yeterince tedbirli olduğumuz söylenemez. Geçtiğimiz yıllarda yapılan bir çalışma bunu bizlere kanıtladı. Sonucunda şu ana kadar uzun ve karmaşık bir şifrenin bile yeterince bizi korumayacağını anladık. Ancak banka kartlarımız sonuçta sadece 4 rakama dayanıyor. Şimdi aşağıdaki görsele bakalım. Bu görselde 4 haneli bir şifrenin tüm olası kombinasyonlarını kullanım sıklığına göre sıralıyor.
4 Rakamlı Şifre Oluşturmada Oldukça Kötüyüz
Görüyoruz ki güçlü şifre seçme konusunda gerçekten kötüyüz. örneğin “1234” dünya üstündeki parolaların %10’una denk düşüyor.
Grafikte 3,4 milyon PIN’den oluşan bir veri kümesi üzerinde çalışılmış. İlk iki rakam yatay eksende, son iki rakam dikey eksende bulunuyor. 45 derecelik köşegene dikkat ediniz. Bu köşegen üzerinde 1111, 2222, 3333 gibi şifreler yer alıyor. Görselin analizini yapan şirketin bulguları şu şekilde.
- Sadece 1234’e basarak dünyadaki PIN’lerin %10’undan fazlasını kırabilirsiniz. 1234, 0000 ve 1111 tüm parolaların yaklaşık %20’sine denk geliyor.
- Herkes doğum gününü kullanıyor. 1900’le başlayan PIN’ler (1986, 1960, 1991 vb) çok moda. 2000’li yıllara ait tarihler de onu takip ediyor.
- Kullanılan veri kümesinde en güvenli parola 8068. Bu 3,4 milyon PIN içinde sadece 25 defa yer alıyor.
- Tüm PIN’lerin %17,8’i, 7878, 8181 gibi, birbirini tekrarlayan iki basamaktan oluşuyor.
- 2580 göze rastgele bir PIN gibi görünüyor ama en sık kullanılan 22. parola. Bunun nedeni ise telefon tuş takımının ortadaki sırasını oluşturması.
Gördüğünüz gibi söz konusu olan güvenliğimiz olsa bile biz insanlar hala yeterince iyi değiliz. Bu nedenle web siteleri ve bankalar bizden sıklıkla şifrelerimizi güncellememizi veya daha zor şifreler oluşturmamızı istiyor.
Web Siteleri Şifrelerin Gücünü Nasıl Kontrol Eder?
Yeni bir şifre oluşturma sürecini başlattığınızda, web sayfasının siz kayıt düğmesine tıklayana kadar asla yeniden yüklenmeyeceğine dikkat edin. Bu esnada web sayfası, sunucuyla iletişim kurmadan şifrenizin gücünü kontrol eder. Bunu, JavaScript adı verilen bir dilde yazılı küçük bir kod yapar. Javascript, HTML ve CSS ile birlikte world wide web’in üzerine inşa edildiği temel teknolojiyi oluşturan nesne yönelimli bir programlama dilidir.
Yeni bir şifre belirleme durumunda, komut dosyası, girişiniz için şifre alanını izler ve eklenmesi gereken karakterleri kontrol listesinden geçirir. Bunlardan herhangi birinin eksik olması durumunda da size bir hata mesajı görüntüler.
Bu esnada da arka planda Karma işlevi ( hashing) adı verilen ve yazdığınız şifreyi karmaşıklaştıran bir algoritma çalışır. Örneğin “Pa$$w0rd” şifresi, SHA1 karma algoritması kullanılarak hesaplandığında “02726d40f378e716981c4321d60ba3a325ed6a4c” değerini verecektir.
Şimdi “02726d40f378e716981c4321d60ba3a325ed6a4c” sayılarını kullanarak bir Google araması yapın. Ne yazık ki aşağıda da gördüğünüz gibi bu sayılar yardımı ile şifrenizin ele geçirilmesi son derece kolaydır.
Yazımızı buraya kadar okuduysanız endişelenmiş olmanız olasıdır. Şifrenizin gerçekten ne kadar güvenli olduğunu hiç merak ettiniz mi? Birinin e-postanıza, facebook’unuza veya çevrimiçi olan diğer hassas malzemelerinize girmesi ne kadar sürer? Bunu hemen a Randomize sitesi aracılığı ile deneyebilirsiniz. Bu sayede şifrenizin ne kadar zamanda kırılacağını göreceksiniz.
Çözüm Daha Karmaşık Şifreler Oluşturmak mı?
Ne yazık ki bu tam olarak mümkün değil. Sonucunda biz insanlar son derece karmaşık şifreleri hatırlama konusunda yetenekli değiliz. Üstelik hatırlamamız gereken bir değil bir çok şifremiz var. Bu noktada çözüm bir şifre yöneticisi kullanmak olabilir.
KeePassXC gibi şifre yöneticileri kullanıcıların uzun ve karmaşık şifreler oluşturup güvenli bir konumda saklamalarına imkân tanır. Elbette bu sistemi kullanmak için de bir şifre oluşturmanız gerekiyor. Ancak sadece bu şifreyi hatırlayarak kalan işleri şifre yöneticine bırakabilirsiniz. Ancak bu sistemin de güvenlik açıklarının olması olasıdır.
Sonucunda internet dünyası tuzaklarla doludur. Ancak basit önlemler sizleri bu tuzaklardan nispeten koruyacaktır. Şu an için yapabileceğiniz en iyi şey şifrelerinizi kontrol etmek ve zayıf olduğunu düşündüklerinizi güçlendirmektir. Ayrıca göz atmak isterseniz: Beale Şifrelerini Çözerek Kayıp Bir Hazinenin Yerini Bulmak Mümkün mü?
Kaynaklar ve İleri Okumalar:
- A computer can guess more than 100,000,000,000 passwords per second. Still think yours is secure?Yayınlanma tarihi: 15 Eylül 2020; Bağlantı: https://theconversation.com/
- The Mathematics of (Hacking) Password; yayınlanma tarihi: 12 Nisan 2019; Bağlantı: https://www.scientificamerican.com/
- How Are They Able To Tell You The Strength Of Your Password?; Yayınlanma tarihi: 13 Kasım 2021; Bağlantı: https://www.scienceabc.com/
- The Fastest Way To Crack A 4-Digit PIN Number; Yayınlanma tarihi: 29 Eylül 2012; Bağlantı: https://www.popsci.com/
Matematiksel
