Şifre güvenliği ve önlemlerin alınması

[gizz87]

Bilgili kullanıcılar şifre seçimleri konusunda duyarlı davranır,
genellikle uzun ve değişik karakterler içeren zor şifreleri seçerler.
Ancak bir şifre çözülmesi ne kadar zorsa hatırlanması da o kadar zor
olur. Peki, acaba hem zor çözülebilen hem de kolay hatırlanabilen bir
şifre üretmek mümkün müdür? Ilya Lichtenstein'ın Generating the
Perfect Password yazısı kadar yazıya yapılan yorumlar da bir o kadar
yararlı. Buyrun ben özetleyim.

Önbilgi: Şifreler nasıl çalınır/çözülür?


Şifrenizin çalınması için birkaç yol var aslında. Bunlardan biri
şifrenizin siz girerken çalınması:


* Keylogger: Keylogger'lar ve bazı trojan'lar klavyeden girdiğiniz
her tuşu kaydeder, yani şifrenize kötü niyetli kişi kolayca
ulaşabilir. Özellikle internet kafe gibi kamuya açık yerlerde en büyük
sorundur. Ancak keylogger'ların yapamadığı birşey varsa o da mouse
tıklamalarını kaydetmiyor olmalarıdır. Aşağıdaki birkaç şifre tekniği
bu sayede keylogger'lara karşı korunmalıdır.
* Yan gözle şifre çalmak: Shoulder surfing diye bilinen bu
teknikle kötü niyetli kişi çaktırmadan şifrenizi öğrenebilir. Çoğu
zaman başarısızlıkla sonuçlanan bu denemelere karşı şifrenizi hızlı
yazmak ve dikkatli olmak en iyi korunma olacaktır.


Diğer bir olasılık ise deneme yoluyla şifrenizin bulunması. Ancak
fazla korkulacak bir durum yok, zira çoğu site bir kullanıcının milyon
kere şifre denemesine izin vermez. Yine de saldırı metodları hakkında
bilgi sahibi olun:


*
Brute Force: Kaba kuvvet olarak çevirebileceğim bu yöntemde kötü
niyetli kişi şifrenizi bulmak için her karakter dizisini, yani tüm
olasılıkları dener. Her konuda en amele yöntem olduğu için Brute Force
yerine Dictionary Attack tercih edilir.
*
Dictionary Attack: İnsanlar şifrelerini kolay hatırlamak için
genelde bir kelime ve birkaç rakam kullanırlar. Dictionary Attack
yönteminde önceden tanımlanmış bir sözlükten seçilen kelimeye bir ya
da iki rakam eklenerek olasılıklar oluşturulur. Yani, isminiz ali ve
doğum tarihiniz 1973 ise ali73 şifresi ne yazık ki çok zayıf bir şifre
olarak nitelenebilir.
*
Şans: Birinin gelip şifrenizi doğru tahmin etmesi durumuna
denir. Şifreniz eğer ailenizden bir isim, doğum tarihiniz, ya da 1234
değilse mevzubahis şahsı alnından öpmek gerekir. Şaka bir yana,
aslolan şifrenizi iyi seçmeniz ve korumanızdır.


Şifrenizin kırılması da bir olasılık. Eğer hesabınızın bulunduğu
sitedeki bilgilere kötü niyetli biri erişirse, genelde hash olarak
tutulan şifrenizin bulunmasını zorlaştırmak için:


*
Şifrenizi farklı setlerden karakterler kullanarak oluşturun
(Büyük-küçük harfler, rakamlar, noktalama işaretleri, vs.)
*
Şifreniz ne kadar uzun olursa o kadar şanslı olursunuz.


Ancak bu yazının amacı zor hatırlanan şifreleri övmek değil, aksine
kolay hatırlanan ve kaliteli şifre oluşturmanızı sağlamak. İşte
yöntemler:
Bileşik Şifre Metodu


Ilya Lichtenstein'ın önerdiği yöntemin adı Bileşik Şifre Metodu, basit
ama etkili bir şifre seçme yöntemi. Örneğin kköepdeik bir bileşik
şifre, nasıl olduğunu anladınız mı? Bu bileşik şifredeki iki kelime
köpek ve kedi. Sadece şifre bir kelimenin içine diğer kelimeyi
yazmaktan oluşuyor. Ya hatırlanabilirliği? Sanırım şifre sahibi ağır
bir rahatsızlık geçirmedikçe köpek ve kedi kelimelerini
unutmayacaktır.
Bileşik şifre şöyle kullanılıyor: Önce ilk kelimeyi yazıyorsunuz, daha
sonra fare ile ilk karaktere tıklayıp ikinci kelimenizin her harfini
yazarken imleci bir sağa kaydırıyorsunuz, işte bu kadar!
Şimdi bu yöntemin avantajlarını inceleyelim:


*
Keylogger programlara karşı avantajlı, çünkü yazdığınız şifre
köpekkedi'den başka birşey değil,
*
Yan gözle şifre çalanlara karşı diğer elinizle imleci
kaydırdığınızı gizleyebilirsiniz,
*
Oluşan şifre herhangi bir sözlükte olmadığından Dictionary
ataklara karşı,
*
Şifrenizin uzunluğu arttığından Brute Force ataklara karşı
avantajlı olursunuz.


Dikkat ettiyseniz oluşturduğunuz şifreye yeni bir karakter setinden
eleman eklemediniz. Güvenli MD5 Kullanımı yazımda belirttiğim gibi,
şifrenize rakamlar ve özel karakterler eklemeniz şifrenizin
kırılmasını zorlaştıracaktır. Ancak Bileşik Şifre Metodunun bu
dezavantajını kolay hatırlanabilir olması sebebiyle göz ardı
edebiliriz.
Gelişmiş bir Bileşik Şifre Önerisi


Yukarıda belirttiğim gibi, Ilya Lichtenstein'ın yazısı kadar yapılan
yorumlar da kaliteli ve yararlıydı. İsmini belirtmeyen bir okurun
Bileşik Şifre Metodu ile ilgili önerisi ise şöyle:
Bileşik şifrenizi oluşturan iki kelimeden birini kolay
hatırlayabileceğiniz bir numara ile değiştirin, örnek olarak bir
telefon numarası. Bunu iki kere tekrarladığınız zaman araya bir özel
karakter koyun, böylece şifreniz kolay hatılanır zor kırılır. Önceki
metoddan kat be kat iyi.
Örnek olarak telefonu 2234567 olan arkadaşınız Ahmet ve telefonu
4345566 olan Pelin'i şifrenizde kullanabilirsiniz. İlk şifreyi
oluşturduktan sonra bir ünlem (!) işareti, ikinci şifreyi de
bitirdikten sonra da bir yıldız (*) koyarsanız, yıldızlı pekiyi hak
eden bir şifreniz olacaktır: A2h2m3e4t567!P4e3l4i5n566*
Cümleden Şifre Metodu


Porto Riko'dan bir tıp öğrencisinin önerisi ise ilginç: içinde
rakamlar da bulunan, kolay hatırlanabilir bir cümle oluşturup bu
cümleye bir algoritma uygulayarak şifrenizi oluşturun.


*
Cümle: Oğlum Reha'nın 13′üncü doğumgününü Antalya'daki evimizde
kutladık.
*
Algoritma: Cümledeki her kelimenin ilk harfi
*
Şifre: OR1dAek


Yöntem gayet kolay hatırlanabilir, oluşturulan şifreler ise büyük-
küçük harfler ve rakamlar bulundurduğundan kaliteli. Fakat Bileşik
Şifre tekniğindeki Keylogger'lara karşı avantajımız bunda pek de
mevcut değil. Olsun, şifreniz En Yaygın 10 Şifre listesinin yakınından
bile geçmiyor ya, o yeter…
Klavye Deseni Metodu


Jamon Terrell, yazıya yaptığı yorumda Klavye Deseni Metodunu
açıklıyor. Pek yazarak açıklayabileceğim bir yöntem değil, bu yüzden
şifre örneklerine bakın, eminim çözeceksiniz:


*
6%YtGhNb
*
1′WqAsXz
*
2^EwSdCx
*
3+ReDfVc
*
4%TrFgBv


Bunlar gibi istediğiniz klavye desenini oluşturabilirsiniz, örneğin
ben MnHjUy&7 şifresini kullanıyorum (-şaka tabii ki-.)
Bu yöntemle farklı siteler için farklı şifreler üretmeniz mümkün,
sadece hangi sitenin şifresine hangi karakterle başladığınızı
hatırlayın yeterli. Klavye Deseni yöntemi kaliteli şifreler üretse de
yine Keylogger programlara karşı savunmasız, ayrıca farklı tip
klavyelerde elinizi kolunuzu bağlayacak özellikte. Seçim sizin.
Umarım bu kolay hatırlanabilir ama kaliteli şifre oluşturma teknikleri
sizin için yararlı olmuştur. Son söz olarak hatırlatmakta yarar var:
şifrenizi iyi seçmeniz kadar iyi korumanız da önemlidir.