Güvenli Şifre Nasıl Oluşturulur?

Hesaplarımız parolalarla korunuyor. Parola güvenlik seviyeleri hesap açarken veya parola değiştirirken size gösterilir. Zayıf parola ile güçlü parola arasındaki fark nedir, gizli soru ve cevap nasıl olmalı, parolalarınızda hangi detaylar yer almamalı?

1. Parola nedir?

Parola en basit tanımıyla sizin bilgilerinizi koruyan ve sadece sizin erişmenizi sağlayan bir karakter grubudur. Peki bir parola nasıl çalışır? X Adında bir elektronik posta servis sağlayıcısı olsun. Xmail diyelim ve örnekleri bunun üzerinden verelim.

Kriptografi

Çok sık kullanılan ama kesinlikle güvenli olmayan yaygın bir parola örneği olan, kişinin art arda yazılmış 2 defa doğum yılından oluşan paroladan örnek verelim. Yani 19931993. Bu parolayı oluşturduğunuz zaman sitenin veritabanında parola 19931993 olarak saklanmaz. 19931993 şifresi bir dizi işlemlerden geçirilerek daha uzun karakterlerden oluşan kriptografik sonuç elde edilir. Bu sonuçtan ters işlem mümkün değildir (en azından teorik olarak). Böylece bu bilgilerin biri tarafından ele geçirilmesi sonucunda da şifrenin kırılması mümkün olmaz ancak bu bilgiler yine de gizli tutulur.

Doğru parola 19931993 ise hesabınıza tanımlı kriptografik sonuç, 19931993 parolasının kriptolanmış halidir. Eğer 1993193 parolası girerseniz farklı bir kriptografik sonuç vereceği için parolanız reddedilir. Her olası parolanın kriptografik sonucu eşsizdir. Girdiğiniz şifre, tanımladığınız parolanın kriptografik sonucuna uyuyorsa erişim sağlamanıza izin verilir.

Güvenli parola

Parolanın kuvveti konusuna aşağıda daha detaylı değineceğim. Peki güvenli parola nasıldır ve neler içermemelidir? Güvenli bir parolada:

• Büyük harf
• Küçük harf
• Noktalama işareti (. ! ? :)
• Özel karakter (@, €, $)
• Rakam bulunur.

Parola mümkün olduğunca uzun olursa bu parolayı daha güçlendirir. Peki parolanız neleri içermemelidir:

• Doğum yılınız
• İsminiz veya soyisminiz
• Uğurlu sayınız veya sevdiğiniz sayı (varsa)
• Hobilerinizle alakalı olan bir söz öbeği
• Ardışık sayılar
• Çok sevdiğiniz birisine ait bir bilgi (Tanıştığınız tarih vb)
• Mesleğinizle ilgili bir bilgi
• Klavye sırasına göre (qwerty) veya alfabetik sıraya göre (defgh) dizilmiş harf grubu
• Hayranı olduğunuz ünlü birinin adı veya soyadını içermemelidir.

Uyarı: Bütün çevrimiçi hizmetlerde parolalarınızın ve hesaplarınızın güvenliğinden siz sorumlu tutulursunuz. Eğer parolanız güvenli olmadığı için 3. şahısların eline geçerse, uğrayacağınız zararlardan sadece siz sorumlu tutulursunuz ve kaybınız hizmeti veren kişiler tarafından kısmen de olsa karşılanmaz.

Gizli soru ve cevap

Gizli soru ve cevap parolayı unutmanız durumunda hesabınıza erişebilmeniz için size sunulan bir alternatiftir. Mümkünse gizli sorunuzu kendiniz yazın. Soruya vereceğiniz cevap ise soruyla alakasız olsun. Mesela "Doğduğunuz şehrin adı nedir?" sorusuna "SiyahTilkinin_93_bacagi=54.44€" gibi bir cevap verebilirsiniz. Bu abartı bir örnektir ve bunu not alacaksanız kağıda not alın. Telefonunuza veya başka bir elektronik ortama değil. Gizli soruya cevap yazarken kendinize şu soruyu sorun: "Gizli soru, cevap hakkında bir ipucu veriyor mu?"

Elektronik Posta hesaplarına daha çok dikkat edin!

Aldığınız elektronik posta hesapları başka üyelikler için sizinle iletişime geçmek için alınır. Aynı şekilde parolanızı sıfırlayacağınız zaman ya da başka bir şekilde sizinle iletişime geçilmesi gerektiği zaman bu elektronik posta yoluyla olacağı için elektronik postalarınızın güvenliğine daha fazla dikkat etmeniz gerekir. E-posta adresinize erişen bir saldırgan, o hesapla ilişkilendirilmiş tüm hesaplara da erişebilecektir.

2 Adımlı doğrulama hizmeti varsa kullanın!

2 Adımlı doğrulama, parolanızı doğru girdiğiniz zaman cep telefonunuza gelen onay kodunu da girdikten sonra erişimin açılmasını sağlayan ekstra güvenlik sistemidir. Bu özellik varsa mutlaka etkinleştirin.

Her hesabınızda farklı parola kullanın

Hesaplarınızın hepsinde farklı parolalar kullanın. Hiçbir hesapta başka bir hesabın parolasını kullanmayın.

6 ayda bir mutlaka parolanızı değiştirin ve parola ipucu yazmayın

Kaba kuvvet saldırısı bir şifreyi kırmanın garantili bir yoludur. Bunu aşağıda daha detaylı açıklayacağım. Parolanız ne kadar güvenli olursa olsun mutlaka 6 ayda bir değiştirin.

2. Parola kırma ve kaba kuvvet

Tahmin etme

Yukarıda parolanızda bulunmaması gereken şeyler kısmında dikkat edeceğiniz üzere sizinle ilgili bilgi vermeyen söz öbekleri ve karakterlerin olmaması gerektiğini yazmıştım. Sizi çok iyi tanıyan biri iki defa doğum yılınızı parola yapabileceğinizi tahmin edebilirse hesabınıza erişebilir. Ne yazık ki iki defa doğum tarihi çok sık kullanılan bir paroladır. Bu yüzden parolanızda kendinizle alakalı bilgiler vermeyin. Aynı şey gizli sorunuz ve cevabı için de geçerli.

Spyware (Casus yazılım)

Keyloggerlar tüm tuş vuruşlarınızı kaydeder. Yani parolanızı girdiğiniz zaman keylogger'a da aynı parolayı yazmış olursunuz ve parola direk saldırgana ulaşır.

Truva atları ise siz bilgisayar başında ne yapıyorsanız saldırganın da aynılarını, hatta daha fazlasını yapabilir. Siz en fazla Admin haklarıyla bilgisayarı kullanırken truva atı gönderen saldırgan Kök Kullanıcı izinleriyle bilgisayarınızı kullanır. Yani sistem üzerinde %100 denetim hakkına sahiptir. Kaydettiğiniz parolaları alabilir, sizdeki bir veriyi kendi bilgisayarına kopyalayabilir, arkaplanda cihazınıza bir şey yükleyebilir hatta cihazınız üzerinden suç işleyebilir.

Arkakapılar (Backdoor) ise truva atlarıyla aynı şekilde çalışsa da sistemdeki bir açığı kullanır.

Tüm bu casus yazılımlardan korunmak için Antivirüs yükleyin ve bilmediğiniz kaynaklardan gelen linkleri ve verileri çalıştırmayın. Önceki bencemde bahsettiğim koklayıcılar (Sniffer) da parolanızın çalınmasına neden olabilir.

Kaba Kuvvetin çalışma prensibi ve sözlük örneği

Kaba kuvvet (Yani Brute Force) çok uzun süren ama güçlü bir şifre kırma yöntemidir. Şifre kırma programları bu şekilde çalışır. Peki şifre kırıcı nedir?

Şifre kırıcılar 2 parçadan oluşur. İstemci ve Sözlük.

İstemci: Boyutu küçüktür ve sadece şifre deneyebilir.

Sözlük: Boyutu çok büyüktür ve denenecek şifreleri bünyesinde barındırır. GB'ları aşabilir.

Sözlüğün çalışma şekline gelirsek, sözlüğü çalıştırdığınız zaman size şu soruları sorar. Sadece Y (evet) ve N (hayır) ile cevaplarsınız. Sadece ilk 2 soru rakam ile cevaplanır.

• Min Karakter (Bu soru parolanın en az kaç karakterli olduğunu ifade eder. Sadece rakamla cevap verilebilir)
• Max Karakter (Bu soru parolanın en fazla kaç karakterli olduğunu ifade eder. Sadece rakamla cevap verilebilir)
• Sayı içeriği (Parolada sayı bulunup bulunmayacağını ifade eder. Y veya N ile cevaplanabilir)
• Büyük harf içeriği (Parolada büyük harf bulunup bulunmayacağını ifade eder. Y veya N ile cevaplanabilir)
• Küçük harf içeriği (Parolada küçük harf bulunup bulunmayacağını ifade eder. Y veya N ile cevaplanabilir)
• Noktalama işareti (Parolada noktalama işareti bulunup bulunmayacağını ifade eder. Y veya N ile cevaplanabilir)
• Özel karakterler (Parolada €, @ gibi özel karakterlerin bulunup bulunmayacağını ifade eder. Y veya N ile cevaplanabilir)

Min karakter: 4

Max karakter: 8

Sayı içeriği: Y

Büyük harf içeriği: N

Küçük harf içeriği: Y

Noktalama işareti: N

Özel karakter: N

Ayarları için oluşan bir sözlükte denenecek parolalar şu şekildedir: aaaa, aaab, aaac...aaaz, aaba, aabb, aabc, aabd diye gider. zzzz'ye geldiğinde aa1a, aa1b diye devam eder. Parolalarda büyük harf, noktalama ve özel karakter olmaz. Sözlük oluşturma ve şifre kırma işlemi işlemci gücünü ve RAM'i tüketir. Bu yüzden saldırgan kaba kuvveti bölebilir. Önce 4-8 karakter arası şifreler barındıran sözlükle saldırabilir, sonra 9-11 karakter arası şifreler barındıran sözlükle saldırabilir. Bunun önüne geçilmesi için şifrelerinizin 6 ayda bir defa değiştirilmesi önerilir. Şifrenizin çok güvenli olması durumunda casus yazılım ile çalınmak istenmesi ihtimal dahilindedir.