Şifreniz Neden Sadece Karmaşık Değil de Olabildiğince Uzun Olmalıdır?

Şifre, kişiler arasında "sır" olarak tutulan ve kimlik ispatında kullanılan basit bir kavramdır. Bin yıllardır şifreleri kendimizi başkalarına tanıtmak için kullandık; son yıllarda ise kendimizi bilgisayar sistemlerine tanıtmakta kullanıyoruz.

Bilgi Teknolojileri alanında şifreler, 1960'larda kullanıcı erişimlerini terminallerle sağlayan, merkezi olarak çalışan büyük bilgisayarlarla, yani ana bilgisayarlarda kullanılmaya başlanmıştır.^[1] Bugünse şifreler, ATM'lerde girdiğimiz PIN'lerden bilgisayarımıza veya internet sitelerine giriş yapmaya kadar birçok yerde karşımıza çıkmaktadır.

Peki neden eriştiğimiz sistemlere kimliğimizi ispat etmemiz gerekiyor? Doğru şifreyi seçmek neden bu kadar zor?

İyi Bir Şifre Nasıl Olur?

Son teknolojik gelişmelere kadar, sadece 6 veya 8 karakterden oluşan basit bir kelime veya ifade iyi bir şifre sayılırdı. Ancak günümüzde şifrelere entropi (tahmin edilebilirlik ölçütü) sebebiyle minimum karakter sınırlamaları getirilmiştir.^[2] Entropi matematiği pek de karmaşık değildir; basit bir şekilde "şifre alanı" olarak da adlandırılan kutucuklara girmemizin mümkün olduğu tüm şifrelerin sayısı, entropi anlamına gelir.

Tek karakterli bir şifre sadece küçük harf içeriyorsa Latin Alfabesiyle 29 farklı şifre yazılabilir. Büyük harfler de kullanılabiliyorsa bu sayı, 58'e çıkar.

Şifre alanı, uzunluk arttıkça ve seçeneklere başka karakterler eklendikçe genişler. Bu nedenle küçük ve büyük harfleri, sayı ve sembolleri içeren uzun şifreler kullanmamız istenir.

Yukarıdaki tabloya baktığımızda, neden büyük ve küçük harfleri, sayıları ve sembolleri barındıran şifreler kullanmamızın istendiği anlaşılır olmaktadır: Bir şifrenin tahmin edilebilirlik oranı, şifrenin karmaşıklığıyla ters orantılıdır.

Ancak şifrenin karmaşıklığıyla ilgili problem, bilgisayarların şifre tahmin etmek gibi tekrarlayan görevlerde oldukça başarılı olmasıdır. 2021'de bütün şifre kombinasyonlarını oluşturmak üzere programlanmış bir program, 1 saniyede 100.000.000.000'dan fazla tahminde bulunarak rekor kırdı.^[3] Bu durum, daha uzun şifrelerin bile risk altına girmesi anlamına geliyor.

Bilgisayar Güvenliği ile ilgili diğer içerikler ›

Gerçek Hayatta "Mr. Robot" ve Dijital Dünya'da Teknolojik Tehditler: DDoS Saldırısı Nedir?

Siber suçlular, bilgisayarların bu imkânlarından faydalanıp "kaba kuvvet saldırısı" (İng: "Brute Force Attack") uygulayabilir, yani bir sisteme mümkün olduğu kadar çok şifre deneyerek erişmeyi deneyebilirler.^[4] Günümüzde bulut tabanlı teknolojiler yardımıyla yapılan bir kaba kuvvet saldırısı, 8 karakterlik bir şifreyi sadece 12 dakikada tahmin edebilir. Üstelik bunun için harcamanız gereken para, 25 ABD Doları gibi cüzi bir miktardır.

Dahası şifreler, çoğunlukla önemli bilgi veya sistemleri koruduğundan, şifre kırmak siber suçlular açısından giderek daha cazip hale gelmektedir. Öyle ki şifrelerin satıldığı pazarlar oluşmuştur ve bu pazarların bazılarında kişilerin e-posta adresleri ve kullanıcı adları dâhi bulunmaktadır.

Şifreler İnternet Sitelerinde Nasıl Saklanır?

İnternet sitelerinin şifreleri, genelde "hashing" adı verilen, şifreyi karmaşıklaştıran matematiksel bir algoritmayla korunur.^[5] Bu algoritmayla karılmış bir şifre tanınamaz ve eski haline geri döndürülemez.

Evrim Ağacı'ndan Mesaj

Reklamsız Deneyim

Evrim Ağacı'nın çalışmalarına Kreosus, Patreon veya YouTube üzerinden maddi destekte bulunarak hem Türkiye'de bilim anlatıcılığının gelişmesine katkı sağlayabilirsiniz, hem de site ve uygulamamızı reklamsız olarak deneyimleyebilirsiniz. Reklamsız deneyim, sitemizin/uygulamamızın çeşitli kısımlarda gösterilen Google reklamlarını ve destek çağrılarını görmediğiniz, %%100 reklamsız ve çok daha temiz bir site deneyimi sunmaktadır. Kreosus Kreosus'ta her 10₺'lik destek, 1 aylık reklamsız deneyime karşılık... Daha fazla göster

Evrim Ağacı'nın çalışmalarına Kreosus, Patreon veya YouTube üzerinden maddi destekte bulunarak hem Türkiye'de bilim anlatıcılığının gelişmesine katkı sağlayabilirsiniz, hem de site ve uygulamamızı reklamsız olarak deneyimleyebilirsiniz. Reklamsız deneyim, sitemizin/uygulamamızın çeşitli kısımlarda gösterilen Google reklamlarını ve destek çağrılarını görmediğiniz, %100 reklamsız ve çok daha temiz bir site deneyimi sunmaktadır.

Kreosus

Kreosus'ta her 10₺'lik destek, 1 aylık reklamsız deneyime karşılık geliyor. Bu sayede, tek seferlik destekçilerimiz de, aylık destekçilerimiz de toplam destekleriyle doğru orantılı bir süre boyunca reklamsız deneyim elde edebiliyorlar.

Kreosus destekçilerimizin reklamsız deneyimi, destek olmaya başladıkları anda devreye girmektedir ve ek bir işleme gerek yoktur.

Patreon

Patreon destekçilerimiz, destek miktarından bağımsız olarak, Evrim Ağacı'na destek oldukları süre boyunca reklamsız deneyime erişmeyi sürdürebiliyorlar.

Patreon destekçilerimizin Patreon ile ilişkili e-posta hesapları, Evrim Ağacı'ndaki üyelik e-postaları ile birebir aynı olmalıdır. Patreon destekçilerimizin reklamsız deneyiminin devreye girmesi 24 saat alabilmektedir.

YouTube

YouTube destekçilerimizin hepsi otomatik olarak reklamsız deneyime şimdilik erişemiyorlar ve şu anda, YouTube üzerinden her destek seviyesine reklamsız deneyim ayrıcalığını sunamamaktayız. YouTube Destek Sistemi üzerinde sunulan farklı seviyelerin açıklamalarını okuyarak, hangi ayrıcalıklara erişebileceğinizi öğrenebilirsiniz.

Eğer seçtiğiniz seviye reklamsız deneyim ayrıcalığı sunuyorsa, destek olduktan sonra YouTube tarafından gösterilecek olan bağlantıdaki formu doldurarak reklamsız deneyime erişebilirsiniz. YouTube destekçilerimizin reklamsız deneyiminin devreye girmesi, formu doldurduktan sonra 24-72 saat alabilmektedir.

Diğer Platformlar

Bu 3 platform haricinde destek olan destekçilerimize ne yazık ki reklamsız deneyim ayrıcalığını sunamamaktayız. Destekleriniz sayesinde sistemlerimizi geliştirmeyi sürdürüyoruz ve umuyoruz bu ayrıcalıkları zamanla genişletebileceğiz.

Giriş yapmayı unutmayın!

Reklamsız deneyim için, maddi desteğiniz ile ilişkilendirilmiş olan Evrim Ağacı hesabınıza üye girişi yapmanız gerekmektedir. Giriş yapmadığınız takdirde reklamları görmeye devam edeceksinizdir.

Destek Ol

Oturum açmaya çalıştığınızda, girdiğiniz şifre de aynı şekilde karılır ve sitede kayıtlı olan versiyonla karşılaştırılır. Her girişinizde bu işlem tekrarlanır.

Örneğin "Pa$$w0rd" şifresi, SHA1 algoritmasından geçtiğinde "02726d40f378e716981c4321d6 0ba3a325ed6a4c" haline gelir. Algoritmayı buradan deneyebilirsiniz.

Karılmış şifrelerden oluşan bir dosyada, şifrenin uzunluğuna bağlı olarak her olasılığı deneyecek bir kaba kuvvet saldırısı uygulanabilir. Bu saldırı biçimi o kadar yaygınlaşmıştır ki, bazı siteler kimi sık kullanılan şifrelerin hash karşılıklarını dâhi listelemektedir. Yani sık kullanılan bir şifrenin karılmış halini internette aratarak bile o şifreyi bulmak mümkündür.

Bunu şöyle düşünün: Eğer ki şifrenizi "şifre" yapacak olursanız, aslında bir kişinin yapması gereken şey şifrenizi tahmin etmeye çalışmak değildir. Şifreyi girdiğinizde oluşturulan hash karşılığını (ki bu durumda "şifre" = "F03EA60F6F5B83B64103EBFF11C5249ACAE2E687") Google'da aratmaktır. Bu anlamsız gibi gözüken kodu arattığımızda Google'ın bize gösterdiği sonuçlar, tehlikenin boyutunu anlamak için yeterli olacaktır:

Hash değeri aratılarak bulunan bir şifre

Şu anda, şifre listelerinin çalınıp satılması o kadar yaygın bir durum ki, bu site insanların şifrelerinin tehlikede olup olmadığını kontrol edilebilmesi için kuruldu. Günümüzde bu veritabanında 10 milyondan fazla kullanıcının detaylarını içeriyor.

E-mail adresiniz bu sitede görünüyorsa, hem ilgili şifreyi hem de aynı hesap bilgilerini kullandığınız başka sitelerin şifrelerini değiştirmelisiniz.

Çözüm Daha Karmaşık Şifreler mi? Hayır!

Şifre ihlâlleri çok sık yaşandığından, artık insanların daha güvenli şifreler seçtiğini düşünebilirsiniz. Ancak maalesef aşağıdaki liste, 5 yıllık bir süre zarfında en çok kullanılan şifrelerin (aynı dönemde yaşanan çok sayıda sibersaldırıya ve uyarıya rağmen) pek de değişmediğini göstermektedir.^[6]

Diğer yandan, bilgisayarların kabiliyetlerinin gelişmesine bağlı olarak daha karmaşık şifreler kullanmanın sorunu çözebileceğini düşünebilirsiniz. Ancak insanlar, çok karmaşık şifreleri hatırlamak konusunda ne isteklidir ne de yeteneklidir. Üstelik şifre gerektiren sadece 2 ya da 3 sistem kullansak gene iyi! Bir sürü siteye farklı uzunluklarda ve farklı özelliklerde şifrelerle giriş yapıyoruz. Yakın zamanda yapılan bir çalışmada, ortalama bir kişinin tek bir şifreyi yaklaşık 70-80 farklı platformda kullandığı bulgulanmıştır.^[7]

Bu nedenle, size bazı önerilerde bulunmak istiyoruz:

Kötü Şifreler

İyi bir şifreyi anlamadan önce, kötü bir şifreyi anlamanızda fayda var:

4 haneli yıllardan uzak durun. 19XX, 20XX ve halk arasında meşhur olan diğer önemli yıllar (örneğin 1923) veya sık kullanılan sayılar (Türkiye'deki futbol taraftarları için 1903, 1905, 1907, 1961 gibi sayılar) kullanılmamalıdır.
"Şifre" sözcüğünden ve türevlerinden uzak durun. İnsanlar "şifre" yerine "$1fr3" yazdıklarında eşsiz ve zor bir şifre ürettiklerini sanıyorlar. Halbuki yukarıda anlattığımız hash araması probleminden ötürü, bu kadar kısa bir şifre, karmaşık gözükmesine rağmen kötü bir şifredir.
Spor referanslarından uzak durun. Sadece takımların kuruluş yılları değil, aynı zamanda "futbol", "basketbol", "fatihterim", "futbolfanatigi", "millitakım" gibi sözcüklerden ve bunların her türlü türevinden uzak durun.
İsim kullanmayın. Özellikle de evcil hayvanlarınızın, eşinizin, çocuklarınızın, torunlarınızın ve ünlü simaların isimlerini kullanmayın. Bunlara olan düşkünlüğünüz ve bu kişilerle ilgili yaptığınız sosyal medya paylaşımları, şifrenizi ele verebilir.
Kişisel bilgiler kullanmayın. Örneğin şifrenizde kendi adınızı, email adresinizi, telefon numaranızı, T.C. Kimlik numaranızı kullanmayın. Bunları bulmak ve denemek hiç zor değildir.
Yaygın klavye kombinasyonlarından uzak durun. Örneğin "qwerty", "asdasd", "asdfg", "123456", "abc123" gibi kombinasyonlardan uzak durun.

İyi Şifreler

İyi bir şifre oluşturmak için sadece kötü şifrelerden uzaklaşmak yetmez. İyi şifreyi de anlamak gerekir:

Büyük harf kullanın. İnsanlar şifrelerinin genelde sadece küçük harflerden oluşması gerektiğini veya bilgisayar için küçük/büyük harf ayrımının olmadığını düşünürler. Halbuki bir bilgisayar için büyük ve küçük harfler ayrı karakterlerdir. "sifre" şifresini kırmak, "SiFrE" şifresini kırmaktan çok daha basittir (her ikisi de berbat şifreler olsa bile).
Küçük harf de kullanın. Yukarıda verdiğimiz bilgi, küçük harfler kullanmanın kötü bir şey olduğu anlamına gelmez. Aralara küçük harfler de serpiştirmelisiniz.
Sayılar kullanın. Eklediğiniz her bir sayı, şifrenizin kırılmasını zorlaştıracaktır. Ancak sayı tercihinize dikkat edin, yukarıdaki örüntülerden ve yaygın sayılardan uzak durun.
Özel karakterler kullanın. Bunu yapmanın sinir bozucu olduğunu biliyoruz; ancak örneğin "i" harfi yerine "1" sayısını kullanmak, hatta "!" işaretini kullanmak iyi bir fikir olacaktır. Eklenen her özel karakter, şifrenizin kırılma ihtimalini o kadar azaltacaktır.
10 karakterin ötesine geçin. Bu, verebileceğimiz en önemli tavsiye olabilir. Bir şifre ne kadar uzunsa, kırılması da o kadar zor olacaktır.

Daha da İyi Şifreler

Şifrenizin gerçekten güvenli olmasını istiyorsanız, yaygın önerilerin de ötesine geçebilirsiniz:

Komik veya özlü (ama akılda kalıcı) bir cümle seçin; sonra onu kısaltın. Örneğin Bernard Baruch'un şu cümlesini alın: "Milyonlarcası elmanın düştüğünü gördü; ancak sadece Newton 'Neden?' diye sordu." Sonra ilk harflerinden ve noktalama işaretlerinden bir şifre üretin: "Medg;asN?ds."
Eşsiz ve absürt bir cümle uydurun. Örneğin: "BelkiSurdaKucukAgacVardir?" veya "TurtaliPastaArkamdanIsCeviriyor"

Şifre Yöneticisi Kullanın

Bu yönergelerin biraz zorlayıcı olduğunu da biliyoruz. İyi haber şu ki bu sorunu çözebilen araçlar var. Çoğu bilgisayar tarayıcınızda veya işletim sisteminizde şifrelerinizi depolamanıza ve bu şifreleri başka cihazlara aktarmanıza imkân sağlıyor. Örneğin, Apple'ın iCloud Keychain uygulaması, daha az güvenli olsa da şifrelerinizi Internet Explorer, Chrome ve Firefox'ta saklamanıza olanak tanıyor.^{[8], [9]} KeePassXC gibi şifre yöneticileri ise, kullanıcıların uzun ve karmaşık şifreler oluşturup güvenli bir konumda saklamalarına imkân tanıyor.^[10]

Agora Bilim Pazarı

ENERJİ AYT MATEMATİK 10 DENEME SINAVI

(12.SINIF 1.DÖNEM KONULARINI İÇERİR.)

Devamını Göster

₺295.00

Satın Al Tüm Ürünler

Dış Sitelerde Paylaş

Bu saklama alanının daha da iyi bir şifreyle korunması gerekse de böyle bir sistem kullanarak girdiğiniz her site için karmaşık ve eşsiz bir şifre yaratabilirsiniz. Böylece sadece 1 adet şifreyi (o şifre yöneticisine girmekte kullandığınız şifreyi) karmaşık ve akılda kalıcı bir şekilde seçerek, gerisini şifre yöneticine bırakabilirsiniz.

Bu sistemleri kullanıp tamamen güvenli yöntemlere başvursanız bile, kullandığınız sitelerin savunmasız olması hâlinde şifrelerinizin çalınabileceğini unutmamalısınız. Ancak bu tip bir durumda, eğer bir şifre yöneticisi yardımıyla farklı sitelerde farklı şifreler kullanıyorsanız, en azından diğer sitelerdeki şifrenizi değiştirmenize gerek kalmayacaktır.

Hangi Şifreyi Kırmak Ne Kadar Sürer?

Bu verdiğimiz önerileri sayıya dökelim. Aslında bir şifreyi kırmak için gereken süreyi hesaplamak da çok kolay değildir; ama Randomize sitesi bu konuda bize yol gösterebilir. Aşağıda, her bir şifrenin en fazla ne kadar sürede kırılabileceğini göreceksiniz:

abcdg: <1 saniye
sifre: <1 saniye
şifre: <1 saniye
s1fr3: <1 saniye
$1fr3: <1 saniye
sifremne: 1 dakika 13 saniye
!'^+%&/(: 6 dakika 27 saniye
s1fr3mne: 16 dakika 13 saniye
alem1905: 16 dakika 33 saniye
abcdgabcdg: 13 saat 48 dakika
sifremneydiki: 28 yıl 1 ay
abcdgabcdgabcdg: 18.994 yıl
Medg;asN?ds.: 1.397.612 yıl
$ifr3mneyd1k!: 7.527.508 yıl
aaabbbcccdddeeefffggghhhjjjkkklll: 559.958.504.214.918.700.000.000.000.000 yıl
BelkiSurdaKucukAgacVardir?: 1.217.017.433.181.375.300.000.000.000.000.000 yıl
TurtaliPastaArkamdanIsCeviriyor: 1.778.848.715.029.699.600.000.000.000.000.000.000 yıl

Görebileceğiniz gibi, şifrenin uzun olması, karmaşık olmasından çok ama çok daha önemlidir.

Hatta bir bilgi daha verelim: Yukarıda verdiğimiz örnekler, şu anda bizim uydurduğumuz örnekler olduğu için henüz internet şifre veritabanlarında bulunmuyor. Ama biz bu yazıyı yayınladığımız anda, bu şifreler "şifre ile ilgili bir yazı" içerisinde geçiyor olmasından ötürü muhtemelen botlar tarafından endekslenecek ve çok kötü şifreler hâline gelecek. Dolayısıyla bizim bu yazıda verdiğimiz şifrelerden hiçbirini şifre olarak kullanmamalısınız.

Son Uyarılar

Ve biraz bariz olacak ama, son uyarı: Şifrenizi kimseyle paylaşmayın! Bir siteyle ilgili çağrı merkezini arayacak olursanız, bilin ki bu yardım elemanları size asla şifrenizi sormayacaktır. Eğer bir çağrı merkezi elemanı (veya bir "çağrı merkezi elemanı gibi davranan kişi") sizden şifrenizi istiyorsa, kesinlikle şifrenizi paylaşmayın. Benzer şekilde, asla e-posta üzerinden de şifrenizi paylaşmayın.

Bu, şifre onayı için cep telefonunuza gelen özel kodlar için de geçerlidir. Cep telefonlarınıza gelen kodlar, sadece ve sadece sizin sisteme erişebilmeniz için gönderilmektedir. Bir başkasına bu kodu verecek olursanız, şifrenizi değiştirip size zarar verebilirler. Ayrıca telefonun diğer ucundaki kişinin gerçekten iyi niyetli biri olup olmadığını bilemezsiniz; zira siz yardım merkezini aradığınızı sanıyor olabilirsiniz ama o numarayı aldığınız yer hacklenmiş ve telefon numarası değiştirilmiş olabilir.

Bu Makaleyi Alıntıla

Okundu Olarak İşaretle

Paylaş
Alıntıla
Alıntıları Göster

Paylaş

Sonra Oku

Notlarım

Yazdır / PDF Olarak Kaydet

Bize Ulaş

Yukarı Zıpla

İçeriklerimizin bilimsel gerçekleri doğru bir şekilde yansıtması için en üst düzey çabayı gösteriyoruz. Gözünüze doğru gelmeyen bir şey varsa, mümkünse güvenilir kaynaklarınızla birlikte bize ulaşın!

Bu içeriğimizle ilgili bir sorunuz mu var? Buraya tıklayarak sorabilirsiniz.

Soru & Cevap Platformuna Git

Bu İçerik Size Ne Hissettirdi?

Kaynaklar ve İleri Okuma

Türev İçerik Kaynağı: The Conversation | Arşiv Bağlantısı

^ C. Nast. The World's First Computer Password? It Was Useless Too. (27 Ocak 2012). Alındığı Yer: Wired | Arşiv Bağlantısı
^ V. A. C. Weaver. A Somewhat Brief Explanation Of Password Entropy. (19 Ocak 2016). Alındığı Yer: IT Dojo | Arşiv Bağlantısı
^ Tech Monitor. Navigating The Horizon Of Business Technology. (4 Mart 2021). Alındığı Yer: Tech Monitor | Arşiv Bağlantısı
^ Kaspersky. Brute Force Attack: Definition And Examples. (5 Temmuz 2021). Alındığı Yer: www.kaspersky.com | Arşiv Bağlantısı
^ C. Nast. Hacker Lexicon: What Is Password Hashing?. (8 Haziran 2016). Alındığı Yer: Wired | Arşiv Bağlantısı
^ Security Magazine. The Worst Passwords Of 2019. (23 Aralık 2019). Alındığı Yer: Security Magazine | Arşiv Bağlantısı
^ www.newswire.com. New Research: Most People Have 70-80 Passwords. Alındığı Yer: NewsWire | Arşiv Bağlantısı
^ J. Evans. How To Use Icloud Keychain: The Guide. (13 Şubat 2018). Alındığı Yer: ComputerWorld | Arşiv Bağlantısı
^ C. Hoffman. Why You Shouldn't Use Your Web Browser's Password Manager. (15 Kasım 2019). Alındığı Yer: How To Geek | Arşiv Bağlantısı
^ J. Turner. What Is A Password Manager?. (2 Ocak 2022). Alındığı Yer: Tech.co | Arşiv Bağlantısı

Evrim Ağacı'na her ay sadece 1 kahve ısmarlayarak destek olmak ister misiniz?

Şu iki siteden birini kullanarak şimdi destek olabilirsiniz:

kreosus.com/evrimagaci | patreon.com/evrimagaci

Çıktı Bilgisi: Bu sayfa, Evrim Ağacı yazdırma aracı kullanılarak 20/04/2024 08:06:58 tarihinde oluşturulmuştur. Evrim Ağacı'ndaki içeriklerin tamamı, birden fazla editör tarafından, durmaksızın elden geçirilmekte, güncellenmekte ve geliştirilmektedir. Dolayısıyla bu çıktının alındığı tarihten sonra yapılan güncellemeleri görmek ve bu içeriğin en güncel halini okumak için lütfen şu adrese gidiniz: https://evrimagaci.org/s/11474

İçerik Kullanım İzinleri: Evrim Ağacı'ndaki yazılı içerikler orijinallerine hiçbir şekilde dokunulmadığı müddetçe izin alınmaksızın paylaşılabilir, kopyalanabilir, yapıştırılabilir, çoğaltılabilir, basılabilir, dağıtılabilir, yayılabilir, alıntılanabilir. Ancak bu içeriklerin hiçbiri izin alınmaksızın değiştirilemez ve değiştirilmiş halleri Evrim Ağacı'na aitmiş gibi sunulamaz. Benzer şekilde, içeriklerin hiçbiri, söz konusu içeriğin açıkça belirtilmiş yazarlarından ve Evrim Ağacı'ndan başkasına aitmiş gibi sunulamaz. Bu sayfa izin alınmaksızın düzenlenemez, Evrim Ağacı logosu, yazar/editör bilgileri ve içeriğin diğer kısımları izin alınmaksızın değiştirilemez veya kaldırılamaz.

Kategoriler ve Etiketler

Tümünü Göster