Şifreniz Neden Sadece Karmaşık Değil de Olabildiğince Uzun Olmalıdır?
Bilgisayarlar Artık 1 Saniyede 100 Trilyon Şifre Tahmin Edebiliyor! Hala Şifrenizin Güvenli Olduğunu mu Düşünüyorsunuz?
Şifre, kişiler arasında "sır" olarak tutulan ve kimlik ispatında kullanılan basit bir kavramdır. Bin yıllardır şifreleri kendimizi başkalarına tanıtmak için kullandık; son yıllarda ise kendimizi bilgisayar sistemlerine tanıtmakta kullanıyoruz.
Bilgi Teknolojileri alanında şifreler, 1960'larda kullanıcı erişimlerini terminallerle sağlayan, merkezi olarak çalışan büyük bilgisayarlarla, yani ana bilgisayarlarda kullanılmaya başlanmıştır.[1] Bugünse şifreler, ATM'lerde girdiğimiz PIN'lerden bilgisayarımıza veya internet sitelerine giriş yapmaya kadar birçok yerde karşımıza çıkmaktadır.
Peki neden eriştiğimiz sistemlere kimliğimizi ispat etmemiz gerekiyor? Doğru şifreyi seçmek neden bu kadar zor?
İyi Bir Şifre Nasıl Olur?
Son teknolojik gelişmelere kadar, sadece 6 veya 8 karakterden oluşan basit bir kelime veya ifade iyi bir şifre sayılırdı. Ancak günümüzde şifrelere entropi (tahmin edilebilirlik ölçütü) sebebiyle minimum karakter sınırlamaları getirilmiştir.[2] Entropi matematiği pek de karmaşık değildir; basit bir şekilde "şifre alanı" olarak da adlandırılan kutucuklara girmemizin mümkün olduğu tüm şifrelerin sayısı, entropi anlamına gelir.
Tek karakterli bir şifre sadece küçük harf içeriyorsa Latin Alfabesiyle 29 farklı şifre yazılabilir. Büyük harfler de kullanılabiliyorsa bu sayı, 58'e çıkar.
Şifre alanı, uzunluk arttıkça ve seçeneklere başka karakterler eklendikçe genişler. Bu nedenle küçük ve büyük harfleri, sayı ve sembolleri içeren uzun şifreler kullanmamız istenir.
Yukarıdaki tabloya baktığımızda, neden büyük ve küçük harfleri, sayıları ve sembolleri barındıran şifreler kullanmamızın istendiği anlaşılır olmaktadır: Bir şifrenin tahmin edilebilirlik oranı, şifrenin karmaşıklığıyla ters orantılıdır.
Ancak şifrenin karmaşıklığıyla ilgili problem, bilgisayarların şifre tahmin etmek gibi tekrarlayan görevlerde oldukça başarılı olmasıdır. 2021'de bütün şifre kombinasyonlarını oluşturmak üzere programlanmış bir program, 1 saniyede 100.000.000.000'dan fazla tahminde bulunarak rekor kırdı.[3] Bu durum, daha uzun şifrelerin bile risk altına girmesi anlamına geliyor.
Siber suçlular, bilgisayarların bu imkânlarından faydalanıp "kaba kuvvet saldırısı" (İng: "Brute Force Attack") uygulayabilir, yani bir sisteme mümkün olduğu kadar çok şifre deneyerek erişmeyi deneyebilirler.[4] Günümüzde bulut tabanlı teknolojiler yardımıyla yapılan bir kaba kuvvet saldırısı, 8 karakterlik bir şifreyi sadece 12 dakikada tahmin edebilir. Üstelik bunun için harcamanız gereken para, 25 ABD Doları gibi cüzi bir miktardır.
Dahası şifreler, çoğunlukla önemli bilgi veya sistemleri koruduğundan, şifre kırmak siber suçlular açısından giderek daha cazip hale gelmektedir. Öyle ki şifrelerin satıldığı pazarlar oluşmuştur ve bu pazarların bazılarında kişilerin e-posta adresleri ve kullanıcı adları dâhi bulunmaktadır.
Şifreler İnternet Sitelerinde Nasıl Saklanır?
İnternet sitelerinin şifreleri, genelde "hashing" adı verilen, şifreyi karmaşıklaştıran matematiksel bir algoritmayla korunur.[5] Bu algoritmayla karılmış bir şifre tanınamaz ve eski haline geri döndürülemez.
Aslında maddi destek istememizin nedeni çok basit: Çünkü Evrim Ağacı, bizim tek mesleğimiz, tek gelir kaynağımız. Birçoklarının aksine bizler, sosyal medyada gördüğünüz makale ve videolarımızı hobi olarak, mesleğimizden arta kalan zamanlarda yapmıyoruz. Dolayısıyla bu işi sürdürebilmek için gelir elde etmemiz gerekiyor.
Bunda elbette ki hiçbir sakınca yok; kimin, ne şartlar altında yayın yapmayı seçtiği büyük oranda bir tercih meselesi. Ne var ki biz, eğer ana mesleklerimizi icra edecek olursak (yani kendi mesleğimiz doğrultusunda bir iş sahibi olursak) Evrim Ağacı'na zaman ayıramayacağımızı, ayakta tutamayacağımızı biliyoruz. Çünkü az sonra detaylarını vereceğimiz üzere, Evrim Ağacı sosyal medyada denk geldiğiniz makale ve videolardan çok daha büyük, kapsamlı ve aşırı zaman alan bir bilim platformu projesi. Bu nedenle bizler, meslek olarak Evrim Ağacı'nı seçtik.
Eğer hem Evrim Ağacı'ndan hayatımızı idame ettirecek, mesleklerimizi bırakmayı en azından kısmen meşrulaştıracak ve mantıklı kılacak kadar bir gelir kaynağı elde edemezsek, mecburen Evrim Ağacı'nı bırakıp, kendi mesleklerimize döneceğiz. Ama bunu istemiyoruz ve bu nedenle didiniyoruz.
Oturum açmaya çalıştığınızda, girdiğiniz şifre de aynı şekilde karılır ve sitede kayıtlı olan versiyonla karşılaştırılır. Her girişinizde bu işlem tekrarlanır.
Örneğin "Pa$$w0rd" şifresi, SHA1 algoritmasından geçtiğinde "02726d40f378e716981c4321d6 0ba3a325ed6a4c" haline gelir. Algoritmayı buradan deneyebilirsiniz.
Karılmış şifrelerden oluşan bir dosyada, şifrenin uzunluğuna bağlı olarak her olasılığı deneyecek bir kaba kuvvet saldırısı uygulanabilir. Bu saldırı biçimi o kadar yaygınlaşmıştır ki, bazı siteler kimi sık kullanılan şifrelerin hash karşılıklarını dâhi listelemektedir. Yani sık kullanılan bir şifrenin karılmış halini internette aratarak bile o şifreyi bulmak mümkündür.
Bunu şöyle düşünün: Eğer ki şifrenizi "şifre" yapacak olursanız, aslında bir kişinin yapması gereken şey şifrenizi tahmin etmeye çalışmak değildir. Şifreyi girdiğinizde oluşturulan hash karşılığını (ki bu durumda "şifre" = "F03EA60F6F5B83B64103EBFF11C5249ACAE2E687") Google'da aratmaktır. Bu anlamsız gibi gözüken kodu arattığımızda Google'ın bize gösterdiği sonuçlar, tehlikenin boyutunu anlamak için yeterli olacaktır:
Şu anda, şifre listelerinin çalınıp satılması o kadar yaygın bir durum ki, bu site insanların şifrelerinin tehlikede olup olmadığını kontrol edilebilmesi için kuruldu. Günümüzde bu veritabanında 10 milyondan fazla kullanıcının detaylarını içeriyor.
E-mail adresiniz bu sitede görünüyorsa, hem ilgili şifreyi hem de aynı hesap bilgilerini kullandığınız başka sitelerin şifrelerini değiştirmelisiniz.
Çözüm Daha Karmaşık Şifreler mi? Hayır!
Şifre ihlâlleri çok sık yaşandığından, artık insanların daha güvenli şifreler seçtiğini düşünebilirsiniz. Ancak maalesef aşağıdaki liste, 5 yıllık bir süre zarfında en çok kullanılan şifrelerin (aynı dönemde yaşanan çok sayıda sibersaldırıya ve uyarıya rağmen) pek de değişmediğini göstermektedir.[6]
Diğer yandan, bilgisayarların kabiliyetlerinin gelişmesine bağlı olarak daha karmaşık şifreler kullanmanın sorunu çözebileceğini düşünebilirsiniz. Ancak insanlar, çok karmaşık şifreleri hatırlamak konusunda ne isteklidir ne de yeteneklidir. Üstelik şifre gerektiren sadece 2 ya da 3 sistem kullansak gene iyi! Bir sürü siteye farklı uzunluklarda ve farklı özelliklerde şifrelerle giriş yapıyoruz. Yakın zamanda yapılan bir çalışmada, ortalama bir kişinin tek bir şifreyi yaklaşık 70-80 farklı platformda kullandığı bulgulanmıştır.[7]
Bu nedenle, size bazı önerilerde bulunmak istiyoruz:
Kötü Şifreler
İyi bir şifreyi anlamadan önce, kötü bir şifreyi anlamanızda fayda var:
- 4 haneli yıllardan uzak durun. 19XX, 20XX ve halk arasında meşhur olan diğer önemli yıllar (örneğin 1923) veya sık kullanılan sayılar (Türkiye'deki futbol taraftarları için 1903, 1905, 1907, 1961 gibi sayılar) kullanılmamalıdır.
- "Şifre" sözcüğünden ve türevlerinden uzak durun. İnsanlar "şifre" yerine "$1fr3" yazdıklarında eşsiz ve zor bir şifre ürettiklerini sanıyorlar. Halbuki yukarıda anlattığımız hash araması probleminden ötürü, bu kadar kısa bir şifre, karmaşık gözükmesine rağmen kötü bir şifredir.
- Spor referanslarından uzak durun. Sadece takımların kuruluş yılları değil, aynı zamanda "futbol", "basketbol", "fatihterim", "futbolfanatigi", "millitakım" gibi sözcüklerden ve bunların her türlü türevinden uzak durun.
- İsim kullanmayın. Özellikle de evcil hayvanlarınızın, eşinizin, çocuklarınızın, torunlarınızın ve ünlü simaların isimlerini kullanmayın. Bunlara olan düşkünlüğünüz ve bu kişilerle ilgili yaptığınız sosyal medya paylaşımları, şifrenizi ele verebilir.
- Kişisel bilgiler kullanmayın. Örneğin şifrenizde kendi adınızı, email adresinizi, telefon numaranızı, T.C. Kimlik numaranızı kullanmayın. Bunları bulmak ve denemek hiç zor değildir.
- Yaygın klavye kombinasyonlarından uzak durun. Örneğin "qwerty", "asdasd", "asdfg", "123456", "abc123" gibi kombinasyonlardan uzak durun.
İyi Şifreler
İyi bir şifre oluşturmak için sadece kötü şifrelerden uzaklaşmak yetmez. İyi şifreyi de anlamak gerekir:
- Büyük harf kullanın. İnsanlar şifrelerinin genelde sadece küçük harflerden oluşması gerektiğini veya bilgisayar için küçük/büyük harf ayrımının olmadığını düşünürler. Halbuki bir bilgisayar için büyük ve küçük harfler ayrı karakterlerdir. "sifre" şifresini kırmak, "SiFrE" şifresini kırmaktan çok daha basittir (her ikisi de berbat şifreler olsa bile).
- Küçük harf de kullanın. Yukarıda verdiğimiz bilgi, küçük harfler kullanmanın kötü bir şey olduğu anlamına gelmez. Aralara küçük harfler de serpiştirmelisiniz.
- Sayılar kullanın. Eklediğiniz her bir sayı, şifrenizin kırılmasını zorlaştıracaktır. Ancak sayı tercihinize dikkat edin, yukarıdaki örüntülerden ve yaygın sayılardan uzak durun.
- Özel karakterler kullanın. Bunu yapmanın sinir bozucu olduğunu biliyoruz; ancak örneğin "i" harfi yerine "1" sayısını kullanmak, hatta "!" işaretini kullanmak iyi bir fikir olacaktır. Eklenen her özel karakter, şifrenizin kırılma ihtimalini o kadar azaltacaktır.
- 10 karakterin ötesine geçin. Bu, verebileceğimiz en önemli tavsiye olabilir. Bir şifre ne kadar uzunsa, kırılması da o kadar zor olacaktır.
Daha da İyi Şifreler
Şifrenizin gerçekten güvenli olmasını istiyorsanız, yaygın önerilerin de ötesine geçebilirsiniz:
- Komik veya özlü (ama akılda kalıcı) bir cümle seçin; sonra onu kısaltın. Örneğin Bernard Baruch'un şu cümlesini alın: "Milyonlarcası elmanın düştüğünü gördü; ancak sadece Newton 'Neden?' diye sordu." Sonra ilk harflerinden ve noktalama işaretlerinden bir şifre üretin: "Medg;asN?ds."
- Eşsiz ve absürt bir cümle uydurun. Örneğin: "BelkiSurdaKucukAgacVardir?" veya "TurtaliPastaArkamdanIsCeviriyor"
Şifre Yöneticisi Kullanın
Bu yönergelerin biraz zorlayıcı olduğunu da biliyoruz. İyi haber şu ki bu sorunu çözebilen araçlar var. Çoğu bilgisayar tarayıcınızda veya işletim sisteminizde şifrelerinizi depolamanıza ve bu şifreleri başka cihazlara aktarmanıza imkân sağlıyor. Örneğin, Apple'ın iCloud Keychain uygulaması, daha az güvenli olsa da şifrelerinizi Internet Explorer, Chrome ve Firefox'ta saklamanıza olanak tanıyor.[8], [9] KeePassXC gibi şifre yöneticileri ise, kullanıcıların uzun ve karmaşık şifreler oluşturup güvenli bir konumda saklamalarına imkân tanıyor.[10]
Bu saklama alanının daha da iyi bir şifreyle korunması gerekse de böyle bir sistem kullanarak girdiğiniz her site için karmaşık ve eşsiz bir şifre yaratabilirsiniz. Böylece sadece 1 adet şifreyi (o şifre yöneticisine girmekte kullandığınız şifreyi) karmaşık ve akılda kalıcı bir şekilde seçerek, gerisini şifre yöneticine bırakabilirsiniz.
Bu sistemleri kullanıp tamamen güvenli yöntemlere başvursanız bile, kullandığınız sitelerin savunmasız olması hâlinde şifrelerinizin çalınabileceğini unutmamalısınız. Ancak bu tip bir durumda, eğer bir şifre yöneticisi yardımıyla farklı sitelerde farklı şifreler kullanıyorsanız, en azından diğer sitelerdeki şifrenizi değiştirmenize gerek kalmayacaktır.
Hangi Şifreyi Kırmak Ne Kadar Sürer?
Bu verdiğimiz önerileri sayıya dökelim. Aslında bir şifreyi kırmak için gereken süreyi hesaplamak da çok kolay değildir; ama Randomize sitesi bu konuda bize yol gösterebilir. Aşağıda, her bir şifrenin en fazla ne kadar sürede kırılabileceğini göreceksiniz:
- abcdg: <1 saniye
- sifre: <1 saniye
- şifre: <1 saniye
- s1fr3: <1 saniye
- $1fr3: <1 saniye
- sifremne: 1 dakika 13 saniye
- !'^+%&/(: 6 dakika 27 saniye
- s1fr3mne: 16 dakika 13 saniye
- alem1905: 16 dakika 33 saniye
- abcdgabcdg: 13 saat 48 dakika
- sifremneydiki: 28 yıl 1 ay
- abcdgabcdgabcdg: 18.994 yıl
- Medg;asN?ds.: 1.397.612 yıl
- $ifr3mneyd1k!: 7.527.508 yıl
- aaabbbcccdddeeefffggghhhjjjkkklll: 559.958.504.214.918.700.000.000.000.000 yıl
- BelkiSurdaKucukAgacVardir?: 1.217.017.433.181.375.300.000.000.000.000.000 yıl
- TurtaliPastaArkamdanIsCeviriyor: 1.778.848.715.029.699.600.000.000.000.000.000.000 yıl
Görebileceğiniz gibi, şifrenin uzun olması, karmaşık olmasından çok ama çok daha önemlidir.
Hatta bir bilgi daha verelim: Yukarıda verdiğimiz örnekler, şu anda bizim uydurduğumuz örnekler olduğu için henüz internet şifre veritabanlarında bulunmuyor. Ama biz bu yazıyı yayınladığımız anda, bu şifreler "şifre ile ilgili bir yazı" içerisinde geçiyor olmasından ötürü muhtemelen botlar tarafından endekslenecek ve çok kötü şifreler hâline gelecek. Dolayısıyla bizim bu yazıda verdiğimiz şifrelerden hiçbirini şifre olarak kullanmamalısınız.
Son Uyarılar
Ve biraz bariz olacak ama, son uyarı: Şifrenizi kimseyle paylaşmayın! Bir siteyle ilgili çağrı merkezini arayacak olursanız, bilin ki bu yardım elemanları size asla şifrenizi sormayacaktır. Eğer bir çağrı merkezi elemanı (veya bir "çağrı merkezi elemanı gibi davranan kişi") sizden şifrenizi istiyorsa, kesinlikle şifrenizi paylaşmayın. Benzer şekilde, asla e-posta üzerinden de şifrenizi paylaşmayın.
Bu, şifre onayı için cep telefonunuza gelen özel kodlar için de geçerlidir. Cep telefonlarınıza gelen kodlar, sadece ve sadece sizin sisteme erişebilmeniz için gönderilmektedir. Bir başkasına bu kodu verecek olursanız, şifrenizi değiştirip size zarar verebilirler. Ayrıca telefonun diğer ucundaki kişinin gerçekten iyi niyetli biri olup olmadığını bilemezsiniz; zira siz yardım merkezini aradığınızı sanıyor olabilirsiniz ama o numarayı aldığınız yer hacklenmiş ve telefon numarası değiştirilmiş olabilir.
İçeriklerimizin bilimsel gerçekleri doğru bir şekilde yansıtması için en üst düzey çabayı gösteriyoruz. Gözünüze doğru gelmeyen bir şey varsa, mümkünse güvenilir kaynaklarınızla birlikte bize ulaşın!
Bu içeriğimizle ilgili bir sorunuz mu var? Buraya tıklayarak sorabilirsiniz.
Soru & Cevap Platformuna Git- 16
- 8
- 2
- 2
- 2
- 2
- 2
- 2
- 1
- 0
- 0
- 0
- Türev İçerik Kaynağı: The Conversation | Arşiv Bağlantısı
- ^ C. Nast. The World's First Computer Password? It Was Useless Too. (27 Ocak 2012). Alındığı Yer: Wired | Arşiv Bağlantısı
- ^ V. A. C. Weaver. A Somewhat Brief Explanation Of Password Entropy. (19 Ocak 2016). Alındığı Yer: IT Dojo | Arşiv Bağlantısı
- ^ Tech Monitor. Navigating The Horizon Of Business Technology. (4 Mart 2021). Alındığı Yer: Tech Monitor | Arşiv Bağlantısı
- ^ Kaspersky. Brute Force Attack: Definition And Examples. (5 Temmuz 2021). Alındığı Yer: www.kaspersky.com | Arşiv Bağlantısı
- ^ C. Nast. Hacker Lexicon: What Is Password Hashing?. (8 Haziran 2016). Alındığı Yer: Wired | Arşiv Bağlantısı
- ^ Security Magazine. The Worst Passwords Of 2019. (23 Aralık 2019). Alındığı Yer: Security Magazine | Arşiv Bağlantısı
- ^ www.newswire.com. New Research: Most People Have 70-80 Passwords. Alındığı Yer: NewsWire | Arşiv Bağlantısı
- ^ J. Evans. How To Use Icloud Keychain: The Guide. (13 Şubat 2018). Alındığı Yer: ComputerWorld | Arşiv Bağlantısı
- ^ C. Hoffman. Why You Shouldn't Use Your Web Browser's Password Manager. (15 Kasım 2019). Alındığı Yer: How To Geek | Arşiv Bağlantısı
- ^ J. Turner. What Is A Password Manager?. (2 Ocak 2022). Alındığı Yer: Tech.co | Arşiv Bağlantısı
Evrim Ağacı'na her ay sadece 1 kahve ısmarlayarak destek olmak ister misiniz?
Şu iki siteden birini kullanarak şimdi destek olabilirsiniz:
kreosus.com/evrimagaci | patreon.com/evrimagaci
Çıktı Bilgisi: Bu sayfa, Evrim Ağacı yazdırma aracı kullanılarak 22/12/2024 06:13:11 tarihinde oluşturulmuştur. Evrim Ağacı'ndaki içeriklerin tamamı, birden fazla editör tarafından, durmaksızın elden geçirilmekte, güncellenmekte ve geliştirilmektedir. Dolayısıyla bu çıktının alındığı tarihten sonra yapılan güncellemeleri görmek ve bu içeriğin en güncel halini okumak için lütfen şu adrese gidiniz: https://evrimagaci.org/s/11474
İçerik Kullanım İzinleri: Evrim Ağacı'ndaki yazılı içerikler orijinallerine hiçbir şekilde dokunulmadığı müddetçe izin alınmaksızın paylaşılabilir, kopyalanabilir, yapıştırılabilir, çoğaltılabilir, basılabilir, dağıtılabilir, yayılabilir, alıntılanabilir. Ancak bu içeriklerin hiçbiri izin alınmaksızın değiştirilemez ve değiştirilmiş halleri Evrim Ağacı'na aitmiş gibi sunulamaz. Benzer şekilde, içeriklerin hiçbiri, söz konusu içeriğin açıkça belirtilmiş yazarlarından ve Evrim Ağacı'ndan başkasına aitmiş gibi sunulamaz. Bu sayfa izin alınmaksızın düzenlenemez, Evrim Ağacı logosu, yazar/editör bilgileri ve içeriğin diğer kısımları izin alınmaksızın değiştirilemez veya kaldırılamaz.