Şifrelerinizin Son Derece Zayıf Olduğunu Biliyor muydunuz?

Şifrelerinizin Son Derece Zayıf Olduğunu Biliyor muydunuz?

Web sitelerinin çoğuna üye olurken dikkat etmişsinizdir, sizden ‘şifre’ istendiğinde girdiğiniz kelime ya da rakamların ne kadar güçlü olup olmadığını kontrol eden ‘şifre metreler’ var. Bu minik uygulamalar, kullanmak istediğiniz şifrenin düşük ya da yüksek düzeyde güvenli olup olamayacağı hakkında bir fikir vermek üzere kurgulanmış yapılar. Ancak bunlara güvenmek ne kadar doğru dersiniz? 

Üye olmak istediğiniz web siteleri, uzun bir süredir kullanmak istediğimiz şifrelerin sağlam ya da zayıf olduklarını ölçümleyen minik uygulamalara sahip. Bu uygulamalar şifrelerimizi daha güvenli kılabilmek adına farklı olasılıklar denememizi tavsiye edebiliyorlar. Şifre metre diyebileceğimiz bu küçük kontrol mekanizmalarının tavsiyesi elbette önemli. Ancak ne kadar güvenli?

Eğer sadece bu şifre metrelere göre şifre düzenliyor ya da bu alt yapının size bir şifre önermesini tercih ediyorsanız, güvenlik konusunda işinizi biraz şansa bırakıyorsunuz demektir. Çünkü bu şifre metrelerin yapılan bir araştırma sonucu çok da güvenilir olmadıkları ortaya çıktı.

Concordia Üniversitesi yaptığı bir araştırma sonucu bu alt yapının son derece tutarsız olduğunu açıkladı. Yapılan çalışmalar sonucu şifre metrelerin kullanıcıları yanlış yönlendirdiği savunuluyor. Peki, Concordia Üniversitesi bu sonuca nasıl ulaşmış olabilir? Araştırmanın özeti şöyle;

Bilindik tüm dev siteler mercek altında

Concordia Üniversitesi’nde internet üzerinde güvenlik protokollerini araştıran Xavier de Carné de Carnavalet ve  Mohammad Mannan isimli iki araştırmacı, bir süredir şifreleme yöntemleri üzerinde çalışıyorlar. Apple, Dropbox, Drupal, Google, eBay, Microsoft, PayPal, Skype, Tencent QQ, Twitter, Yahoo ve Rusya menşeli e-posta servisi Yandex’in şifre metreleri de araştırmalarının önemli bir kısmını oluşturuyor.

İki araştırmacı çalışmaları kapsamında 9.5 milyon şifreyi barındıran bir veri tabanı kullanıyorlar. Bu veri tabanı hemen her gün artırılarak güvenlik açığı olasılıkları değerlendiriliyor. Araştırma şifre metrelerin mantığının nasıl işlediği yönünde önemli bilgileri de açığa çıkarıyor. 

Mantıksız ve yetersiz kurallar

Şifre metreler genellikle gerekli olan karakter sayısı ve bu karakterlerin birbirinden ne kadar farklı olduğunu ölçümlüyorlar. Yani büyük harf, küçük harf, rakam ve sembollerden oluşup oluşmadığını kontrol ediyorlar. Bazı şifre metreler kullanıcı adı olarak kullandığınız kelimelerin şifreleme de kullanılmamasına gerektiğine de dikkat ediyor.

Ancak şifre metreler kolay şifre yapılarında bazı rakam ve numaralarla değiştirilip değiştirilmediğini kontrol etmiyor. Mesela ‘l’ harfi yerine ‘1’ ya da ‘a’ harfi yerine ‘@’ kullanıyor olmanızı önemsemiyorlar. Böylelikle standart parolanızın isminiz olan ‘alibelli’ olmaması gerektiğini öneren şifre metreler, bunu ‘@libe11i’ olarak değiştirdiğinizde çok güvenli sayabiliyorlar. Oysa hackerlerin ilk denedikleri şey kullanıcı isimlerinin şifrelemede bu şekilde değiştirilip değiştirilmediğini kontrol etmek.

Birbiriyle bağdaşmayan sonuçlar

Şifre metrelerin bir standardı da yok. Kullanacağınız ‘PayPal01’ gibi bir şifre Skype tarafından kabul edilmezken, şaşırtıcı bir biçimde PayPal sitesinden onay alabiliyor. Öte yandan ‘Password1’ gibi bir şifre yapısı Dropbox’da reddedilirken Yahoo bunu güvenli olarak değerlendirebiliyor.  Birkaç başka şaşırtıcı örnek daha verelim, ‘#football1’ şifresi Dropbox’da kabul edilmezken Twitter bu şifreyi son derece güvenli bulabiliyor. Google ise ‘password0’ yapısını güvensiz olarak işaretlerken ‘password0+’ yapılandırmasına onay verebiliyor. Öte yandan FedEx ‘+ˆv16#5{](‘ gibi bir kombinasyonu içinde büyük harf olmadığı için güvensiz olarak tanımlayabiliyor.

Bu durum yukarıda da anlattığımız gibi zayıf tasarlanmış şifre metre alt yapısından kaynaklanıyor. Son derece basit bir kelimenin içine bir büyük harf, bir sembol ve bir rakam koymakla bu küçük kontrol mekanizmaları size onay verebiliyor ve şifrenizi güvenli sanabiliyorlar.

Bu araştırma şifre metrelerin güvenli şifre yaratabilme konusunda zayıflıklarını ortaya koyarken, kullanıcıların bu altyapıların tavsiyelerine pek uymaması gerektiğinin de altını çiziyor. Şifreleme yöntemlerimizi daha karmaşık ve özel hale getirmek, şifre metrelerin bazen hoşuna gitmese de onların kurallarıyla, kendi alt yapılarımızı kullanmak daha güvenli gibi duruyor. Ancak yine de 2014 Yılının En Çok Kullanılan, En Kötü Şifreleri! haberimizde yer alan şifrelerden de uzak durmanızı tavsiye ediyoruz.

USB Sürücü ile Güvenliğinizi Nasıl Sağlarsınız?

En İyi Taşınabilir Antivirüs Programları

2014 Yılının Dudak Uçuklatan Güvenlik Açıkları

Kaan Ezgimen
Kaan Ezgimen - | Güvenlik

YORUMLAR