Günlük yaşantımızda bankalardan para çekmek ve yatırmaktan sosyal medyaya kadar hemen hemen her alanda şifre kullanıyoruz.
Bu makalemize güvenli şifre seçimi hakkında yanlış bilinenler ile başlayalım.
İçindekiler
Yanlışlar:
Yanlış 1: “Doğum tarihi gibi kişisel bilgilerinizi şifrenizin içinde kullanmayın.”
Bu belki 1900’lü yıllarda 4 haneli şifreler kullanıldığı zamanlarda geçerliydi ancak günümüzde şifrelerimizin genellikle 8 haneden kısa olmasına izin verilmiyor. Bu durumda deneme/yanılma ile şifre bulmak neredeyse imkansız bir hale geliyor ve kötü amaçlı hackerlar veritabanına erişmek veya brute attack* yapmak zorunda kalıyorlar. Bu da şifrenizin içinde kişisel bir bilginizin bulunmasının şifrenizin kırılma ihtimalini değiştirmeyeceğini gösteriyor. Ayrıca kötü yanın aksine dikkatli kullanıldığında şifrede kişisel bilgi kullanmak hatırlamayı kolaylaştırıyor. Yine de sizden bankamatiklerdeki gibi 4 haneli bir şifre isteniyorsa kişisel bir bilginizi şifre olarak seçmeyin. Ayrıca şifrenizin tamamının da birbiri ile bağlantısı olan kişisel veri olmaması gerekiyor.
*Kaba kuvvet saldırısı. Bilgisayar olabilecek tüm sonuçları tek tek deneyerek şifreyi bulmaya çalışır (a1111, a1112, a1113, …). Uzun, içinde rakam, büyük-küçük harf ve karakter bulunan şifreleri bu yol ile çözmek neredeyse imkansızdır.
Yanlış 2: “Şifrenizi unutmamak için her yerde aynı şifreyi kullanın.”
Siz kuantum bilgisayarların bile kolay kolay kıramayacağı bir şifre seçmiş olsanız bile sizin elinizde olmayan veritabanının hacklenmesi gibi sebeplerden şifreniz kötü amaçlı hackerların eline geçebilir. Her ne kadar veritabanı içinde de şifreler md5 gibi yöntemler ile şifrelenmiş olsa da günümüzde çözülemeyen bir şifreleme metodu yoktur. Şifreniz kötü amaçlı hackerların eline geçtiğinde sizin kullanıcı adınız ve şifreniz ile başka hesaplarınıza da erişmeyi deneyeceklerdir. Bu sebeple her yerde farklı bir şifre kullanmak daha güvenli olacaktır. Yazımızın üçüncü bölümünde her seferinde farklı bir şifre kullanırsanız bu kadar çok şifreyi unutmamak için ne yapmanız gerektiğine değineceğiz.
Yanlış 3: “Tüm şifrelerinizi bir yere not edin.”
Eğer tüm şifrelerinizi bilgisayarınızda bir not defterine kaydederseniz bilgisayarınıza bir zararlı bulaştığında kolayca tüm hesaplarınızı ele geçirebilirler. Evinizde bir kağıda yazmanız durumunda da evinize erişimi olan biri veya evinize girecek bir hırsız hesaplarınıza ve eğer yazdıysanız kredi kartı gibi bilgilerinize erişebilir. Yine de evinize yazdığınızda bunun istenmeyen bir kişinin eline geçme olasılığı zararlının text dosyasını ele geçirip şifrelerinizi öğrenme olasılığından çok daha düşük. Yazımızın sonunda bir kağıda veya text dosyasına nasıl güvenli bir şekilde yazabileceğinize de değineceğiz.
Yanlışlardan yeterince bahsettik. Şimdi ise güvenli şifreler oluşturmak için uygulamamız gereken kurallara gelelim.
Kurallar:
Kural 1: “Mümkünse büyük-küçük harf, rakam ve karakter barındıran şifreler koyun.”
Şifrelerin güvenliğini belirleyen en büyük etmen büyük-küçük harf, rakam ve karakter* bulunmasıdır. Bunların her birinin bulunması şifrenin uzunluğu kadar önemlidir. Karakter içeren şifreler eskiden her yerde desteklenmese de günümüzde pek çok yerde desteklenmekte. Eğer desteklenmiyorsa karakter kullanılmaması ciddi bir sorun teşkil etmez. Şimdi büyük-küçük harf, rakam ve karakterin önemini anlatmaya çalışacağım. 4 hanelik bir şifremiz olduğunu düşünelim. Bu sadece harflerden oluşuyorsa alfabemizde 29 harf olduğunu düşünürsek 29^4 den (29 üstü 4) 707281 olasılık olabilir. Eğer bu şifremiz karakter, büyük-küçük harf ve rakam da içeriyorsa 29 küçük + 29 büyük harf + 10 rakam + en az 200 sembolden her hanede 268 olasılık olabilir. Buradan 268^4 den (268 üstü 4) şifremiz 5158686976 olasılık içerebilir. Bu da karakter, rakam, büyük-küçük harf içeren 4 hanelik şifremizin sadece harf içerenden 6 hanelik şifremizden 7293 kat daha güvenli olduğunu gösterir (4 hanelik şifre için. Hane sayısı arttıkça bu fark da artar).
*Sembol, örnek: ! ? # $ £ @ % ” ‘ > < : . ,
Kural 2: “Ne kadar uzun o kadar güvenli.”
Şifremizin güvenliği uzunluğu ile doğru orantılı olarak artar. Yani şifremiz ne kadar uzunsa o kadar güvenliğinin artacağını söyleyebiliriz. Yine de uzunluğun yanında diğer kurallara da dikkat etmemiz gerekir. Uzunluğu çok fazla abartmaya gerek yok. Günümüzde bu kadar zor şifreleri kırabilecek piyasa bilgisayarları yok yine de büyük Google gibi firmaların elinde olan kuantum bilgisayarları ile veya onlarca-yüzlerce bilgisayar birlikte çalışacak şekilde programlanarak şifreler kırılabilir. Eğer sizde normal biriyseniz kimse sizin şifrenizi büyük bir bilgisayar ordusuyla kırmaya çalışmaz. Bu yüzden uzunluğa önem verirken akılda tutulamayacak kadar uzun şifreler koymaya gerek yok. Son olarak bir şifre için 8-10 hanenin ideal olduğunu söyleyebiliriz.
Şimdi yukarıdaki kural ve yanlışların açıklamasında yazılanlara uymanız durumunda güvenliği etkilemeyecek ama işinizi kolaylaştıracak tavsiyelerimize geçelim.
Tavsiyeler:
Tavsiye 1: “Taban Şifreye Özel Ek Metodu”
Bu metodu kendim geliştirdim ancak büyük ihtimalle benden başka kişilerin de aklına gelmiştir. Bu metod şu şekilde işliyor. Öncelikle kendinize bir taban şifre seçmeniz gerekiyor. Bu şifre her yerde aynı olacak. Örneğin taban şifremiz 1234Abcd olsun. Şimdi Twitter’a kaydolacağız. Twitter’ın baş harfi T. Bu durumda Twitter şifremizi 1234AbcdT yapıyoruz. Burada T‘yi nereye koyacağınız, küçük-büyük harf ile koyacağınız tamamen size bağlı. İsterseniz T1234Abcd isterseniz 1234AbcdTT gibi kendiniz bu yöntemi geliştirip kendinize özgü bir şey yapabilirsiniz. Ayrıca bu metod sayesinde her sitede aynı tabanı kullanıyor ve özel eki site adından bulabilecek olduğunuzdan unutma şansınız da azalıyor.
Tavsiye 2: “Şifreyi Şifreleyerek Kaydetme Metodu”
Bu metod diğer metodun devamı gibi. Diğer metod olmadan bu metodu uygulamanın anlamı kalmıyor. Bunu da kendim geliştirdim ancak benden başka kişilerin de aklına gelmiş olabilir. Eğer çok fazla yere kaydolan ama güvenliğine de önem verdiğinden her yere farklı şifre koyan biriyseniz bütün bu şifreleri aklınızda tutmanız çok zor olacaktır. Eskiden siteler günümüzdeki kadar önbellekleme yapmıyordu. Her seferinde tekrar şifreyi girmekten hafızamıza kazınıyordu ancak günümüzde bir siteye her gün bile girsek şifremizi 1 sene boyunca tekrar yazmak zorunda kalmayabiliyoruz. Araya bu kadar zaman da girince ister istemez unutabiliyoruz. Bu durumla karşılaşmamak için bütün şifrelerimizi bir text dosyası içinde güvenli bir şekilde depolayacağız. Diğer metod sayesinde buna gerek yokmuş gibi görünüyor ancak bazen sadece mobil cihazlar, akıllı televizyon ve playstation gibi yazı yazmak zor olan cihazlardan girdiğimiz şifreler olabiliyor. Bu tür durumlarda yazmak zor olacağından karakteri, büyük küçük harfi olan şifreler koymak istemeyebiliyoruz. Bazı durumlarda da ilk metoddaki yöntemi kullanarak taban şifrenize ek sadece T harfi koyduktan sonra başka bir T harfi ile başlayan site ile karşılaşınca farklı bir şifre koymak isterseniz karışıklıklar olabiliyor. Önceki metodu uyguladığımızı var sayarsak taban şifremiz 1234Abcd olsun. Zaten bunu her siteye girdiğimizden unutma şansımız yok. Bunu text dosyasının içine 1*d gibi bir şekilde şifreleyerek yazıyoruz. Örneğin metodu tabanın sonuna sitenin baş harfini büyük bir şekilde yazarak uyguluyorsak N koyuyoruz. İki tane koyuyorsak NN koyuyoruz. N bilinmeyeni temsil ediyor. Fazla uzatmadan bir örnek yapalım:
Şifre.txt:
Twitter (1. site) – 1*dN (“1*d” tabanı, “N” T harfini temsil ediyor)
T*** (2. site) – 1*dn (“1*d” tabanı, “n” t harfini temsil ediyor)
T*** (3. site) – 1*dNN (“1*d” tabanı, “NN” TT harflerini temsil ediyor)
T*** (4. site) – 1*dnn (“1*d” tabanı, “nn” tt harflerini temsil ediyor)
Bunu düzenleyerek size göre en kolay hale getirebilirsiniz. Eğer herkesçe kolaylaştıracak yöntemler bulursanız diğer insanlara da yardımcı olmak amacıyla bize gönderebilirsiniz.
