Dijital dönüşümün baş döndürücü hızla artmaya devam ettiği bu günlerde dijital sistemleri koruyan parolaların güvenliği de daha önemli hale geldi. Hesaplarımıza giriş için kullandığımız parolaların yanlış seçimi, sistemlerin saldırılara açık hale gelmesine sebep oluyor. Özellikle genel ağ üzerinden erişilebilir durumda olan hesaplarınızı etkili bir şekilde korumanın yolu güçlü şifreleme kullanmaktır. Güçlü şifre ve güçlü şifre oluşturmanın detaylarına girmeden önce konu ile ilgili bazı temel kavramlara açıklık getirelim:
Öncelikle günlük hayatta sık sık birbirinin yerlerine kullanılan ve zaman zaman karıştırılan iki kavram olan parola ve şifre kavramlarından bahsedelim.
Parola ( Password ): Bir sisteme erişim sağlamak için kullanılan harfler, rakamlar, özel karakterlerden oluşan açık metinlerdir. Hesaplara erişilirken kullanılan “1234abc” , “qwerty” şeklinde yazdığınız giriş anahtarlarının açık metin hali paroladır.
Şifre (Cypher) : Şifre bir metin, parola ifadesi, dosya gibi okunabilen ve anlaşılır durumda olan verinin belirli algoritmalar yardımıyla anlaşılmaz hale getirilmesiyle ortaya çıkan veridir. Şifrelemenin kendi içerisinde simetrik ve asimetrik şifreleme, hashing gibi algoritmaları vardır.
Şifrelemenin amacı ağ üzerinden trafiğin dinlenmesi veya veri tabanlarına erişim ihtimallerine karşı gizli tutulması gereken verinin içeriğini korumaktır. Parolalar da bu kapsama giren metinler olduğu için ağ üzerinden veri aktarımı yapılırken veya veri tabanlarına kayıt edilirken şifrelenmelidirler. Bu şekilde saldırganların ağ trafiğini dinlemesi veya veri tabanına erişmesi halinde bile verinin açık haline ulaşması engellenmiş olur.
Brute force ve Dictionary atakları nedir?
Hesaplara erişim için parolaların açık haline ulaşamayan saldırganlar izinsiz erişim için farklı yöntemleri kullanırlar. Bunların içerisinde en yaygın olan atak yöntemlerinden biri brute force ataklarıdır. Brute force atakları kısaca deneme yanılma yöntemi ile bir hesaba ait giriş bilgilerinin elde edilmesi olarak tanımlanabilir.
Brute force atakları esnasında deneme sayısını azaltabilmek amacıyla saldırganlar çok kullanıldığı bilinen parolalardan oluşan sözlükleri referans olarak kullanabilirler. Bu ataklara dictionary atak adı verilmektedir.
Brute force ve dictionary atakları ile tespit edilme ihtimali azaldıkça parola ve şifreleriniz daha güçlü hale gelir. Brute force ve dictionary atakları deneme yanılma ve istatistiksel tahmin yöntemine göre çalıştığı için tahmin edilmesi zor şifreler kullanıp deneme yapılacak havuzu büyütmemiz şifreleri daha güçlü hale getirilecektir.
Güçlü şifre nasıl oluşturulur?
Aşağıdaki kriterlere dikkat edilerek daha güçlü parola ve şifreler oluşturulabilir.
- Parolalar tahmin edilmesi kolay olan ve anlamlı olan kelimelerden seçilmemelidir. Güvenlik araştırmacısı şirketlerin verilerine göre “123456”, “12345678”, “qwerty”, 12345678, “111111”, “password” gibi ifadeler hala en çok kullanılan parolalar arasında ve bir saldırganın dictionary atağı ile ilk denediği şifreler her zaman bu tarz en sık kullanılan parolalar oluyor.
- Parolalar minimum 15 karakter olacak şekilde mümkün olduğu kadar uzun metinler olarak seçilmelidir.
- Harfler dışında parola oluşturulurken rakam, özel karakter, büyük/küçük harf kombinasyonları kullanılarak tahmin edilebilme ihtimali azaltılabilir.
- Parolaların içerisinde kullanıcı adı, isim, doğum tarihi gibi tahmin edilmesi ihtimali olan veriler kullanılmamalıdır.
Güçlü şifre oluşturmak için parola yöneticisi uygulamalar da kullanılabilir. Bu tarz uygulamalar tek bir parola ile farklı hesaplara ait parolaların yönetilmesini sağlar ve belirtilen karmaşıklık kriterlerine göre güçlü parolalar üretilmesini sağlar. Aşağıda örnek bir parola yöneticisi uygulaması olan KeePass ile güçlü parola oluşturma adımları açıklanmıştır.
KeePass uygulaması kurulup çalıştırıldıktan sonra öncelikle parolaların tutulduğu veritabanını oluşturmak gerekecek. Sol üst köşede bulunan veri tabanı oluştur ikonu ile yeni veri tabanı oluşturulur ve kaydedilecek dizin seçilir.
İkinci adımda erişim için master key belirlenir
Veri tabanına erişim sağlandıktan sonra yönetilen parolalara ulaşılabilir. “Add Entry” butonu ile yeni parola eklenebilir.
Yeni parola oluşturulurken parola üreticisi seçeneği seçilerek belirtilen kriterlere göre güçlü bir parola oluştrulması sağlanabilir.
Parola oluştururken kriterler seçilerek parolanın karmaşıklığı ayarlanabilir.
Güçlü şifre örnekleri
Güçlü bir parola oluşturmak için önerilen kriterlerin ne kadar fazlası uygulanırsa o kadar kırılması zor bir şifre üretilmiş demektir. Yukarıda anlatılan parola yöneticisi uygulaması vasıtasıyla üretilen güçlü parola örnekleri aşağıdaki gibidir:
HzX\*HZg,M1″YcasN55J
7n$7o%s=%$&Sb+6EkLnu
Fkde!X?+0HCH&$uq-M;3
Oluşturulan bu parolaların ne kadar güçlü şifreleme yaptığını https://howsecureismypassword.net/ gibi şifrenizin güvenilirlik derecesini ölçen siteler üzerinden kontrol edebilirsiniz. Oluşturduğumuz parolaları site üzerinden kontrol ettiğimiz zaman standart bir bilgisayar tarafından kırılabilmesi için ne kadar zamana ihtiyaç olduğunu görebiliyoruz.. Siz de bu tarz servisler üzerinden kullandığınız parolaların güvenilirlik seviyesini görüntüleyebilirsiniz. Örnek olarak karmaşık bir parola kullandığımızda ilgili sitede şifrenin brute force ile çözülme süresi 93 trilyon yıl olarak hesaplanırken “12345678” parolasını aynı servis üzerinden kontrol ettiğimizde hemen kırılacak şifreler arasında olduğunu görebiliyoruz.
Her ne kadar güçlü bir şifre oluşturmuş olsanız da günümüzde çok güçlü bilgisayarlar ve çoklu kaynaklar kullanılarak zor şifreler de daha kısa sürelerde kırılabilmektedir. Bu sebeple kritik hesapların parola ile beraber çok faktörlü kimlik doğrulama araçları ile beraber korunması önerilmektedir.
Eline sağlık.
Teşekkürler hocam.
Eline sağlık, çok akıcı ve faydalı bir makale olmuş.
Teşekkürler.