İnternette Şifreler nasıl çalınır ve Çözülür ?

[PeRiLiCe]

Bilgili kullanıcılar şifre seçimleri konusunda duyarlı davranır, genellikle uzun ve değişik karakterler içeren zor şifreleri seçerler. Ancak bir şifre çözülmesi ne kadar zorsa hatırlanması da o kadar zor olur. Peki, acaba hem zor çözülebilen hem de kolay hatırlanabilen bir şifre üretmek mümkün müdür? Ilya Lichtenstein‘ın Generating the Perfect Password yazısı kadar yazıya yapılan yorumlar da bir o kadar yararlı. Buyrun ben özetleyim.

Önbilgi: Şifreler nasıl çalınır/çözülür?

Şifrenizin çalınması için birkaç yol var aslında. Bunlardan biri şifrenizin siz girerken çalınması:

• Keylogger: Keylogger‘lar ve bazı trojan‘lar klavyeden girdiğiniz her tuşu kaydeder, yani şifrenize kötü niyetli kişi kolayca ulaşabilir. Özellikle internet kafe gibi kamuya açık yerlerde en büyük sorundur. Ancak keylogger’ların yapamadığı birşey varsa o da mouse tıklamalarını kaydetmiyor olmalarıdır. Aşağıdaki birkaç şifre tekniği bu sayede keylogger’lara karşı korunmalıdır.
• Yan gözle şifre çalmak: Shoulder surfing diye bilinen bu teknikle kötü niyetli kişi çaktırmadan şifrenizi öğrenebilir. Çoğu zaman başarısızlıkla sonuçlanan bu denemelere karşı şifrenizi hızlı yazmak ve dikkatli olmak en iyi korunma olacaktır.

Diğer bir olasılık ise deneme yoluyla şifrenizin bulunması. Ancak fazla korkulacak bir durum yok, zira çoğu site bir kullanıcının milyon kere şifre denemesine izin vermez. Yine de saldırı metodları hakkında bilgi sahibi olun:

• Brute Force: Kaba kuvvet olarak çevirebileceğim bu yöntemde kötü niyetli kişi şifrenizi bulmak için her karakter dizisini, yani tüm olasılıkları dener. Her konuda en amele yöntem olduğu için Brute Force yerine Dictionary Attack tercih edilir.
• Dictionary Attack: İnsanlar şifrelerini kolay hatırlamak için genelde bir kelime ve birkaç rakam kullanırlar. Dictionary Attack yönteminde önceden tanımlanmış bir sözlükten seçilen kelimeye bir ya da iki rakam eklenerek olasılıklar oluşturulur. Yani, isminiz ali ve doğum tarihiniz 1973 ise ali73 şifresi ne yazık ki çok zayıf bir şifre olarak nitelenebilir.
• Şans: Birinin gelip şifrenizi doğru tahmin etmesi durumuna denir. Şifreniz eğer ailenizden bir isim, doğum tarihiniz, ya da 1234 değilse mevzubahis şahsı alnından öpmek gerekir. Şaka bir yana, aslolan şifrenizi iyi seçmeniz ve korumanızdır.

Şifrenizin kırılması da bir olasılık. Eğer hesabınızın bulunduğu sitedeki bilgilere kötü niyetli biri erişirse, genelde hash olarak tutulan şifrenizin bulunmasını zorlaştırmak için:

• Şifrenizi farklı setlerden karakterler kullanarak oluşturun (Büyük-küçük harfler, rakamlar, noktalama işaretleri, vs.)
• Şifreniz ne kadar uzun olursa o kadar şanslı olursunuz.

Ancak bu yazının amacı zor hatırlanan şifreleri övmek değil, aksine kolay hatırlanan ve kaliteli şifre oluşturmanızı sağlamak. İşte yöntemler:
Bileşik Şifre Metodu

Ilya Lichtenstein‘ın önerdiği yöntemin adı Bileşik Şifre Metodu, basit ama etkili bir şifre seçme yöntemi. Örneğin kköepdeik bir bileşik şifre, nasıl olduğunu anladınız mı? Bu bileşik şifredeki iki kelime köpek ve kedi. Sadece şifre bir kelimenin içine diğer kelimeyi yazmaktan oluşuyor. Ya hatırlanabilirliği? Sanırım şifre sahibi ağır bir rahatsızlık geçirmedikçe köpek ve kedi kelimelerini unutmayacaktır.
Bileşik şifre şöyle kullanılıyor: Önce ilk kelimeyi yazıyorsunuz, daha sonra fare ile ilk karaktere tıklayıp ikinci kelimenizin her harfini yazarken imleci bir sağa kaydırıyorsunuz, işte bu kadar!
Şimdi bu yöntemin avantajlarını inceleyelim:

• Keylogger programlara karşı avantajlı, çünkü yazdığınız şifre köpekkedi‘den başka birşey değil,
• Yan gözle şifre çalanlara karşı diğer elinizle imleci kaydırdığınızı gizleyebilirsiniz,
• Oluşan şifre herhangi bir sözlükte olmadığından Dictionary ataklara karşı,
• Şifrenizin uzunluğu arttığından Brute Force ataklara karşı avantajlı olursunuz.

Dikkat ettiyseniz oluşturduğunuz şifreye yeni bir karakter setinden eleman eklemediniz. Güvenli MD5 Kullanımı yazımda belirttiğim gibi, şifrenize rakamlar ve özel karakterler eklemeniz şifrenizin kırılmasını zorlaştıracaktır. Ancak Bileşik Şifre Metodunun bu dezavantajını kolay hatırlanabilir olması sebebiyle göz ardı edebiliriz.
Gelişmiş bir Bileşik Şifre Önerisi

Yukarıda belirttiğim gibi, Ilya Lichtenstein’ın yazısı kadar yapılan yorumlar da kaliteli ve yararlıydı. İsmini belirtmeyen bir okurun Bileşik Şifre Metodu ile ilgili önerisi ise şöyle:
Bileşik şifrenizi oluşturan iki kelimeden birini kolay hatırlayabileceğiniz bir numara ile değiştirin, örnek olarak bir telefon numarası. Bunu iki kere tekrarladığınız zaman araya bir özel karakter koyun, böylece şifreniz kolay hatılanır zor kırılır. Önceki metoddan kat be kat iyi.
Örnek olarak telefonu 2234567 olan arkadaşınız Ahmet ve telefonu 4345566 olan Pelin‘i şifrenizde kullanabilirsiniz. İlk şifreyi oluşturduktan sonra bir ünlem (!) işareti, ikinci şifreyi de bitirdikten sonra da bir yıldız (*) koyarsanız, yıldızlı pekiyi hak eden bir şifreniz olacaktır: A2h2m3e4t567!P4e3l4i5n566*
Cümleden Şifre Metodu

Porto Riko’dan bir tıp öğrencisinin önerisi ise ilginç: içinde rakamlar da bulunan, kolay hatırlanabilir bir cümle oluşturup bu cümleye bir algoritma uygulayarak şifrenizi oluşturun.

• Cümle: Oğlum Reha’nın 13′üncü doğumgününü Antalya’daki evimizde kutladık.
• Algoritma: Cümledeki her kelimenin ilk harfi
• Şifre: OR1dAek

Yöntem gayet kolay hatırlanabilir, oluşturulan şifreler ise büyük-küçük harfler ve rakamlar bulundurduğundan kaliteli. Fakat Bileşik Şifre tekniğindeki Keylogger‘lara karşı avantajımız bunda pek de mevcut değil. Olsun, şifreniz En Yaygın 10 Şifre listesinin yakınından bile geçmiyor ya, o yeter…
Klavye Deseni Metodu

Jamon Terrell, yazıya yaptığı yorumda Klavye Deseni Metodunu açıklıyor. Pek yazarak açıklayabileceğim bir yöntem değil, bu yüzden şifre örneklerine bakın, eminim çözeceksiniz:

• 6%YtGhNb
• 1′WqAsXz
• 2^EwSdCx
• 3+ReDfVc
• 4%TrFgBv

Bunlar gibi istediğiniz klavye desenini oluşturabilirsiniz, örneğin ben MnHjUy&7 şifresini kullanıyorum -şaka tabii ki-.
Bu yöntemle farklı siteler için farklı şifreler üretmeniz mümkün, sadece hangi sitenin şifresine hangi karakterle başladığınızı hatırlayın yeterli. Klavye Deseni yöntemi kaliteli şifreler üretse de yine Keylogger programlara karşı savunmasız, ayrıca farklı tip klavyelerde elinizi kolunuzu bağlayacak özellikte. Seçim sizin.
Umarım bu kolay hatırlanabilir ama kaliteli şifre oluşturma teknikleri sizin için yararlı olmuştur. Son söz olarak hatırlatmakta yarar var: şifrenizi iyi seçmeniz kadar iyi korumanız da önemlidir.