· Şifre belirlerken güvenliğiniz için dikkat etmeniz gereken unsurlar nelerdir?
· Korsanlar hangi yöntemlerle şifreleri kırmaktadırlar?
· Şifrelerinizi güvenli, tahmin edilemez, kırılması çok zor hale getirmenin yolları nelerdir?
Önbilgi
Her gün birçok kez şifre girmemiz gereken durumla karşılaşıyoruz.
1.Bazı sistemler akıllı kart kullanır, bu kartlar RFID barındırırlar. RFID okuyucu olarak da adlandırılan bir hem verici hem alıcı görevi gören aygıta yaklaştırıldıklarında kartın içinde bulunan etiketteki veriyi gönderirler ve böylece sisteme giriş sağlarlar. Bu sistemlere örnek olarak Mastercard veya Visa 'nın "göster-geç" tarzındaki, yaklaştırıldıklarında ödemeyi şifre girmeden gerçekleştiren kartlarını gösterebiliriz. Tabii İstanbul Boğazı'ndan geçerken kullanılabilen OGS veya KGS sistemleri de aynı prensibi kullanmaktadırlar.
2.Parmak izi okuyucu ile çalışan sistemlerin avantajı sisteme girebilmek için yanınızda taşımanız gereken bir kartın gerekli olmamasıdır. Parmağınız hep yanınızda olduğu için parmağınızı okuyucuya gösterip geçersiniz.
3.Sadece sayılardan oluşan şifreler özellikle banka kartlarının şifreleri olarak günlük hayatta karşımıza çıkmaktadır.
4.Sayı karakter karışımı şifreler daha çok bankaların internet şubesi şifreleri olarak karşımıza çıkar.
5.Anahtarlık benzeri veya küçük ekranlı aygıtlarla tek kullanımlık şifre üreticilerle girilen sistemler de vardır. Bunlara en güzel verebileceğimiz iki örnekten birincisi güvenlik duvarlarından geçerek şirket ağınıza erişmenizi sağlayan VPN (Özel Sanal Ağ) uygulamalarıdır. İkincisi de bankaların internet şubelerinde daha önceden transfer yapılmamış bir hesaba para transferi tanımlaması yapılırken sorulan "tek kullanımlık şifre"dir. "Tek kullanımlık şifre"ler sistemlere giriş yaparken de kullanılmaktadır, bu yaklaşım da kullanıcının yanında sürekli bir aygıt veya cep telefonunda şifre üretici bir uygulama taşımasını gerektirir.
6.Elektronik imza, veya mobil imza da sistemlere giriş için kullanılabilecek bir kimlik doğrulama sistemidir. Bu yöntemin diğerlerinden en önemli farkı yasal olarak ıslak imza ile aynı geçerliliğe sahip olduğu için, e-imza veya m-imza ile giriş yaptığınız bir siteye "o siteye giren ben değildim" diyemezsiniz, çünkü e/m-imza'nın yasal olarak bağlayıcılığı vardır, gerçek imza kadar geçerlidir, gerçek imza ne kadar inkar edilemezse, e/m-imza da o kadar inkar edilemezdir.
Yukarıda özetlediğim gibi birçok kimlik doğrulama (authentication) mekanizması mevcuttur. Bu mekanizmaları kullanan sistemler farklı güvenlik ihtiyaçlarına cevap verecek şekilde tasarlanmıştır. Mesela bankamatiklere retina taraması, parmak izi okuyucusu konulamamasının bir nedeni sahip olma ve bakım maliyetleri olabilir. Bir internet sitesine girmek için retina tarayıcısı kullanmak pratik olmayacaktır, veya parmak izi okuma cihazıyla bu işi yapamazsınız. İşte bu nedenledir ki en güvenli kimlik doğrulama sistemlerini her sistemde kullanamamaktayız. Sistemin sağlayabildiği en büyük esnekliğe göre bir kimlik doğrulama sistemi belirlememiz gerekmektedir, aksi halde hiçbir kullanıcı pratik olmayan bir "sisteme giriş" tecrübesi yaşamak istemeyecektir, bu da sisteminizin kullanılmaması anlamına gelir.
Giriş
Bu makalede, (3) ve (4) nolu maddelerde anlatılan kimlik doğrulama sistemleri için, bir şifre belirleme stratejisi önerilmektedir. Yapılan bir araştırma sonucu makalede okuyucuyla paylaşılmıştır. Araştırma sonuçları, sanal ortamda yaşanan kimlik hırsızlığı olaylarının gelişmiş bilgi ve tecrübe gerektirmediğini göstermiş, acemi korsanların bile kolayca insanların sanal kimliklerini çalabileceğini gösterilmiştir. Makalede sanal kimlik hırsızlığını zorlaştırmak / önlemek için, şifre belirleme prensipleri anlatılmıştır.
Araştırmanın Anlatımı ve Sonuçları
Bir web sitesinin kullanıcı bilgilerinin tutulduğu veritabanında kullanıcıların şifreleri açık bir biçimde tutulmaktadır. Buradaki şifreler ve kullanıcı adları kullanılarak başka bir sisteme giriş yapılması denenmiştir. Bu denemeler el yordamı ile yapılamayacağı için bir uygulama yazılması uygun görülmüştür. Uygulama A sisteminde açık halde duran kullanıcı adları ve şifreleri alıp bu bilgilerle B sistemine giriş yapmaya çalışmaktadır. Bazı denemeler için B sistemine giriş sağlanır, buna başarılı giriş adını verelim; bazı denemeler sonucunda B sistemine girilemez, bu da başarısız giriş denemesidir.
A sisteminin bütün kullanıcı adları ve şifreleri için yapılan denemenin sonucunda A sistemi kullanıcılarının %9 'unun B sistemine de girmek için aynı kullanıcı adı ve şfireyi kullandığı görülmüştür.
Bu son derece yüksek bir orandır, çünkü insanlar birçok siteye aynı kullanıcı adı ve şifreyi veriyorsa bu o siterin herhangi birinden kullanıcı adı ve şifrelerinin kötü niyetli kişilerin eline geçmesi durumunda diğer sistemlere de A sisteminin müşterileri gibi sızmak anlamına gelecektir.
Kullanıcıların izni alınarak A ve B sistemlerinde şifreleri denenmiş ve aşağıdaki korelasyon bulunmuştur. Toplamlar aşağıdadır.
Bulunan Denenen Verim
46884 407875 0,1149469813055470426
=> Deney kümemizin %11'i için A ve B sistemleri şifreleri aynıdır diyebiliriz.
Şifrelerinizin Gücü Hakkında
Kişisel bilgilerinizi çaldırmamak, epostalarınızın başkaları tarafından okunmaması, msn, arkadaşlık siteleri, sosyal ağlar, okuldaki öğrenci ders seçme sistemi, banka hesabınızın internetten kontrolü gibi sistemlerin şifreleri farklı farklıdır. Bazı sistemlerde şifre güvenliği sistem tarafıdnan kontrol edilirken, bazılarında ise özgürce şifre belirlenmesine izin verilmektedir. Örneğin doğum tarihini şifre olarak kulanmak ciddi bir güvenlik açığı yaratmak olacaktır. Bir korsan sizin şifrenizi tahmin etmek istiyorsa ilk deneyeceği şeylerden bazıları sizin doğum tarihiniz, ailenizdeki kişilerin adları, hayatınızda önemi büyük olan hobileriniz,arabanızın markası-modeli gibi herkes tarafından kolayca öğrenilebilecek bilgilerdir.
Aşağıdaki linklerde şifrelerinizin ne kadar tahmin edilebilir olduğunu gösteren sayfalar mevcuttur. Zayıf şifre tahmin edilmesi kolay, güçlü şifre tahmin edilmesi zordur.
http://www.davescomputertips.com/articles/security/create_and_use_an_unguessable_password_pt2.php
http://www.microsoft.com/protect/yourself/password/checker.mspx
http://sun.athnic.net/password-test.html
http://simplythebest.net/scripts/ajax/ajax_password_strength.html
Şifrelerin Sınıflandırılması
Gelin şifrelerimizi sınıflandıralım. En güvenli olması gereken şifrelerden en önemsiz şifrelere doğru ilerleyelim. Aslında bu sınıflandırmayı yaparken neye önem verdiğimi açıklayarak başlamak uygun olacaktır. En önemli dediğim şifreler, çalınması veya tahmin edilmesi durumunda size vereceği zarar en büyük olan sistemlerin şifreleridir. Örneğin birileri sizin adınıza yasadışı bir yazı / eylem planı yazıp bir kuruma gönderse adli açıdan suçlu duruma düşersiniz. Bir başka olay da finansal sistemlerin şifreleridir, bu şifreler tahmin edildiğinde size maddi zararlar verecektir.
A sınıfı şifreler yasal bağlayıcılığı olan şifrelerdir. Örneğin mobil / elektronik imza şifreniz kullanılarak devlet kurumlarına şahsınız adına başvurular yapabilir, sözleşmeler imzalayabilir, veya sizden geldiği yasal olarak bağlayıcı olan dokümanlar gönderebilirsiniz. Bu tip sistemlerde birden fazla üyeliğiniz olmaz.
B sınıfı şifreler bankacılık şifrelerinizdir. Kredi kartları, bankamatik kartları, internet şubesi şifreleriniz bu sınıfa girmektedir. Bu şifreler çalındığı taktirde paranızın istemediğiniz şekilde harcanması, üçüncü şahıslara gönderilmesi gibi dolandırıcılık olayları yaşanabilmektedir. Bu tip sistemlerde birden fazla üyeliğiniz olmaz.
C sınıfı şifreler size ne yasal olarak sıkıntıya sokacak ne de size maddi açıdan zarar verecek şifrelerdir. Bu sınıftaki sistemler sadece sizin kimliğinizi kullanarak insanlara sesinizi duyurmanızı sağlayacaktır. Örneğin arkadaşlarınızda yazışmalarınızda kullandığınız eposta şifreleriniz, sosyal ağlara üyelik şifreleriniz, anında mesajlaşma yazılımları (MSN, ICQ, Skype ...vs )... gibi sizin kimliğinizi ortaya koyan ve insanların sizin gerçekten siz olduğunuzu düşünerek tepki gösterdikleri sistemlerin şifreleridir. Bu tip sistemlerde birden fazla üyeliğiniz olması mümkündür. Örneğin birden fazla eposta hesabınız olabilir. Bir tanesini sadece arkadaşlarınızla yazışmak için, bir diğerini sadece banka dekontları veya benzer yazışmaları tutmak için, bir diğerini sadece iş mesajlaşmalarınız için, bir başka eposta hesabını da önemsiz sistemlerin istediği üyelik bilgilerinde vermek için kullanabilirsiniz. Fakat anında mesajlaşma yazılımı gibi uygulamalarda aynı anda onlarca kimliği paralel olarak sürdüremeyeceğiniz için bu tip sistemlerde aynı anda kullanabileceğiniz üyelikler sınırlı sayıdadır. Örneğin iki farklı kişilik olarak aynı anda iki mesajlaşma programını kullandığınızda bir süre sonra kafanızın karıştığını, veya hep aynı sohbetleri yaptığınızı görebilirsiniz. Bunun nedeni bir insan bir anda sadece bir şeyi düşünebilmesidir, iki şeyi aynı anda düşünmeye çalışırsak, ikisini de aynı kalitede yapamayız. Bu yüzden C tipi sistemlerde bir gerçek kişiye ait çok kimliklilik dolayısıyla çok kullanıcı hesabı olabilir ama bunun sınırlı sayıda olacağını düşünüyorum.
D sınıfı şifreler ise ne yasal, ne maddi, ne de saygınlığınızı zedeleyecek, tamamen geçici olarak üye olduğunuz, veya sistemden faydalanmanız için üye olmanızı gerektiren sistemlerdir.Bu tip sistemlerde sizin siz olduğunuzu kimse bilmez, sadece takma isimlerle temsil edilirsiniz ve birden fazla kez üye olmanızın hiçbir sakıncası yoktur.
Yukarıdaki sınıflandırmaya göre A,B,C,D tipi sistemler farklı güvenlik gereksinimlerine ihtiyaç duyarlar. Özelilkle A,B,C sistemlerinde şifrelerin tahmin edilemez olması önemlidir. A B C D sistemlerin şifrelerinin aynı olmaması kimliğinizin çalınmaması için şarttır. Burada kimlik çalınması derken C tipi ve üstü şifrelerinizin çalınması sonucunda sizin adınıza başkalarının işlem yapmasını kastetmekteyiz. Bu şifrelerin aynı olmaması güvenlik için yetmez, aynı zamanda zaman içinde de değişmelidirler. Hatta B tipi bir şifre olan X Bankası şifreniz, yine B tipi bir şifre olan Y Bankası şifrenizden farklı olmalıdır ki kendinizi güvende hissedebilesiniz. Bu durumu şu şekilde örneklendirebiliriz. Örneğin X bankasının güvenli önlemleri çok iyi, Y bankasının güvenliği ise zayıf olsun. Y Bankası'nın sistemine giren bir korsan tüm kullanıcı adlarını ve şifrelerini çalmış olsun, bu korsan X Bankasındaki sizin müşteri numaranızı Y bankasından edindiği kişisel bilgilerinizle alsa ve elektronik olarak X bankası sistemine sizin Y bankasına verdiğiniz şifre ile girmeye çalışsa ne olur? Eğer bu iki banka için şifreleriniz aynı ise korsan X bankasına da girer ve sadece sizin Y ankasındaki varlığınıza zarar vermiş olmaaz aynı zamanda X bankasına da sızmış olur. Halbuki X bankasının bu durumda kabahati yoktur. Eğer X ve Y bankalarına verdiğiniz şifreler farklı olsaydı, korsan bunları kullanarak diğer bankalara sızamazdı.
Son günlerde sıkıntı yaratan bir olay da MSN üzerinden bir arkadaşınızın sizden kontör transfer istemesi olaylarıdır. Siz kontör transfer ettikten sonra arakdaşınızla gerçek hayatta karşılaştığınızda ona "Beneden sürekli kontör istiyorsun, neden?" diye sorduğunuzda aslında internet üzerinden anında mesajlaşma programı üzeri nden yazıştıığınız kişinin arkadaşınız değil onun kimliğini ele geçirmiş bir korsan olduğunu anlamanız arkadaşınızın "Benim mesajlaşma yazılımı hesabım 2 ay önce çalındı, ben senden kontör falan istemedim" demesiyle ortaya çıkacaktır.
İnternet üzerinde e/m-imzasını alıp kontrol etmeden insanların gerçekten idda ettikleri kişi olduğunu bilemezsiniz. Bu yüzden de hem elektronik sistemlerdeki şifrelerimizin güvenliğini sağlamak için tahmin edilmesi zor şifreler kullanmalıyız, hem de bu şifreleri zaman içerisinde değiştirmeliyiz.
Bu kadar çok şifreyi nasıl hatırlayabilriz?
Sistemlerin sayısı çok olunca, ve yukarıdaki tavsiyemizi uygulamak istediğinizde şifrelerinizi de zamanla değiştirmeniz gerekeceğine göre aklınızda tutmanız gereken birçok şifre olacaktır. Herkesin de hafızası çok iyi olmadığına göre şifrelerin hatırlanması da problem yaratabilir. Bu yüzden arkadaşlarıma tavsiyem şudur: Kendi belirleyeceğiniz bir algoritma ile zamana, mekana, muhatabı olduğu nuz sistme göre şifrelerinizin değişmesini sağlayacak bir algoritma bulmanız işlerinizi kolaylaştırır. Böylece sadece sizin bildiğiniz, hiçbir yere not etmediğiniz, kendini tekrarlamayan şifreler oluşturan bir algoritma bulmanızdır.
Hayvanları çok seven bir insansanız, en sevdiğiniz iki hayvanın adları içerisindeki harfları değişik bir sıralamayla yazarak, bu harfların yanına yine belirleyeceğiniz bir kural doğrultusunda rakamlar ekleyerek ve bu karakterlerden sonrasına da noktalama işareti ile sonlandırarak gerçekten güçlü şifrreler üretmeniz mümkündür.
İyi çalışmalar dilerim,
Ziver Alen MALHASOĞLU
0 yorum:
Yorum Gönder