Şifre seçimi ve kullanımı konusunda ipuçları ...

Şifrelerin Seçilmesi

Gün geçtikçe teknoloji ve internet gelişmekte ve bu beraberinde bir takım problemleri de getirmektedir. Yabancıların bilgisayarlara erişmesi, bu problemlerin en başında gelmektedir. Bu amaçla bazı önlemler alınmaya çalışılmıştır. Şifre(password)ler bu önlemlerden bir tanesidir, belki de en önemlisidir. Belli yerlere konan şifrelerle yabancı kişilerin erişimi engellenmeye çalışılmaktadır. Buna rağmen şifre engeli de bazen aşılabilmektedir. Bir takım programlarla şifreler tahmin edilebilmektedir.

Kötü Şifreler
Kötü bir şifre kolaylıkla tahmin edilebilen bir şifredir. Bazı şifre çözücü programlar alfabedeki bütün karakterleri kullanarak, deneme yanılma yoluyla şifre çözerken; bazıları da genel şifreleri içeren bir liste kullanırlar. Modern bir normal PCⁱ bile güzel bir şifre tahminleme programı ile binlerce şifreyi bir günden az bir zamanda deneyebilir.

Popüler ve kötü bir şifre nasıl olur? Bazı örnekler; isminiz, eşinizin ismi veya anne ve babanızın ismi. Diğer kötü şifreler bu isimlerin tersten yazılması veya bir rakam eklenmesi şeklindedir. Kısa şifreler de kötü şifrelerdir, çünkü tahmin edilmesi daha kolaydır. Bilgisayar isimleri ve benzeri şifreler de kötü şifrelerdir. Gizli ve tahmin edilemez gibi görünse de aslında oldukça yaygın kullanılmaktadır. Diğer kötü seçimler telefon numaraları, en çok beğenilen filmlerden kitaplardan karakterler, yerel yerleşim yerleri, favori içecekler ve ünlü bilim adamları gibi. Bu isimlerin büyük harfle yazılı olanları veya ters çevrilmiş olanları da pek iyi değildir. “l” (küçük L) ile “1” i veya “E” ile “3” ü değiştirmek, başa veya sona bir rakam eklemek veya kelimelerin basit modifikasyonları da pek iyi değildir. Kelimelerin yabancı dillere çevrilmesini de iyi olarak nitelendiremeyiz. Birçok farklı dil olmasına rağmen internetten kolaylıkla herhangi bir dilde sözlük indirebiliriz. Örneğin unix de ...\finger ile.

Bazı sistemlerde kullanıcıların kötü şifre seçmeleri engellenmeye çalışılmaktadır. Örneğin hepsi büyük veya küçük harf olan ve 6 karakterden kısa olan veya kısa olup da içerisinde alfabetik karakter haricinde karakter içermeyen şifreler bazı sistemler tarafından kabul edilmemektedir.

Yapılan araştırmalarda birçok sistemde şifresi accountı ile aynı olan kullanıcılara rastlanmıştır. Bu tip accountlar “Joes“ olarak adlandırılmaktadır. Joes accountları şifre kırıcılar tarafından kolaylıkla tahmin edilmektedir. Bu nedenle bazı sistemlerde Joes accountlarına izin verilmemektedir. Buradan da bütün kullanıcıların listesinin dış dünyaya açık olmasının ne kadar yanlış olduğunu anlıyoruz.

İyi Şifreler
İyi şifreler kolaylıkla tahmin edilemeyen şifrelerdir. İyi şifreleri tahmin etmek zordur çünkü :

• Büyük ve küçük harf içerirler
• Noktalama işaretleri ve rakamlar içerirler
• Bazı kontrol karakterleri ve/veya boşluklar içerirler
• Kolaylıkla hatırlanabilirler ve bu nedenle bir yere not edilme ihtiyacı duymazlar
• Yedi , sekiz karakter uzunluğundadırlar.
• Kolay ve hızlı yazılırlar; ve böylece etraftan bakan birisi ne yazdığını anlayamaz.

İyi şifrelerin seçilmesi aslında oldukça kolaydır. Bazı tavsiyeler;

• İki kısa kelime özel bir karakter veya bir sayı ile birleştirilebilir. Örn: robot7benim
• Size özel bir kısaltma yapabilirsiniz. Örn: bshKBBs (Bu Sınıftaki Hiç Kimse Bisiklete Binmeyi Sevmez)

Bununla birlikte bu şifrelerin hepsi kötü şifrelerdir, çünkü hepsi buraya yazıldı...

Şifre seçerken aşağıdakilerden sakının;

• Sizin , eşinizin veya iş arkadaşınızın ismi
• Çocuğunuzun veya ev hayvanınızın ismi
• Yakın arkadaşlarınızın isimleri
• Çok beğenilen sanatçıların isimleri
• Patronunuzun ismi
• Herhangi birisinin ismi
• Kullanmakta olduğunuz işletim sisteminin ismi
• Bilgisayarınızın ismi
• Telefon veya lisans numaranız
• Sosyal güvenlik numaranızın herhangi bir parçası
• Herhangi birisinin doğum tarihi
• Sizin hakkınızda kolaylıkla bulunabilecek bir bilgi (adres gibi)
• Birtakım kalıplaşmış kelimeler ( wizard, gurup, gandalf...)
• Bilgisayarınızdaki herhangi bir kullanıcının ismi ( büyük harfli, çift harfli, ...)
• Yabancı bir dildeki bir kelime
• Yer isimleri gibi özel isimler
• Aynı harften oluşan bütün şifreler
• Basit harf düzenlerinden oluşan bütün şifre (qwerty gibi)
• Yukarıda listelenenlerin tersten yazılmış halleri
• Yukarıda listelenenlerin önüne veya arkasına rakam eklenmiş halleri

Rakamlar, noktalama işaretleri ve kontrol karakterlerinin kullanılmasıyla değişik şifre oluşturma olasılığı önemli ölçüde artacak ve bununla birlikte şifrenin tahmin edilme olasılığı da azalacaktır.

Eğer birkaç tane hesab(account)ınız varsa aynı şifreyi bütün hesaplarda kullanabilirsiniz. Bu şekilde hatırlamanız da kolay olacaktır. Fakat bu accountlardan birinin şifresi öğrenildiğinde bütün accountlarınızın şifreleri ortaya çıkmış olacaktır. Böyle bir durumda temel bir şifre oluşturulur ve her farklı makine için modifiye edilir. Örneğin sizin temel şifreniz kxyzzy olsun. İsmi “athena” olan bir makinede şifreniz kxyzzya olurken ismi “ems” olan bir makinede şifreniz kxyzzye olacaktır.

Unutulmaması gereken önemli bir nokta da şifrelerin herhangi bir yere yazılmamasıdır. Sebep oldukça basittir: Eğer şifrenizi bir yere yazarsanız, birisi onu bulabilir ve bilgisayarınıza kolaylıkla girebilir. Akılda tutulan bir şifre yazılan bir şifreden her zaman için daha iyidir. Örneğin şifresini cüzdanında bir yerde saklayan bir kişi cüzdanını çaldırdığında cüzdanı çalan kişi kolaylıkla bilgisayara girebilir.

Eğer ki illa şifrenizi yazmanız gerekiyorsa bazı şeylere dikkat edilmelidir:

• Şifreyi bir yere yazdığınızda onun şifre olduğunu yazmayın.
• Aynı kağıt parçasına hesap ismini , network ismini veya bilgisayarın numarasını yazmayın.
• Şifreyi terminalin, klavyenin veya bilgisayarın herhangi bir parçasına iliştirmeyin.
• Şifreyi direk yazmayın, onun yerine diğer karakterlerle veya bu karakterleri sizin kolayca hatırlayabileceğiniz bir şekilde karıştırarak yazınız.

Şifre yazarken sakınılacak bir takım şeyler:

• Şifreyi düzenleme yapmadan online olarak kaydetmeyiniz. (dosyaya, veri tabanına veya e-mail mesajına)
• Asla bir şifreyi başka bir kullanıcıya email ile göndermeyiniz. Örneğin birisi sistemde text dosyalarında ve email mesajlarında “şifre” kelimesini aratarak şifreye erişebilir.
• Login şifreniz asla uygulama programlarınızın şifresi olmasın. Mesela login şifreniz internete bağlanmak için kullandığınız şifreyle aynı olmasın. Bu uygulamalardaki şifreler bazı kişiler tarafında kontrol edilebilir ve yanlış kişilerin eline geçebilir.
• Aynı şifreyi farklı organizasyonlar tarafından kullanılan farklı bilgisayarlarda kullanmayınız. Bir tanesi öğrenildiğinde bütün bilgisayarlara erişilebilir.

Bu son maddeyi uygulaması gerçekte oldukça zordur.

Kötü şifrelerin tehlikesini azaltmanın en etkili yolu geleneksel şifreleri kullanmamaktır. Onun yerine siteniz tek seferlik şifreleri kullanmanıza olanak sağlayan yazılım veya donanımları yükleyebilir. Tek seferlik şifreler sadece bir kere kullanılan şifrelerdir.

Bir kullanıcı olarak size şifrelerin bir listesi verilebilir. Makinenize her girişinizde bu şifrelerden bir tanesini kullanırsınız ve onu listeden silersiniz. Bir sonraki girişinizde başka bir şifreyi kullanırsınız. Veya size bir kart verilebilir ve her dakika bu karttaki numara değişir. Veya taşıyabileceğiniz küçük bir hesap makinesi verilebilir. Bilgisayara girmek istediğinizde size bir numara verecektir. Bu numarayı ve kimlik numaranızı hesap makinesine girdiğinizde bunun sonucunda çıkan numarayı bilgisayarınıza girmek için kullanabilirsiniz.

Tek seferlik şifrelerin kullanılması geleneksel şifrelerin güvenlik açığını biraz daha kapatmaktadır ama ek yazılım ve donanım gerektirmesi nedeniyle yaygın olarak kullanılmamaktadır.

Özetle;
Sisteminizi korumak için en temel ve önemli tavsiyeler şunlardır:

Mümkünse tek seferlik şifreler kullanın.

Değilse;

Her accountun ayrı bir şifresi olmasını sağlayın.
Her kullanıcının güçlü, iyi bir şifre seçmesini sağlayın.
Şifrenizi diğer kullanıcılara veya herhangi birine söylemeyiniz.

EGE Üniversitesi NYG Güvenlik Grubu
http://security.nyg.ege.edu.tr

__________________________