Şifrelerle ilgili bildiklerinizi unutun!

PATRİCK ÖZDEMİROĞLU- Bundan yaklaşık 1.5 yıl önce bu köşe için şifrelerle ilgili bir yazı kaleme almış ve sözlerime şöyle başlamıştım:

“Bir ‘şifreni değiştir ’uyarısı geldiğinde içimizden ‘minikçe sövüp ’güvensiz parolalarımızdan birini öncekiyle takas ediyoruz. Çünkü çok işimiz var ve bir de şifreyle mi uğraşacağız? Ancak ‘daha çok ve üzücü’ işlerimizin olmaması için bu şifre konusuna biraz eğilmemiz gerekiyor.”

Bu önermem hâlâ geçerliliğini koruyor, öte yandan şifre dünyası da kullanıcıyı ‘yoran’ serüvenine devam ediyor. ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) yayınladığı yeni rehbere göre bazı ezberlerimiz bozulmuş durumda.

İki şifre belirleme yöntemi artık en iyi yolu temsil etmiyor:

1.Farklı karakter tipleri eklemek

2.Düzenli olarak şifre değiştirmek

Bir başka deyişle yıllardır yapmadığımız veya zoraki yaptığımız eylemlerin bugün itibariyle çok işe yaramadığını öğrenmiş bulunuyoruz. Peki şifre güvenliği dünyasında bu keskin dönüşün nedenleri ne? Bakalım.

Tembelliğimizi küçümsedi

Uzun süredir parolalara büyük/küçük harf, sayı ve semboller koymak parolamızdı. Güçlü parola öner deyince de ekrana hapşırılmış gibi duran karakterler salatası ortaya çıkıyordu. Bu karmaşanın, şifrelerin kırılmasını zorlaştıracağı düşünülüyordu.

Ancak kağıt üzerinde çalışacak olan bu plan, insan zihninin ‘kısa yolcu’ tavrına yenik düştü. Kullanıcıların sadece kriterleri karşılayarak Şifr0123@ gibi şifreler seçmesi, çocuğunun adının yanına bir yıldız (*) koyduğu parolaları döne döne kullanması kötü alışkanlıklar yarattı. Böylece karmaşa odaklı yaklaşım, güvenliği zayıflatan bir pratiğe dönüştü.

NIST’in yayınladığı kılavuz artık karmaşık şifreleri değil, uzun şifreleri teşvik ediyor. Peki bu dönüşün nedenleri ne?

*Kullanıcı davranışı: Karmaşık şifreleri hatırlayamıyoruz, bu da bizi aynı parolaları çoğu platformda tekrar tekrar kullanmaya itiyor. Veya bazı sembol ve harflerin yerini değiştirerek aynı şifreleri sisteme geri kazandırıyoruz. Bu şifrelerin daha kolay tahmin edilebilir olduğunu sanırım söylemeye gerek yok. İşin ilginç tarafı, 2 veya 3 ayda bir şifre değiştirme zorunluluğu da söz konusu davranışı sadece körüklemeye yaradı.

*Parola entropisi: Bir şifrenin ne kadar güçlü olduğu matematiksel olarak değerlendirilebiliyor. Bir parolada kullanılan karakterlerle oluşturulabilen olası kombinasyonların sayısı veya entropisi ne kadar fazlaysa o şifreyi kırmak da o kadar zor olmakta. Bu bağlamda uzun şifreler, karmaşık akrabalarından çok daha büyük bir rol oynuyor. Uzun lafın kısası, daha uzun bir parola (karakterleri basit bile olsa) daha fazla olası kombinasyona sahip.

*İnsan faktörü: Bu noktada önerilen şey, hatırlaması kolay uzun parolalar. Mesela salonunuzdaki kritik karakterlerden bir şifre yapabilirsiniz. “3 ayaklı tekir, mavi halı, turuncu koltuk, 4 ayaklı tekir” şifre formunda “3ayaklitekirmavihalituruncukoltuk4ayaklitekir” hem güvenli hem de hatırlanabilir bir parolaya dönüşebilir. Buradaki kritik nokta, parola gücüyle kullanım kolaylığı arasında sağlıklı bir denge bulmak.

*Uzunluk önemli: Yukarıda bahsettiğim uzun parolaların gücünü biraz daha vurgulamak istiyorum. Hesaplama işindeki gelişmeler, kısa ve karmaşık parolaları kırmayı kolaylaştırdı ancak sofistike algoritmalar için bile uzun parolalar çok zorlu. Şöyle bir örnek vereyim: Bir akıllı telefon açılış şifresini 4 karakterden 6’ya çıkarmak bile olası kombinasyonları 10 binden 1 milyona yükseltiyor. NIST de yeni tavsiyelerinde, kullanıcılara 64 karaktere kadar uzunlukta parolalar oluşturmalarına izin verilmesini talep ediyor.

Salondaki eşyalara bu gözle baksanız iyi olur.