Güvenli Şifre Oluştururken Nelere Dikkat Etmeliyiz?
diyelim ki birisi şifrenizi ele geçirmek istiyor. bu konuda 3 tane yöntem vardır
1) daha önce ele geçirilen veritabanları, insanların sıklıkla kullandığı şifreler, türkçe-ingilizce-almanca vs. sözlükler, internette kullanılan kelimeler vs. kullanılarak hazırlanmış kelime listeleri: mesela mutlaka ekşi sözlük'te şifresini "şifre" yapmış onlarca yazar vardır. eline ekşi sözlük yazarlarının mail adreslerini geçiren bir kişi, böyle bir liste kullanarak hatrı sayılacak kadar hesap ele geçirebilir.
2) bruteforce/kaba kuvvet: bu yöntemde de şifreniz belirli bir algoritmaya göre sıradan denenerek bulunur. örnek olarak, bilgisayarın sadece harf içeren kombinasyonları, türkçe karakterler olmayacak şekilde denemesini istedim. a harfinden başlayacak, 1 haneliler bitince tekrardan aa ile devam edecektir. 5 haneli kelimeler için toplam yaklaşık 12.000.000 şifre kombinasyonu vardır. bunu da dakikada 1000 şifre deneyen bir bilgisayarın kırmak istediğini varsayarsak, 5 haneli şifreniz yaklaşık 3 saatte çözülebilir.
bu yöntemde de genellikle filmlerde hane hane yapıldığını gösteriyorlar. yani ilk hane a, ikinci hane e gibisinden bir durum mevcut değil hiçbir zaman, o daha çok mekanik cihazların mantığında mevcut.
3) yukarıdaki iki yöntemin kombinasyonu: harflerden yapılan kombinasyonlar yerine, kelime listelerindeki kelimelerden yapılan kombinasyonlar deneniyor. genellikle insanlarda "daha uzun şifre, daha iyi güvenlik" mantığı var. bu mantıkla üretilen şifreler de bu yöntemle çok kolay kırılabiliyor.
mesela "birikiucdortbes" yaptınız şifrenizi. bu kelime listesindeki beş elemanlı bir kombinasyon oluyor artık. hele ki "günlük hayatta kullanılan kelimeler" gibisinden bir kelime listesiyle iş daha kolay. "karakuzu", "govelordek" gibi şifrelerin kırılması yine basit işlerden.
yani ne yapalım?
kelime listelerinde bulunmayacak kelimeleri, büyük-küçük harf, rakam ve özel karakter kullanarak kelime kombinasyonu yapın. bu yöntemle uzun olmasının yanında 3. yönteme de dayanıklı olacaktır. örnek vereyim:
e5%100tıkalıtemakici
98/besaslatam/nmez
yani bilgisayar bruteforce yöntemiyle zor bulacak, içindeki kelimeler de kelime listesinden bulunamayacak. kolay hatırlanacak, zor kırılacak. 18 ve 20 karakter uzunluğunda oldu bu parolalar, hatırlayabildiğiniz kadar uzatabilirsiniz.
ikinci olarak ne yapabilirsiniz: iki adımlı doğrulama
bankanızın şifre haricinde sms kodu istemesi bu yöntemin bir örneği. yani diyelim ki biri sizin banka şifrenizi ele geçirdi; telefonunuzu da ele geçirmesi gerekiyor. ya da telefonu bir yerde unuttunuz, tek başına bankaya giriş yapmaya yaramıyor.
bunun da en kullanışlı yöntemi google authenticator adlı uygulama. hem android, hem iphone sürümü var. windows phone için de alternatifler var.
şu sitede bu servisi destekleyen ürünler mevcut.
mesela google'ı ele alalım
öncelikle https://www.google.com/landing/2step/ adresine giderek kurulumunuzu başlatıyorsunuz. tamamlanma aşamasında size bir karekod gösteriyor. bu karekod'u telefonunuza yüklediğiniz google authenticator uygulamasına okutup, verilen kodu sisteme giriyoruz. telefonunuza bir şey olduğu durumlar, telefonunuzdan uygulamayı kullanamadığınız durumlarda kullanmak üzere size 10 adet yedek şifre veriyor, onu da çıktı alıp uygun bir yerde saklıyoruz.
kurulum yaptıktan sonra, google hesabınıza mail ve şifre ile giriş yaptığınızda, ek olarak bir de bu uygulamanın ürettiği 6 haneli bir sayıyı soruyor. uygulamayı açınca, 30 saniyede bir, o anki saate göre değişen 6 haneli sayıyı göreceksiniz. bu sayıyı da google'a girdikten sonra giriş yapıyorsunuz.
yani diyelim ki yukarıdaki sistemle şifrenizi bir şekilde buldular. ya da şifreniz bir şekilde internete sızdı. herhangi birinin elinde mail ve şifreniz olsa dahi bu ikinci aşama şifresi elinde olmadan hesabınıza erişemiyor. google sizi de bu durumdan haberdar ediyor, kaybınız olmadan şifrenizi değiştiriyorsunuz.
404 Not Found'daki 404'ün Bir Anlamı Var mı?
