Güçlü Şifreler Oluşturarak Hackerları Atlatabilir Miyiz?
Bu makalede; hackerlar şifrelerimize saldırırken hangi yöntemleri kullanıyorlar? Hangi tip şifrelerden uzak durmalıyım? Parola uzunluğu gerçekten bir şifreyi güvenli kılar mı? sorularına cevap bulmanızı amaçladım. Makalenin ilerleyen kısımlarında şifrenizin daha önce hacklenip hacklenmediği ve güvenli olup olmadığını kontrol edebileceğiniz bir dizi araç sundum.
Haydi biraz şifrelerle oynayalım!
Ana Başlıklar:
1-)Şifre Kırma Yöntemleri
a)Kaba kuvvet saldırısı(Brute-force attack) — Daha önce hacklendim mi?
b)Sözlük saldırısı
c)E-dolandırıcılık/Kimlik avı
2-)Öneriler ve Şifrenizin İçermemesi Gerekenler / Rastgele Güçlü Şifre Yaratma Aracı - Şifrenizin Güvenliğini Test Edin!
3-)Ücretsiz Kullanabileceğiniz Parola Yöneticisi Araçları ve İndireceğiniz Bağlantıları Tarama Aracı Önerileri
Dijital hesaplarımıza giriş yaparken bir takım şifreler kullanıyoruz. Ancak artık bu şifreler öyle bir hal aldı ki her platforma girerken ayrı şifre kullanmak ve bu şifreleri akılda tutmak zorlaştı. Bu nedenle insanlar ya tüm hesaplarında benzer ya da aynı şifreleri kullanmayı tercih ediyorlar. Hesapları için farklılaştırılmış şifreler kullansalar dahi bu şifreleri basit ve akılda tutması kolay şifreler olarak tercih ediyorlar.
Bu güne kadar güçlü şifre oluşturmanın veri koruması ile ilgili alınabilecek en temel ve basit önlemlerden biri olduğunu söyleyen bir çok güvenlik uzmanını dinledim. Sonuçta elimizde olmayan ve göremediğimiz yazılımsal ve donanımsal önlemler bir yana kullanıcı tarafında alınabilecek bir önlem güvenlik zincirinin en önemli parçası olan insan faktörüne değindiği için önem taşıyor.
Bu nedenle bu yazıda size uzun uzun güvenli şifreler koymanın önemini ve şifrelerin kırılma yöntemlerini anlatmak yerine alabileceğiniz pratik önlemlerden ve şifre koyarken dikkat etmeniz hususlardan bahsederek bir şifrenin nasıl kırıldığı ile ilgili arka planı biraz aydınlatmaya çalışacağım.
Siber suçluların ellerinde birkaç şifre kırma taktiği vardır, ancak en kolay olanı belirli internet siteleri ve ağlardan şifreleri satın almaktır. Oturum açma kimlik bilgilerinin ve parolaların satın alınması ve satılmasında büyük meblağlar dönmektedir ve aynı parolayı yıllardır kullanıyorsanız risk altında olabilirsiniz. Bu siteden mail adresinize ait herhangi bir şifrenin daha önce sızdırılıp sızdırılmadığını kontrol edebilirsiniz. Daha önce hacklendim mi?:
Kaba kuvvet saldırısı(Brute-force attack)
Bu saldırı, sizinkine ulaşana kadar her kombinasyonu tahmin etmeye çalışan bir saldırıdır. Saldırgan, mümkün olan en kısa sürede olabildiğince çok sayıda kombinasyonu denemek üzere otomatik bir yazılım kullanmaktadır. 2012 yılında, çalışkan bir bilgisayar korsanı, altı saatten daha kısa bir sürede büyük ve küçük harf, sayı ve semboller içeren herhangi bir 8 karakterli Windows şifresini kırmaya programladığı 25 GPU kümesini açıklamıştır. Bu program saniyede 350 milyar tahminde bulunma kabiliyetine sahipti.
Şifreleriniz aslında bir dizi matematik problemidir. Kaba kuvvet saldırısı sizin şifrenizi bulmak için bir dizi kombinasyonu deneyen bir yazılımdır. Örneğin 8 haneli ve yalnızca rakamlardan oluşan bir şifreniz varsa bir program bu şifreyi 10⁸ farklı kombinasyonu deneyerek bulabilecektir.
Genel olarak, 12 karakterin altındaki herhangi bir şey kırılmaya karşı savunmasızdır. Hiçbir şey değilse, şifre uzunluğunun çok önemli olduğunu kaba kuvvet saldırılarından öğreniyoruz. Bu nedenle şifreleriniz ne kadar uzunsa o kadar iyi olduğunu söylemek mümkündür.
Küçük bir hesap yapalım:
Parola Karmaşıklığı/6 haneli bir şifre için:
Şifreniz yalnızca sayıları içeriyorsa :
10⁶ = 1.000.000
Yalnızca BÜYÜK harf karakterler veya yalnızca küçük harf karakterler:
26⁶ = 308.915.776
BÜYÜK harf veya küçük harf karakter:
52⁶ = 19.770.609.66432
32 Özel karakteri kullanıyorsanız (&,%, $, £ , “, |, ^, §, vb.)
32⁶ = 1.073.741.824 94
Pratikte 94 tane kullanılabilecek sembol mevcuttur.
94⁶ = 689.869.781.056
Gördüğünüz gibi şifreniz karmaşıklaştıkça tahmin edilmesi daha güç olur. Aynı şekilde uzadıkça da üssel ifadenin değerini arttıracağınız için üstel olarak büyür. (exponential growth)
Sözlük saldırısı
Bu saldırı tam olarak göründüğü gibi — bilgisayar korsanı aslında size bir sözlükle saldırmaktadır. Bir kaba kuvvet saldırısı her sembol, sayı ve harf kombinasyonunu denerken, bir sözlük saldırısı bir sözlükte bulacağınız gibi önceden düzenlenmiş bir kelime listesini deneyen otomatik bir yazılımdır.
Şifreniz gerçekten normal bir kelimeyse , bu kelimeleri anlamsız bütünler oluşturacak şekilde seçmeniz mantıklı olabilir. Uzun ve anlamsız kelime öbekleri içerek kelimeleri birleştirerek bir şifre oluşturabilirsiniz.
Kaba Kuvvet Saldırısı ve Sözlük Saldırısı ile İlgili Daha Eğitici Bir Video İçin:
E-dolandırıcılık
Üçüncü bir şifre ele geçirme yolu önceli yazımda bahsettiğim üzere kimli avı saldırıları ile şifrelerinizin ele geçirilmesidir. Siber suçluların sosyal mühendislik yoluyla sizi istemeden istediklerini yapmanız için sizi kandırmaya, sindirmeye veya baskı yapmaya çalışmasıdır. Bir kimlik avı e-postası, kredi kartı hesabınızda bir sorun olduğunu söyleyebilir. Bu sayede sizi, kredi kartı şirketinize benzemek üzere oluşturulmuş sahte bir web sitesine götüren bir bağlantıya tıklamaya yönlendirecektir. Kimlik avı saldırısının ne olduğu ve nasıl işlediği hakkında fikir edinmek için aşağıdaki yazımı okuyabilirsiniz:
Çok faktörlü kimlik doğrulama kullanın
Çok faktörlü kimlik doğrulama (MFA), fazladan bir koruma katmanı eklemektedir. (bu, hesap bilgilerinizin sızması durumunda ilk koruma katmanınız olur). Bunlar, etkili güvenlik için yeni endüstri standardı haline gelmiştir. Çok faktörlü kimlik doğrulamada birden fazla katmanda kimlik doğrulaması gerçekleştirirsiniz.
Örneğin SMS doğrulaması+Şifre, Biyometrik yüz tanıması+ Google doğrulaması gibi yöntemler son zamanlarda özellikle kripto paraların hayatımıza girmesiyle sıkça kullanılır olmuştur.
Güçlü parolalar: Klasik yaklaşım da güçlü parola BÜYÜK / küçük harf karakterlerini, özel karakterleri, sayıları içermelidir.
Örneğin: İstanbul1, +G@mZ3!, $$@licaN, TD2k5secV gibi şifreler kırılması zor şifrelerdir.
Şifrenizin İçermemesi Gerekenler:
· Adınız herhangi bir biçimde — ilk, orta, son, kızlık, geriye doğru hecelenen, takma ad veya baş harflerini seçmeyin. (yukarıdaki örneklerde olduğu gibi isminizi anlaşılmayacak biçimlere dönüştürebilirsiniz. Ancak bu takdirde dahi ek olarak bir iki tane özel sembol kullanmayı unutmayın.)
· Herhangi bir biçimde herhangi bir kimlik numarası veya kullanıcı kimliğini tersten yazsanız dahi seçmeyin.
· Kullanıcı kimliğinizin veya adınızın bir kısmını şifrenizde kullanmayın.
· Herhangi bir yaygın isim, Ahmet, Mehmet, Ali, Fatma gibi.
· Sekiz karakterden az şifre kullanmayın.
· Yakın bir akraba, arkadaş veya evcil hayvanın adını kullanmayın.
· Telefonunuz veya ofis numaranız, adresiniz, doğum gününüz veya yıldönümünüzü içeren şifre kombinasyonları oluşturmayın.
· Kısaltmalar, coğrafi veya ürün adları ve teknik terimler kullanmayın.
· Tüm rakamlardan oluşan şifreler kombinasyonları sınırlayacağı için mutlaka büyük küçük harf ve özel simgeler kullanın.
· Popüler kültürden isimler kullanmayın.
· Büyük ve küçük harfleri karıştırmayan veya harfleri veya sayıları karıştırmayan/harflerle noktalama işaretlerini karıştırmayan sözcükler veya tümcecikler kullanmayın.
·İmkan varsa çok faktörlü doğrulama kullanın.
· Bir sözlükteki bir kelimeyle tam olarak eşleşen, ileri doğru, ters çevrilmiş veya çoğul, harflerin bir kısmı veya tamamı büyük harflerle veya aşağıdaki ikamelerden herhangi biri ile eşleşen herhangi bir kelime kullanmanın zekice olduğunu düşünüyor olabilirsiniz. Ancak bunu sizden önce düşünenler var: a=1 b=2 g=8 gibi eşleştirmelere dayanan şifreler koymayın.
Ben bütün bunlarla uğraşmayayım, bana rastgele güçlü bir şifre yaratacak araç lazım diyorsanız Avast’ın Random password generator’ünü kullanabilirsiniz.
Kaspersky’in aşağıdaki bağlantısı aracılığıyla da şifrenizin güvenli olup olmadığını ve sıradan bir bilgisayarla ne kadar sürede kırılabileceğini öğrenebilirsiniz. :)
Böylece kendinize özelleştirilmiş güçlü şifreler oluşturabilirsiniz. Örneğin benim kullandığım 12 haneli şifrelerden birini denediğimde karşılaştığım sonuç:
Şifrem sıradan işlemcili bir bilgisayarla 4 yüzyılda kırılabilirmiş. Benim için nispeten güzel haber olsa gerek. :) Bir de yeni oluşturduğum bir takım numara ve harflerden oluşan 7 haneli bir şifreyi deneyelim.
Gördüğünüz üzere basit bir programlamayla bu şifreyi ben evimdeki bilgisayarda dahi 2 günde kırabilirim. Şaşırdınız mı? 7 haneli bir şifre ile 12 haneli bir şifre arasında bu kadar fark olması mümkün mü gerçekten? Yukarıdaki hesaplara tekrar göz atmanızı öneririm. Nitekim matematik yalan söylemez :)
Her kullanıcınız için ayrı bir şifre oluşturma ve saklamakta zorlanıyorsanız bazı şifre yöneticisi araçlarından da yararlanabilirsiniz. Şifre yöneticisinin ne olduğunu biliyor musunuz?
Parola Yöneticisi Nedir?
Parola yöneticisi, kullanıcıların yerel uygulamalar ve çevrimiçi hizmetler için parolalarını depolamasına, oluşturmasına ve yönetmesine olanak tanıyan bir bilgisayar programıdır.
Bu programlar genellikle ücretli olduğu için kişisel hesaplarımızın şifresini korumak için tercih ettiğimiz araçlar olarak ön plana çıkmıyorlar genellikle. Bu nedenle size ücretsiz ya da uygun fiyatlı olarak kullanabileceğiniz bazı parola yöneticisi programlarını sıralıyorum:
LastPass — 1 ay ücretsiz ardından aylık 2.90 dolar.
KeePass — Açık kaynak kodlu ve ücretsiz.
LockCrypt — Ücretsiz
İnternetten herhangi bir dosya indirmeden önce mutlaka VirusTotal gibi ücretsiz dosya taramanıza olanak sağlayan siteleri kullanmanızı öneririm. Örneğin VirusTotal ücretsiz dosya taramanıza izin veren bir websitesidir. Yaklaşık 55 antivirüs yazılımı barındırır. Dosyalar hem web üzerinden hem de e-posta yoluyla gönderilebilir. — —
Merak etmeyin ben sizin için yukarıdaki bağlantıları taradım :) Hatta VirusTotal’a VirusTotal’ın bağlantısını bile tarattım. 😜 Şaka bir yana iş bilişim sistemlerinin güvenliğine gelince düşünülmesi gereken bir çok faktör var. Verileri işleyerek yarattığımız bilginin değerini o bilginin doğruluğunun belirlediği bir döneme giriyoruz. Bu nedenle artık AI (yapay zeka) araçlarının veri işleme, anlamlı verileri birleştirme, sınıflandırma gibi amaçlardan sonra bu verilerin doğruluğunu test etme noktasına doğru evrilmesi gerekeceğini düşünüyorum.
Veri sınıflandırması’nın ne olduğunu merak ederseniz:
“Basit araçlar kimlik kurtarır!”
Veriler hakkında doğru bilinen yanlışlar ve daha fazlasını öğrenmek isterseniz verilerle çalışan farklı uzmanlık alanına sahip kişilerin yazılarını okumak için “DataBulls” utakip edebilirsiniz.
