İnternet şifreniz kabusunuz olmasın

 

İzmir Ekonomi ve Ege
üniversiteleri araştırmacılarının "Türk Kullanıcılarının Parola Seçimindeki
Eğilimleri" başlığı altında 2 bin 564 internet şifresi üzerinde yaptığı
çalışmada, şifrelerin yüzde 30'unun kolaylıkla kırılabildiği belirlendi.

İzmir Ekonomi Üniversitesi Bilgisayar Mühendisliği Bölümü Öğretim
Görevlisi İlker Korkmaz, Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü
Öğretim Üyesi Prof. Dr. Mehmet Emin Dalkılıç ile birlikte hazırladıkları "Türk
Kullanıcıların Parola Seçimleri" isimli araştırma sonuçlarına ilişkin AA
muhabirine bilgi verdi.

Korkmaz, bilgisayar sistemlerindeki parolanın, sisteme bağlanan kullanıcı
kimliğinin doğrulanması amacıyla kullanıldığını anımsattı.

Parola seçiminde, kullanıcıların genelde hatırlanması kolay ve kısa
parolalar seçtiklerinin bilinen bir yöntem olduğunu belirten Korkmaz, bu tür
parolaların bilgisayar korsanları için kolay hedef olduğunu ve tek bir "zayıf"
kullanıcı parolasının bile tüm sistemin güvenliğini tehlikeye düşürebildiğini
vurguladı.

-GERÇEK ŞİFRELER KIRILDI

Korkmaz, akademik çalışmalarında, güvenilir kaynaklardan elde ettikleri
ve bir sistemde kullanılan 2 bin 564 gerçek Türkçe parolayı seçtiklerini ve
çeşitli yöntemlerle bilimsel veriler kullanılarak "şifreleri kırmaya"
çalıştıklarını anlattı.

İlker Korkmaz, bu parolaların gizlilik nedeniyle araştırma kapsamı
dışında hiçbir şekilde kullanılmadığını bildirdi.

Çalışmanın ilk bir aylık sürecinde tüm parolaların yüzde 30'una karşılık
gelen 777'sinin tahmin edilebilir özellikte olduğunun belirlendiğini ifade eden
Korkmaz, denenen parolaların yüzde 5'inin beş dakika içinde, yüzde 10'unun da ilk
gün içinde tahmin edilebildiğini kaydetti.

Korkmaz, çalışma sonucunda elde ettikleri verilere ilişkin şu bilgileri
verdi:
"Kırılan 777 parolanın 564'ü sadece sayısal karakter içeriyor. Sadece
rakam dışında hiçbir karakter kullanmadan parola seçen kullanıcı sayısı
azımsanmayacak oranda. Ayrıca, kırılan parolaların büyük oranının sadece
rakamlardan oluşması, bu tür parolaların zayıf olduğunu gösteriyor.

Kırılan parolalar arasında sadece 32 parola, en az bir Türkçe alfabeye
ait karakter içeriyor. 2 bin 564 Türk kullanıcısı içinde yüzde 98'den daha
fazlası, parola seçiminde Türkçe karakter tercih etmiyor. Tümü sayılardan oluşan
parolaların büyük oranı, 3 karakterli şifrelerin tamamı kırıldı. Türk
kullanıcıların parolalarının yüzde 73'ünde en az 1 rakamsal karakter, yüzde
39'unda en az 1 büyük harf kullandığı ortaya çıktı."
İlker Korkmaz, 2 ve 3 karakterden oluşan tüm şifrelerin kırılabildiğine
işaret ederek, 4 karakterli parolaların yüzde 96'sının, 5 karakterlilerin yüzde
42'sinin, 6 karakterlilerin yüzde 31'inin, 7 karakterlilerin yüzde 4'ünün, 8
karakterlilerin yüzde 2'sinin kırılabildiğini bildirdi.

Korkmaz, Türk kullanıcı parolaları üzerine bulgulara ulaşılan çalışma
sonuçlarının Türk kullanıcı eğilimleri olarak belirtilmiş olsa da diğer ülke
kullanıcıları için de genel olarak benzediğini kaydederek, "İnternet
kullanıcılarına akılda kolay kalabilecek ve aynı anda da karışık karakterli
şifreleme yöntemlerini tavsiye ediyoruz" dedi.

Dünya çapındaki bazı araştırmacıların parola seçiminde çeşitli öneriler
getirdiklerini belirten Korkmaz, "Araştırmacılar, kullanıcının kendilerini
anlatan anlamlı bir cümledeki kelimelerin ilk harflerini bir araya getirerek
parola yapılabileceğini belirtiyor. Buna örnek olarak, 'Ben 3 yıldır mühendislik
eğitimi alıyorum, memnunum' cümlesi gösterilebilir. Bu cümlenin baş harfleriyle
oluşturulan 'B3yMea,m' parolasındaki gibi; internet kullanıcılarına, kolay
hatırlanabilen ve aynı anda da zor kırılabilecek kendilerine ait cümlelerin baş
harfleriyle şifreleme yapmaları önerilebilir" dedi.

-ÖNERİLER

Korkmaz'ın verdiği bilgiye göre, araştırma sonucunda belirlenen zayıf
parola nitelikleri şöyle sıralanıyor:
"Parola uzunluğunun 7 karakterden az olması, parolanın 'zayıf' olarak
nitelendirilmesine yetiyor. Karakterlerin tümünün rakamsal ya da alfabetik
olması, sayısal karakterlerle sonlandırılması da zayıf parolaya neden oluyor.

Parolanın uzunluğunun 7 karakterden büyük olsa da kullanıcı bilgisinin,
parolada sözlüklerde yer alan bir kelimenin, özel bir ismin bulunması da zayıf
olmasına yetiyor."
"Güçlü" parola nitelikleri ise şöyle sıralanıyor:
"Parolanın içerdiği karakterlerde en az 1 rakam ve en az 1 büyük harf
olacak şekilde, parolada hem sayısal, hem de alfabetik karakterler birlikte
kullanılmalı.

Parolada, en az 1 harf veya rakam olmayan noktalama işareti gibi özel bir
karakter içermeli.

Kullanıcıların yalnız kendi alfabelerinde yer alan harflerden en az
birini kullanması şifrenin kırılma olasılığını düşürüyor. (Türk kullanıcılar

Vatan / 14.02.10

---