1076 Online (510 Mobil)

 

 

TEKNOLOJİ Haberi
Diğer Haberler
Kullanışlı ve Güvenli Parola Rehberi
TEKNOLOJİ 20 Ocak 2013 Pazar 09:15 | 986 Kez okundu
Kullanışlı ve Güvenli Parola Rehberi

Bundan 15 ila 20 yıl öncesinde parola dendiğinde akla yalnızca savaş filmlerindeki askerlerin replikleri gelirdi. Şimdi ise durum farklı.
Önce ATM üzerinden bankacılık işlemleri sonra da internet üzerinde yapılan güvenli işlemler parola kavramını hayatımıza soktu. Bir zamanlar dört rakamdan oluşan banka kartı PIN`ini ezberlemekte bile zorlanan kullanıcılar şimdilerde sayısız parola ve PIN kodunu aklında tutmak zorunda. Parolalar ve PIN numaraları kimi zamanlarda zorluk çıkartsa da, kullanıcının kendisini tanıtmanın en kısa yolu. Yalnızca sizin bildiğiniz ve kimselerle paylaşamayacağınız parolalarınız her gün eskisine oranla daha önemli değerleri korumakta kullanılıyor. Banka hesabınız, cep telefonunuz, e-posta hesabınız, MSN adresiniz... Parola kullanarak erişmek durumunda olduğunuz şeyler etrafınızı ciddi şekilde sarmış durumda. Hayati önem taşıyan parolayı unuttuğunuzda ya da çaldırdığınızda ise başınız gerçek anlamda belaya girebiliyor. Çeşitli hizmetlere erişmekte kullandığımız parolalarımızı iyi şekilde saklamak ve yönetmek durumundayız. Tabii sayılarının her gün biraz daha arttığını düşünürsek iş içinden çıkılmaz bir hal alıyor. Kendinize unutmayacağınız bir parola belirleyip her işte onu kullanmak işleri kolaylaştırsa da ciddi bir güvenlik problemi arz ediyor. Bu durumda bir tek parolanızı çaldırarak her şeyinizi kaybetmeniz işten bile değil.

Bu İşe Hafıza Gerek!
Tüm girişlere aynı parolayı atamak tehlikeli olduğuna göre sıkı bir hafızaya ihtiyacınız var. Tabii bu işe akıllıca bir çözüm bulmadıysanız. Birçok deyimli internet kullanıcısı parolalarının tümünü bir program ya da eklenti ile kontrol etmeyi çoktan keşfetti. Bu yöntemde tüm parolalarınızı programa kaydediyor ve otomatik olarak kullanılmasını sağlıyorsunuz. Kayıtlı parolaların düzenlenmesi işi de yine bir parolayla korunuyor. Örneğin Firefox`da parolalarınızı saklayabilir ve tüm parolalara erişimi ayrı tek bir parola ile kontrol edebilirsiniz. Benzer bir uygulamayı tarayıcınızla entegre şekilde AI RoboForm isimli yazılım sayesinde de gerçekleştirebilirsiniz. AI RoboForm parolalarınızı güvenle saklarken gün içinde giriş yapmanız gereken yerlerde de işinizi kolaylaştırıyor.
Parolaları Nasıl Seçmeli? Her nerede kullanacak olursanız olun, parolalarınız tam anlamıyla güvenli olmalı. Güvenli bir parola belirlemenin de belirli kriterleri var. Artık herkes kolay tahmin edilebilir ve denenebilir ifadelerin parola olarak kullanılmaması gerektiğini bildiğine göre işin biraz daha teknik kısmına eğilelim. En güvenli parolayı yaratmanın sırrına ermek için parolaları kırmaya çalışanların hangi sistemle çalıştığını bilmek gerekiyor. Parola kırma girişimleri genellikle kullanılma ihtimali yüksek olan ifadelerin denenmesiyle başlıyor. Tabii deneme yanılma (Kaba Kuvvet Saldırısı) süreci bir program tarafından mümkün olan en hızlı şekilde gerçekleştiriliyor. İşi daha da hızlandırmak için kullanılan parola veritabanları, sıklıkla kullanılan ihtimalleri popülerden seyrek kullanılana doğru dizilmiş halde içeriyor. Bu yüzden bir kullanıcının en sevdiği spor olan "capoeira" yı parola olarak belirlemesi hiç de mantıklı değil. Bu kelime parola listesinin bir yerlerinde mutlaka yer alıyor olmalı... "capoeira1981" gibi bir ifade ise denenmesi gereken kombinasyonları çoğalttığı için daha güvenli. Tabii işi ele almış ciddi bir cracker için aradaki fark yalnızca parolanın kırılma süresinin biraz daha uzun olması. Yani "capoeira1981" şeklinde hem harf hem rakam içeren parolalar da tam anlamıyla en iyi seçim değil.

Parola Oluşturma Metodları
Özel İşaretler: En güvenli parola seçeneğine ulaşmak için sihirli kelimenizi küçük ve büyük harflerin yanında rakamlar ve özel işaretler kullanarak oluşturmalısınız. "capoeira1981" ifadesini yazarken belirli karakterler
için shift tuşunu basılı tutmanız parolalarınızın güvenliğini artıracaktır. Parolanız bu sayede "cApOeIrA1)8!" gibi bir ifadeye dönüşmüş olacak. İki Bölümlü Parola: Amerikalı şifreleme ve parola uzmanı Bruce Schneier (www.schneier.com) parolanızın rakamlar ve harfler gibi iki farklı bölümden oluşmasının önemli bir avantajını vurguluyor.
Schneier`in verdiği bilgiye göre cracker araçları bu tip parolaları tanıyor fakat parolanın rakam bölümü önde yer aldığında işleri zorlaşıyor. Yapılan araştırmalar iki bölümlü parolaların yüzde doksanında rakam bölümünün sonda yer aldığını gösteriyor. Genel duruma odaklanarak çalışan cracker araçları ise rakam bölümü ile başlayan yüzde onluk kısmı kırmakta genellikle başarısız oluyor. Tabii "1981capoeira1981" hem uzunluk hem de bölümlerin karışıklığı sayesinde çok daha güvenli.

Cümle Metodu: Sıra parolalarınızı unutmanızı engelleyecek ilginç bir metoda geldi. "Cümle Metodu" olarak tanımlanan ilginç taktikle parolalarınızı kolayca anımsayabilirsiniz. Bunun için parolayı belirlerken asla unutmayacağınız bir cümleyi temel alıyorsunuz. Atatürk`ün "Biz Türkler bütün tarihimiz boyunca hürriyet ve istiklale timsal olmuş bir milletiz." vecizesiyle örneklendirecek olursak; cümledeki her sözcüğün ilk harfini kullanıyor ve "BTBTBHVİ TOBM" gibi bir parola oluşturuyoruz. Takdir edersiniz ki, böyle bir parola tahmin ve sık rastlanan olasılıkları deneme yöntemleriyle asla çözülemez. Bu tekniği kullanırken mümkün olduğunca uzun cümleler seçmenizde fayda var.
Parola Yöneticisi
Parolalarınızı yanınızda taşıyabileceğiniz USB belleğinizin içinden yönetmek istiyorsanız açık kaynak kodlu ücretsiz bir program olan Keepass size yardımcı olabilir. www.keepass.info adresinden indirebileceğiniz program USB bellekte yalnızca 854 KB yer kaplıyor. Parolalarla birlikte kullanıcı adlarının da şifrelenmesini sağlayan Keepass, profesyonel güvenlik şirketlerinin ve bankaların kullandığı AES/Rijndael ve Twofish algoritmalarını kullanıyor. Bu yöntemlerle şifrelenen kullanıcı adı ve parolaların kırılması yıllarca süren işlemlerle mümkün oluyor. Keepass`in teknolojik altyapısı hakkında ayrıntılı bilgi almak için http://keepass. info/help/base/security.html adresine başvurabilirsiniz. İngilizce olarak gelen programın Türkçe dil paketi http://keepass. sourceforge.net/translations.php adresinde bulunuyor.

Parola Yöneticisi Nasıl Kullanılır? Programı kullanarak tüm parolalarınızı şifrelemek için bir ana parolaya ihtiyacınız var. Ana parolanızı kendiniz belirleyebiliyor ya da programın sizin için yaratmasını isteyebiliyorsunuz. Otomatik parolanın yaratılmasında hangi işaretlerin kullanılacağına siz karar verebiliyorsunuz. Gerekli ayarları yaptıktan sonra farenizi ekranda gezdiriyorsunuz ve parola farenin izlediği koordinatlar üzerinden belirleniyor. Bu özellik güvenlik konusunda aşırı titiz kullanıcıların gönlünü rahatlatacaktır. Keepass`te parolalarınızı farklı veri bankaları içerisinde saklamanız mümkün. Örneğin banka parolaları için farklı, e-posta ve online hizmetler için ayrı veri bankası oluşturabilirsiniz. Keepass`i USB bellek, disket gibi çeşitli ortamlardan kullanabileceğiniz gibi bilgisayarınıza kurduğunuzda da ayrıca bir anahtar diski oluşturabiliyorsunuz. Bu durumda program önceden belirtmiş olduğunuz konumda gerekli dosyaya bakıyor ve anahtar verisini bulduğunda şifrelemeyi kaldırıyor.

Parolalar Nasıl Kırılır? Bir parolanın güvenlik seviyesi, onu kırmak için yapılan saldırının türüne bağlıdır. Belirli bir "sık kullanılan kelimeler" listesini denemek yöntemiyle yapılan saldırılar için günlük yaşamda sıkça kullanılmayan değişik bir ifadeyi parola yapmak oldukça mantıklı. Özel işaretlerin sıkça kullanıldığı parolalarda ise kullanılabilecek muhtemel yöntem "kaba kuvvet" ismi ile anılıyor. Bu yöntemde A, AA, AB, AC,..... BA, BB, BC benzeri bir sıralamayla tüm olasılıklar deneniyor. Belirlediğiniz parolanın kaba kuvvet saldırılarına karşı güçlü olmasını istiyorsanız yapmanız gereken ilk şey parolayı uzun tutmak. Bu sayede kaba kuvvet saldırısına karşı tam bir koruma elde edemeyecek de olsanız parola uzadıkça denenmesi gereken ihtimaller çoğalacağından güvenlik artacaktır.

Önlemler
Kullanıcıların kaba kuvvet saldırıları nı engellemek için yapabilecekleri pek bir şey bulunmuyor. Parola ile giriş yapılması gereken web sitelerininse bu saldırıları engellemek için bazı yapabilecekleri var. Bazı online servisler kullanıcı adı ve parola yanlış girildiğinde birkaç denemeden sonra hesabı kilitliyor. Alınan önlemin kapsamına göre giriş yapabilmek için bir süre bekleyerek tekrar denemeniz gerekebiliyor. Kimi web sitelerinde birden çok deneme yapıldığında resim olarak görüntülenen bir güvenlik kodunun girilmesi istenebiliyor. Bu yöntemler basit bir mantığa dayansa da kaba kuvvet saldırılarının engellenmesinde yeterli oluyor. Parolaların mümkün olan ihtimaller denenerek çözülmeye çalışıldığı durumlarda fazla karakter kullanmanın avantajlı olduğundan bahsetmiştik. Parola uzadıkça denenmesi gereken ihtimaller çoğaldığından kırılması da güçleşiyor. Daha ayrıntılı açıklamak için bu durumu formül üzerinde inceleyelim. Mümkün olan tüm olasılıkların sayı sını N olarak tanımlayacak olursak, parolanı n kırılabilmesi için N adet deneme yapılması gerekebilir. Parolada kullanılabilen farklı karakterlerin sayısı Z olsun, parolanın içerdiği karakter sayısını da L olarak analım. Bu durumda basit bir olasılık hesabıyla N sayısının Z L ifadesine eşit olduğunu söyleyebiliriz. Buradaki L sayısı yani parolanın uzunluğu arttıkça denemenin süresi de geometrik olarak artıyor. Kullanmakta olduğunuz parolanın kaba kuvvet saldırılarına karşı ne kadar güvenli olduğunu bu yöntemle hesaplayabilirsiniz.

Saldırılar
Parolaların kaba kuvvet saldırısıyla kırılması söz konusu olduğunda, saldırıyı yapmakta kullanılan bilgisayarın gücü büyük önem taşıyor. Gereken sürenin uzunluğu sistemin işlem kapasitesi, kullanılan program ve denenmesi gereken ihtimallerin sayısına bağlı. Farklı uzunluklardaki parolaları n tahmini kırılma sürelerini görmek için "Ne Kadar Zamanda Kırılır?" kutusuna bakabilirsiniz. Biz bu konuda Elcomsoft firmasının (www.elcomsoft.com) crack yazılımlarını denedik. Programlar güncel donanım özelliklerine sahip bir bilgisayarda saniyede 25 milyon deneme yapabiliyor. Bu ortamda dört karakterden oluşan bir parolanın kaba kuvvet saldırısıyla kırılması yaklaşık 11 saniye alıyor. Tabii parolanın karakter sayısı arttıkça kırılma süresi hızla artıyor. Yalnızca büyük harflerden oluşan on karakterlik bir parolanın kırılma süresi yaklaşık 66 günü buluyor. Olaya biraz daha geniş bir perspektiften bakacak olursak, teknolojideki gelişmenin parolaları tehdit ettiğini görüyoruz. Sabit uzunluktaki bir parola bugünün sistemleriyle belirli bir sürede kırılabiliyorsa, gelecek de işlem gücünün artışına bağlı olarak hep daha kısa sürelerde kırılacak. Bu belki de bir süre sonra parola mantığının tamamıyla değişmesine sebep olabilir. Belki de geleceğin parolaları biometrik sistemleri temel alan çok daha karışık bir sisteme sahip olacak.

Yorum İçin Üye Girişi
Şikayet Bildirimi
Avatar Seç
   
 
Görüş ve yorumlarınız bizim için değerlidir. Yorumlarınız kontrol edildikten sonra yayınlanmaktadır.


Yorumlar Yükleniyor..