Geleneksel yöntemlerden biri olan periyodik şifre değiştirme kuralında saldırganın parolasını elde ettiği hesabın sürenin sonunda kilitlenmesi hedeflenmektedir, ancak kullanıcılar genellikle yeni parolada sadece birkaç karakteri değiştirdiğinden eski parolayı elinde bulunduran saldırganın yeni parolayı da kırması zor olmayacaktır. Periyodik şifre değişimi yani kullanıcının birkaç ayda bir parolasını yenilemesi şifre güvenliğini güçlendirmekten daha çok kötüleştirdiği uzun süreden beri tartışılmaktadır, aynı zamanda NIST’in geçen haziran ayında yayınladığı raporda[1] periyodik şifre değişimi kuralının kaldırılması önerilmektedir.
Harflerin, numaraların ve özel karakterlerin kombinasyonu ile karmaşık parola oluşturulmasını şart koşmak artık bir güvenlik tedbiri olarak görülmemektedir. Buna gerekçe olarak kullanıcıların tahmin edilmesi zor parolalar üretebilmesini engellediği belirtilmektedir.
Yeni oluşturulan parolaların zorunlu olarak geçerliliğinin denetlenmesi yeni bir yöntem olarak sunulmaktadır. Oluşturulan yeni parolanın çok sık kullanılan, kolay tahmin edilebilen veya çalınmış parolalardan oluşan bir listeye göre denetlenmesi şifre geçerliliğinin değerlendirilmesi adına şart koşulmaktadır, böylelikle kullanıcıların “12345678” veya “parola” gibi kolay tahmin edilebilen şifreleri seçmesinin önlenmesi sağlanabilir.
Parola güvenliğinde çok faktörlü kimlik doğrulaması ve iki faktörlü kimlik doğrulaması teknolojiler önem taşımaktadır. İki faktörlü kimlik doğrulamada kullanıcıyı doğrulama işlemi iki aşamalı bir süreç olarak tasarlanmıştır. İki faktörlü doğrulamada kullanıcının hem bildiği bir şey yani parolasını hem de sahip olduğu bir şey yani şifrematiği veya cep telefonunu kullanarak sisteme giriş yapması istenmektedir. Kullanıcı parolayı girdikten sonra ikinci doğrulama aşamasında ya şifrematik tarafından üretilen tek kullanımlık şifreyi girmesi ya da akıllı telefon kullanıldığı takdirde kimlik doğrulaması yapan sistem tarafından gönderilen tek kullanımlık doğrulama kodunu girmesi beklenir. Çok faktörlü kimlik doğrulamada ise parola ve donanımsal şifrematiklere ek olarak parmak izi ve iris tarama gibi biyometrik veriler de kullanılmaktadır.
Çok faktörlü kimlik doğrulamada kullanılan yöntemlerin açılımı:
– Kullanıcının bildiği bir şey, örneğin şifre – (something you know)
– Kullanıcının sahip olduğu bir şey, örneğin şifrematik– (something you have)
– Varlığa ait şeyler, örneğin parmak izi veya iris – (something you are)
Parola yönetimi yazılımları ise kullanıcının karmaşık parola oluşturma kuralları veya sık parola değiştirme gibi zorunluluklarla uğraşmasına ihtiyaç bırakmamaktadır.
Parola yönetimi yazılımının kullanımı:
– Kurulumdan sonra programın kullanıcının login kanallarını öğrenmesi sağlanır.
– Daha sonra herbir login işleminde farklı ve random yeni şifreler oluşturması için programdaki adımlar sırasıyla uygulanır.
Güvenli Parola için Öneriler
Parolanın uzunluğu güvenlik açısından önemli bir ölçüttür. Güvenli parola oluşturulması için yönergelerde minimum 8 karakter kullanılması önerilirken maksimum karakter sayısının 64’e çıkarılması tavsiye edilmektedir.
Son dönemlerde küçük, büyük harfler, sayılar ve noktalama işaretlerinden oluşan kombinasyonlar yerine tahmin edilmesi daha zor olan rastgele kelime dizilerinin kullanılması önerilmektedir. Bu yöntem de kelime veya cümlenin seçilip içindeki harflerin sayılarla ya da özel karakterlerle değiştirilip karıştırılması gibi yöntemlerle kullanıcı için özel bir bilginin parola haline getirilmesi sağlanabilir.
Bunun için:
– Kolay hatırlayabileceğiniz bir cümle veya deyim için özel bir kısaltma oluşturun
– Bazı harfleri bir başka harf ya da sembolle değiştirin
– Hecelerin yerlerini değiştirerek parolayı karmaşıklaştırın
Örnek olarak Let’s have dinner at 8:00 p.m. kelime dizisinden Lhd@800pm parolası oluşturulması gibi…
Ayrıca parolanın;
3-6 ayda bir düzenli olarak değiştirilmesi,
Parolanın ele geçirildiğinden şüphelenilmesi durumunda hemen değiştirilmesi,
İnternet kafelerde olabilecek türden güvenilir olmayan bilgisayarlarda parola girilmemesi,
Parolanın başkalarıyla paylaşılmaması,
Web formlarında veya herhangi bir yerde yazılı bırakılmaması önerilmektedir.
Şifre seçiminde hatalı tercihler:
– Sözlüklerde bulunabilen yalın kelimeler
– Güçlü parolalara örnek olarak verilen şifreler
– İsim veya doğum günü gibi kişisel bilgiler
– Qwerty veya 12345 gibi ardışık karakter dizileri
– Ortak kısaltmalar
– Sadece harflerden ya da sadece sayılardan oluşan tek bir tür karakterden oluşan harf dizileri
– Tekrarlayan harfler veya sayılar
– Bir uygulama için kullanılan şifreyi diğerleri için de kullanmak
Türkiye’de 34762 üyesi olan bir haber sitesinin ele geçirilen kullanıcı veritabanında parolalarla ilgili yapılan araştırmaya[2] göre Türkiye’de en çok kullanılan 50 şifre aşağıdaki gibi listelenmiştir. Bu listeden de anlaşılacağı üzere kullanıcıların büyük bir bölümü “123456” gibi ardışık sayılardan oluşan veya “111111” tek tür karakterden oluşan basit ancak tahmin edilmesi kolay ve güvensiz şifreler kullanmaktadır. Bu araştırmanın sonuçları güvenli şifre seçimi konusunda farkındalığın arttırılmasının önemini ortaya koymaktadır.
Türkiye’de en çok kullanılan 50 şifre[2]
979 123456
115 1234565
103 111111
84 123123
81 000000
73 123456789
65 666666
58 12345678
57 qwerty
56 112233
47 sanane
41 istanbul
39 121212
38 14531453
34 ankara
32 123654
30 password
30 parola
30 asdasd
29 654321
29 19031903
28 159753
26 galatasaray
26 besiktas
25 fenerbahce
25 19051905
25 123321
24 313131
24 1q2w3e
24 123qwe
22 bjk1903
22 131313
21 deneme
21 1q2w3e4r
21 1234567
20 19881988
20 19871987
20 112358
19 cimbom
19 555555
19 212121
19 19891989
19 19071907
19 1123581321
19 101010
18 qwe123
17 qazwsx
17 222222
17 19861986
17 19841984
Kaynakça:
[1] https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/
[2] https://www.mertsarica.com/ne-tur-sifreler-kullaniyoruz/