PATRİCK ÖZDEMİROĞLU- Bundan yaklaşık 1.5 yıl evvel bu köşe için şifrelerle ilgili bir yazı kaleme almış ve sözlerime şöyle başlamıştım:
“Bir ‘şifreni değiştir ’uyarısı geldiğinde içimizden ‘minikçe sövüp ’güvensiz parolalarımızdan birini evvelkiyle takas ediyoruz. Zira çok işimiz var ve bir de şifreyle mi uğraşacağız? Fakat ‘daha çok ve üzücü’ işlerimizin olmaması için bu şifre konusuna biraz eğilmemiz gerekiyor.”
Bu önermem hâlâ geçerliliğini koruyor, öte yandan şifre dünyası da kullanıcıyı ‘yoran’ serüvenine devam ediyor. ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) yayınladığı yeni rehbere nazaran kimi ezberlerimiz bozulmuş durumda.
İki şifre belirleme yolu artık en düzgün yolu temsil etmiyor:
1.Farklı karakter tipleri eklemek
2.Düzenli olarak şifre değiştirmek
Bir diğer deyişle yıllardır yapmadığımız yahut zoraki yaptığımız hareketlerin bugün itibariyle çok işe yaramadığını öğrenmiş bulunuyoruz. Pekala şifre güvenliği dünyasında bu keskin dönüşün nedenleri ne? Bakalım.
Tembelliğimizi küçümsedi
Uzun müddettir parolalara büyük/küçük harf, sayı ve semboller koymak parolamızdı. Güçlü parola öner deyince de ekrana hapşırılmış üzere duran karakterler salatası ortaya çıkıyordu. Bu karmaşanın, şifrelerin kırılmasını zorlaştıracağı düşünülüyordu.
Ancak kağıt üzerinde çalışacak olan bu plan, insan zihninin ‘kısa yolcu’ tutumuna yenik düştü. Kullanıcıların yalnızca kriterleri karşılayarak Şifr0123@ üzere şifreler seçmesi, çocuğunun isminin yanına bir yıldız (*) koyduğu parolaları döne döne kullanması makus alışkanlıklar yarattı. Böylelikle karmaşa odaklı yaklaşım, güvenliği zayıflatan bir pratiğe dönüştü.
NIST’in yayınladığı kılavuz artık karmaşık şifreleri değil, uzun şifreleri teşvik ediyor. Pekala bu dönüşün nedenleri ne?
*Kullanıcı davranışı: Karmaşık şifreleri hatırlayamıyoruz, bu da bizi tıpkı parolaları birçok platformda tekrar tekrar kullanmaya itiyor. Yahut birtakım sembol ve harflerin yerini değiştirerek birebir şifreleri sisteme geri kazandırıyoruz. Bu şifrelerin daha kolay kestirim edilebilir olduğunu sanırım söylemeye gerek yok. İşin değişik tarafı, 2 yahut 3 ayda bir şifre değiştirme zaruriliği da kelam konusu davranışı yalnızca körüklemeye yaradı.
*Parola entropisi: Bir şifrenin ne kadar güçlü olduğu matematiksel olarak değerlendirilebiliyor. Bir parolada kullanılan karakterlerle oluşturulabilen muhtemel kombinasyonların sayısı yahut entropisi ne kadar fazlaysa o şifreyi kırmak da o kadar sıkıntı olmakta. Bu bağlamda uzun şifreler, karmaşık akrabalarından çok daha büyük bir rol oynuyor. Uzun lafın kısası, daha uzun bir parola (karakterleri kolay bile olsa) daha fazla muhtemel kombinasyona sahip.
*İnsan faktörü: Bu noktada önerilen şey, hatırlaması kolay uzun parolalar. Mesela salonunuzdaki kritik karakterlerden bir şifre yapabilirsiniz. “3 ayaklı tekir, mavi halı, turuncu koltuk, 4 ayaklı tekir” şifre formunda “3ayaklitekirmavihalituruncukoltuk4ayaklitekir” hem inançlı hem de hatırlanabilir bir parolaya dönüşebilir. Buradaki kritik nokta, parola gücüyle kullanım kolaylığı ortasında sağlıklı bir istikrar bulmak.
*Uzunluk değerli: Üstte bahsettiğim uzun parolaların gücünü biraz daha vurgulamak istiyorum. Hesaplama işindeki gelişmeler, kısa ve karmaşık parolaları kırmayı kolaylaştırdı lakin sofistike algoritmalar için bile uzun parolalar çok şiddetli. Şöyle bir örnek vereyim: Bir akıllı telefon açılış şifresini 4 karakterden 6’ya çıkarmak bile mümkün kombinasyonları 10 binden 1 milyona yükseltiyor. NIST de yeni tavsiyelerinde, kullanıcılara 64 karaktere kadar uzunlukta parolalar oluşturmalarına müsaade verilmesini talep ediyor.
Salondaki eşyalara bu gözle baksanız yeterli olur.