Mükemmel Şifre Arayışları / Internet Kullanan Herkes Okumalı

mate · 02-25-2008

Bilgili kullanıcılar şifre seçimleri konusunda duyarlı davranır, genellikle uzun ve değişik karakterler içeren zor şifreleri seçerler

Ancak bir şifre çözülmesi ne kadar zorsa hatırlanması da o kadar zor olur

Peki, acaba hem zor çözülebilen hem de kolay hatırlanabilen bir şifre üretmek mümkün müdür? Ilya Lichtenstein‘ın Generating the Perfect Password yazısı kadar yazıya yapılan yorumlar da bir o kadar yararlı

Buyrun ben özetleyim

Önbilgi: Şifreler nasıl çalınır/çözülür?

Şifrenizin çalınması için birkaç yol var aslında

Bunlardan biri şifrenizin siz girerken çalınması:

Keylogger: Keylogger‘lar ve bazı trojan‘lar klavyeden girdiğiniz her tuşu kaydeder, yani şifrenize kötü niyetli kişi kolayca ulaşabilir Özellikle internet kafe gibi kamuya açık yerlerde en büyük sorundur Ancak keylogger’ların yapamadığı birşey varsa o da mouse tıklamalarını kaydetmiyor olmalarıdır Aşağıdaki birkaç şifre tekniği bu sayede keylogger’lara karşı korunmalıdır
Yan gözle şifre çalmak: Shoulder surfing diye bilinen bu teknikle kötü niyetli kişi çaktırmadan şifrenizi öğrenebilir Çoğu zaman başarısızlıkla sonuçlanan bu denemelere karşı şifrenizi hızlı yazmak ve dikkatli olmak en iyi korunma olacaktır

Diğer bir olasılık ise deneme yoluyla şifrenizin bulunması

Ancak fazla korkulacak bir durum yok, zira çoğu site bir kullanıcının milyon kere şifre denemesine izin vermez

Yine de saldırı metodları hakkında bilgi sahibi olun:

Brute Force: Kaba kuvvet olarak çevirebileceğim bu yöntemde kötü niyetli kişi şifrenizi bulmak için her karakter dizisini, yani tüm olasılıkları dener Her konuda en amele yöntem olduğu için Brute Force yerine Dictionary Attack tercih edilir
Dictionary Attack: İnsanlar şifrelerini kolay hatırlamak için genelde bir kelime ve birkaç rakam kullanırlar Dictionary Attack yönteminde önceden tanımlanmış bir sözlükten seçilen kelimeye bir ya da iki rakam eklenerek olasılıklar oluşturulur Yani, isminiz ali ve doğum tarihiniz 1973 ise ali73 şifresi ne yazık ki çok zayıf bir şifre olarak nitelenebilir
Şans: Birinin gelip şifrenizi doğru tahmin etmesi durumuna denir Şifreniz eğer ailenizden bir isim, doğum tarihiniz, ya da 1234 değilse mevzubahis şahsı alnından öpmek gerekir Şaka bir yana, aslolan şifrenizi iyi seçmeniz ve korumanızdır

Şifrenizin kırılması da bir olasılık

Eğer hesabınızın bulunduğu sitedeki bilgilere kötü niyetli biri erişirse, genelde hash olarak tutulan şifrenizin bulunmasını zorlaştırmak için:

Şifrenizi farklı setlerden karakterler kullanarak oluşturun (Büyük-küçük harfler, rakamlar, noktalama işaretleri, vs)
Şifreniz ne kadar uzun olursa o kadar şanslı olursunuz

Ancak bu yazının amacı zor hatırlanan şifreleri övmek değil, aksine kolay hatırlanan ve kaliteli şifre oluşturmanızı sağlamak

İşte yöntemler:
Bileşik Şifre Metodu

Ilya Lichtenstein‘ın önerdiği yöntemin adı Bileşik Şifre Metodu, basit ama etkili bir şifre seçme yöntemi

Örneğin kköepdeik bir bileşik şifre, nasıl olduğunu anladınız mı? Bu bileşik şifredeki iki kelime köpek ve kedi

Sadece şifre bir kelimenin içine diğer kelimeyi yazmaktan oluşuyor

Ya hatırlanabilirliği? Sanırım şifre sahibi ağır bir rahatsızlık geçirmedikçe köpek ve kedi kelimelerini unutmayacaktır

Bileşik şifre şöyle kullanılıyor: Önce ilk kelimeyi yazıyorsunuz, daha sonra fare ile ilk karaktere tıklayıp ikinci kelimenizin her harfini yazarken imleci bir sağa kaydırıyorsunuz, işte bu kadar!
Şimdi bu yöntemin avantajlarını inceleyelim:

Keylogger programlara karşı avantajlı, çünkü yazdığınız şifre köpekkedi‘den başka birşey değil,
Yan gözle şifre çalanlara karşı diğer elinizle imleci kaydırdığınızı gizleyebilirsiniz,
Oluşan şifre herhangi bir sözlükte olmadığından Dictionary ataklara karşı,
Şifrenizin uzunluğu arttığından Brute Force ataklara karşı avantajlı olursunuz

Dikkat ettiyseniz oluşturduğunuz şifreye yeni bir karakter setinden eleman eklemediniz

Güvenli MD5 Kullanımı yazımda belirttiğim gibi, şifrenize rakamlar ve özel karakterler eklemeniz şifrenizin kırılmasını zorlaştıracaktır

Ancak Bileşik Şifre Metodunun bu dezavantajını kolay hatırlanabilir olması sebebiyle göz ardı edebiliriz

Gelişmiş bir Bileşik Şifre Önerisi

Yukarıda belirttiğim gibi, Ilya Lichtenstein’ın yazısı kadar yapılan yorumlar da kaliteli ve yararlıydı

İsmini belirtmeyen bir okurun Bileşik Şifre Metodu ile ilgili önerisi ise şöyle:
Bileşik şifrenizi oluşturan iki kelimeden birini kolay hatırlayabileceğiniz bir numara ile değiştirin, örnek olarak bir telefon numarası

Bunu iki kere tekrarladığınız zaman araya bir özel karakter koyun, böylece şifreniz kolay hatılanır zor kırılır

Önceki metoddan kat be kat iyi

Örnek olarak telefonu 2234567 olan arkadaşınız Ahmet ve telefonu 4345566 olan Pelin‘i şifrenizde kullanabilirsiniz

İlk şifreyi oluşturduktan sonra bir ünlem (!) işareti, ikinci şifreyi de bitirdikten sonra da bir yıldız (*) koyarsanız, yıldızlı pekiyi hak eden bir şifreniz olacaktır: A2h2m3e4t567!P4e3l4i5n566*
Cümleden Şifre Metodu

Porto Riko’dan bir tıp öğrencisinin önerisi ise ilginç: içinde rakamlar da bulunan, kolay hatırlanabilir bir cümle oluşturup bu cümleye bir algoritma uygulayarak şifrenizi oluşturun

Cümle: Oğlum Reha’nın 13′üncü doğumgününü Antalya’daki evimizde kutladık
Algoritma: Cümledeki her kelimenin ilk harfi
Şifre: OR1dAek

Yöntem gayet kolay hatırlanabilir, oluşturulan şifreler ise büyük-küçük harfler ve rakamlar bulundurduğundan kaliteli

Fakat Bileşik Şifre tekniğindeki Keylogger‘lara karşı avantajımız bunda pek de mevcut değil

Olsun, şifreniz En Yaygın 10 Şifre listesinin yakınından bile geçmiyor ya, o yeter…
Klavye Deseni Metodu

Jamon Terrell, yazıya yaptığı yorumda Klavye Deseni Metodunu açıklıyor

Pek yazarak açıklayabileceğim bir yöntem değil, bu yüzden şifre örneklerine bakın, eminim çözeceksiniz:

6%YtGhNb
1′WqAsXz
2^EwSdCx
3+ReDfVc
4%TrFgBv

Bunlar gibi istediğiniz klavye desenini oluşturabilirsiniz, örneğin ben MnHjUy&7 şifresini kullanıyorum -şaka tabii ki-

Bu yöntemle farklı siteler için farklı şifreler üretmeniz mümkün, sadece hangi sitenin şifresine hangi karakterle başladığınızı hatırlayın yeterli

Klavye Deseni yöntemi kaliteli şifreler üretse de yine Keylogger programlara karşı savunmasız, ayrıca farklı tip klavyelerde elinizi kolunuzu bağlayacak özellikte

Seçim sizin

Umarım bu kolay hatırlanabilir ama kaliteli şifre oluşturma teknikleri sizin için yararlı olmuştur

Son söz olarak hatırlatmakta yarar var: şifrenizi iyi seçmeniz kadar iyi korumanız da önemlidir

02-25-2008	#1
mate	Mükemmel Şifre Arayışları / Internet Kullanan Herkes Okumalı Bilgili kullanıcılar şifre seçimleri konusunda duyarlı davranır, genellikle uzun ve değişik karakterler içeren zor şifreleri seçerler Ancak bir şifre çözülmesi ne kadar zorsa hatırlanması da o kadar zor olur Peki, acaba hem zor çözülebilen hem de kolay hatırlanabilen bir şifre üretmek mümkün müdür? Ilya Lichtenstein‘ın Generating the Perfect Password yazısı kadar yazıya yapılan yorumlar da bir o kadar yararlı Buyrun ben özetleyim Önbilgi: Şifreler nasıl çalınır/çözülür? Şifrenizin çalınması için birkaç yol var aslında Bunlardan biri şifrenizin siz girerken çalınması: Keylogger: Keylogger‘lar ve bazı trojan‘lar klavyeden girdiğiniz her tuşu kaydeder, yani şifrenize kötü niyetli kişi kolayca ulaşabilir Özellikle internet kafe gibi kamuya açık yerlerde en büyük sorundur Ancak keylogger’ların yapamadığı birşey varsa o da mouse tıklamalarını kaydetmiyor olmalarıdır Aşağıdaki birkaç şifre tekniği bu sayede keylogger’lara karşı korunmalıdır Yan gözle şifre çalmak: Shoulder surfing diye bilinen bu teknikle kötü niyetli kişi çaktırmadan şifrenizi öğrenebilir Çoğu zaman başarısızlıkla sonuçlanan bu denemelere karşı şifrenizi hızlı yazmak ve dikkatli olmak en iyi korunma olacaktır Diğer bir olasılık ise deneme yoluyla şifrenizin bulunması Ancak fazla korkulacak bir durum yok, zira çoğu site bir kullanıcının milyon kere şifre denemesine izin vermez Yine de saldırı metodları hakkında bilgi sahibi olun: Brute Force: Kaba kuvvet olarak çevirebileceğim bu yöntemde kötü niyetli kişi şifrenizi bulmak için her karakter dizisini, yani tüm olasılıkları dener Her konuda en amele yöntem olduğu için Brute Force yerine Dictionary Attack tercih edilir Dictionary Attack: İnsanlar şifrelerini kolay hatırlamak için genelde bir kelime ve birkaç rakam kullanırlar Dictionary Attack yönteminde önceden tanımlanmış bir sözlükten seçilen kelimeye bir ya da iki rakam eklenerek olasılıklar oluşturulur Yani, isminiz ali ve doğum tarihiniz 1973 ise ali73 şifresi ne yazık ki çok zayıf bir şifre olarak nitelenebilir Şans: Birinin gelip şifrenizi doğru tahmin etmesi durumuna denir Şifreniz eğer ailenizden bir isim, doğum tarihiniz, ya da 1234 değilse mevzubahis şahsı alnından öpmek gerekir Şaka bir yana, aslolan şifrenizi iyi seçmeniz ve korumanızdır Şifrenizin kırılması da bir olasılık Eğer hesabınızın bulunduğu sitedeki bilgilere kötü niyetli biri erişirse, genelde hash olarak tutulan şifrenizin bulunmasını zorlaştırmak için: Şifrenizi farklı setlerden karakterler kullanarak oluşturun (Büyük-küçük harfler, rakamlar, noktalama işaretleri, vs) Şifreniz ne kadar uzun olursa o kadar şanslı olursunuz Ancak bu yazının amacı zor hatırlanan şifreleri övmek değil, aksine kolay hatırlanan ve kaliteli şifre oluşturmanızı sağlamak İşte yöntemler: Bileşik Şifre Metodu Ilya Lichtenstein‘ın önerdiği yöntemin adı Bileşik Şifre Metodu, basit ama etkili bir şifre seçme yöntemi Örneğin kköepdeik bir bileşik şifre, nasıl olduğunu anladınız mı? Bu bileşik şifredeki iki kelime köpek ve kedi Sadece şifre bir kelimenin içine diğer kelimeyi yazmaktan oluşuyor Ya hatırlanabilirliği? Sanırım şifre sahibi ağır bir rahatsızlık geçirmedikçe köpek ve kedi kelimelerini unutmayacaktır Bileşik şifre şöyle kullanılıyor: Önce ilk kelimeyi yazıyorsunuz, daha sonra fare ile ilk karaktere tıklayıp ikinci kelimenizin her harfini yazarken imleci bir sağa kaydırıyorsunuz, işte bu kadar! Şimdi bu yöntemin avantajlarını inceleyelim: Keylogger programlara karşı avantajlı, çünkü yazdığınız şifre köpekkedi‘den başka birşey değil, Yan gözle şifre çalanlara karşı diğer elinizle imleci kaydırdığınızı gizleyebilirsiniz, Oluşan şifre herhangi bir sözlükte olmadığından Dictionary ataklara karşı, Şifrenizin uzunluğu arttığından Brute Force ataklara karşı avantajlı olursunuz Dikkat ettiyseniz oluşturduğunuz şifreye yeni bir karakter setinden eleman eklemediniz Güvenli MD5 Kullanımı yazımda belirttiğim gibi, şifrenize rakamlar ve özel karakterler eklemeniz şifrenizin kırılmasını zorlaştıracaktır Ancak Bileşik Şifre Metodunun bu dezavantajını kolay hatırlanabilir olması sebebiyle göz ardı edebiliriz Gelişmiş bir Bileşik Şifre Önerisi Yukarıda belirttiğim gibi, Ilya Lichtenstein’ın yazısı kadar yapılan yorumlar da kaliteli ve yararlıydı İsmini belirtmeyen bir okurun Bileşik Şifre Metodu ile ilgili önerisi ise şöyle: Bileşik şifrenizi oluşturan iki kelimeden birini kolay hatırlayabileceğiniz bir numara ile değiştirin, örnek olarak bir telefon numarası Bunu iki kere tekrarladığınız zaman araya bir özel karakter koyun, böylece şifreniz kolay hatılanır zor kırılır Önceki metoddan kat be kat iyi Örnek olarak telefonu 2234567 olan arkadaşınız Ahmet ve telefonu 4345566 olan Pelin‘i şifrenizde kullanabilirsiniz İlk şifreyi oluşturduktan sonra bir ünlem (!) işareti, ikinci şifreyi de bitirdikten sonra da bir yıldız () koyarsanız, yıldızlı pekiyi hak eden bir şifreniz olacaktır: A2h2m3e4t567!P4e3l4i5n566 Cümleden Şifre Metodu Porto Riko’dan bir tıp öğrencisinin önerisi ise ilginç: içinde rakamlar da bulunan, kolay hatırlanabilir bir cümle oluşturup bu cümleye bir algoritma uygulayarak şifrenizi oluşturun Cümle: Oğlum Reha’nın 13′üncü doğumgününü Antalya’daki evimizde kutladık Algoritma: Cümledeki her kelimenin ilk harfi Şifre: OR1dAek Yöntem gayet kolay hatırlanabilir, oluşturulan şifreler ise büyük-küçük harfler ve rakamlar bulundurduğundan kaliteli Fakat Bileşik Şifre tekniğindeki Keylogger‘lara karşı avantajımız bunda pek de mevcut değil Olsun, şifreniz En Yaygın 10 Şifre listesinin yakınından bile geçmiyor ya, o yeter… Klavye Deseni Metodu Jamon Terrell, yazıya yaptığı yorumda Klavye Deseni Metodunu açıklıyor Pek yazarak açıklayabileceğim bir yöntem değil, bu yüzden şifre örneklerine bakın, eminim çözeceksiniz: 6%YtGhNb 1′WqAsXz 2^EwSdCx 3+ReDfVc 4%TrFgBv Bunlar gibi istediğiniz klavye desenini oluşturabilirsiniz, örneğin ben MnHjUy&7 şifresini kullanıyorum -şaka tabii ki- Bu yöntemle farklı siteler için farklı şifreler üretmeniz mümkün, sadece hangi sitenin şifresine hangi karakterle başladığınızı hatırlayın yeterli Klavye Deseni yöntemi kaliteli şifreler üretse de yine Keylogger programlara karşı savunmasız, ayrıca farklı tip klavyelerde elinizi kolunuzu bağlayacak özellikte Seçim sizin Umarım bu kolay hatırlanabilir ama kaliteli şifre oluşturma teknikleri sizin için yararlı olmuştur Son söz olarak hatırlatmakta yarar var: şifrenizi iyi seçmeniz kadar iyi korumanız da önemlidir