Dikkat Şifreniz 5 Dakikada Kırılabilir

**Prof. Dr. Sinsi** · 08-26-2012

İzmir Ekonomi ve Ege üniversiteleri araştırmacıları, internet şifreleri üzerinde yaptığı çalışmanın sonucunu açıkladı

İzmir Ekonomi ve Ege üniversiteleri araştırmacılarının “Türk Kullanıcılarının Parola Seçimindeki Eğilimleri” başlığı altında 2 bin 564 internet şifresi üzerinde yaptığı çalışmada, şifrelerin yüzde 30'unun kolaylıkla kırılabildiği belirlendi

İzmir Ekonomi Üniversitesi Bilgisayar Mühendisliği Bölümü Öğretim Görevlisi İlker Korkmaz, Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü Öğretim Üyesi Prof

Dr

Mehmet Emin Dalkılıç ile birlikte hazırladıkları “Türk Kullanıcıların Parola Seçimleri” isimli araştırma sonuçlarına ilişkin bilgi verdi

Korkmaz, bilgisayar sistemlerindeki parolanın, sisteme bağlanan kullanıcı kimliğinin doğrulanması amacıyla kullanıldığını anımsattı

Parola seçiminde, kullanıcıların genelde hatırlanması kolay ve kısa parolalar seçtiklerinin bilinen bir yöntem olduğunu belirten Korkmaz, bu tür parolaların bilgisayar korsanları için kolay hedef olduğunu ve tek bir “zayıf” kullanıcı parolasının bile tüm sistemin güvenliğini tehlikeye düşürebildiğini vurguladı

GERÇEK ŞİFRELER KIRILDI

Korkmaz, akademik çalışmalarında, güvenilir kaynaklardan elde ettikleri ve bir sistemde kullanılan 2 bin 564 gerçek Türkçe parolayı seçtiklerini ve çeşitli yöntemlerle bilimsel veriler kullanılarak “şifreleri kırmaya” çalıştıklarını anlattı

İlker Korkmaz, bu parolaların gizlilik nedeniyle araştırma kapsamı dışında hiçbir şekilde kullanılmadığını bildirdi

Çalışmanın ilk bir aylık sürecinde tüm parolaların yüzde 30'una karşılık gelen 777'sinin tahmin edilebilir özellikte olduğunun belirlendiğini ifade eden Korkmaz, denenen parolaların yüzde 5'inin beş dakika içinde, yüzde 10'unun da ilk gün içinde tahmin edilebildiğini kaydetti

Korkmaz, çalışma sonucunda elde ettikleri verilere ilişkin şu bilgileri verdi:

“Kırılan 777 parolanın 564'ü sadece sayısal karakter içeriyor

Sadece rakam dışında hiçbir karakter kullanmadan parola seçen kullanıcı sayısı azımsanmayacak oranda

Ayrıca, kırılan parolaların büyük oranının sadece rakamlardan oluşması, bu tür parolaların zayıf olduğunu gösteriyor

2 - 3 KARAKTERLİ TÜM ŞİFRELER KIRILIR

Kırılan parolalar arasında sadece 32 parola, en az bir Türkçe alfabeye ait karakter içeriyor

2 bin 564 Türk kullanıcısı içinde yüzde 98'den daha fazlası, parola seçiminde Türkçe karakter tercih etmiyor

Tümü sayılardan oluşan parolaların büyük oranı, 3 karakterli şifrelerin tamamı kırıldı

Türk kullanıcıların parolalarının yüzde 73'ünde en az 1 rakamsal karakter, yüzde 39'unda en az 1 büyük harf kullandığı ortaya çıktı

”

İlker Korkmaz, 2 ve 3 karakterden oluşan tüm şifrelerin kırılabildiğine işaret ederek, 4 karakterli parolaların yüzde 96'sının, 5 karakterlilerin yüzde 42'sinin, 6 karakterlilerin yüzde 31'inin, 7 karakterlilerin yüzde 4'ünün, 8 karakterlilerin yüzde 2'sinin kırılabildiğini bildirdi

Korkmaz, Türk kullanıcı parolaları üzerine bulgulara ulaşılan çalışma sonuçlarının Türk kullanıcı eğilimleri olarak belirtilmiş olsa da diğer ülke kullanıcıları için de genel olarak benzediğini kaydederek, “İnternet kullanıcılarına akılda kolay kalabilecek ve aynı anda da karışık karakterli şifreleme yöntemlerini tavsiye ediyoruz” dedi

Dünya çapındaki bazı araştırmacıların parola seçiminde çeşitli öneriler getirdiklerini belirten Korkmaz, “Araştırmacılar, kullanıcının kendilerini anlatan anlamlı bir cümledeki kelimelerin ilk harflerini bir araya getirerek parola yapılabileceğini belirtiyor

Buna örnek olarak, 'Ben 3 yıldır mühendislik eğitimi alıyorum, memnunum' cümlesi gösterilebilir

Bu cümlenin baş harfleriyle oluşturulan 'B3yMea,m' parolasındaki gibi; internet kullanıcılarına, kolay hatırlanabilen ve aynı anda da zor kırılabilecek kendilerine ait cümlelerin baş harfleriyle şifreleme yapmaları önerilebilir” dedi

ÖNERİLER

Korkmaz'ın verdiği bilgiye göre, araştırma sonucunda belirlenen zayıf parola nitelikleri şöyle sıralanıyor:

“Parola uzunluğunun 7 karakterden az olması, parolanın 'zayıf' olarak nitelendirilmesine yetiyor

Karakterlerin tümünün rakamsal ya da alfabetik olması, sayısal karakterlerle sonlandırılması da zayıf parolaya neden oluyor

Parolanın uzunluğunun 7 karakterden büyük olsa da kullanıcı bilgisinin, parolada sözlüklerde yer alan bir kelimenin, özel bir ismin bulunması da zayıf olmasına yetiyor

”

“Güçlü” parola nitelikleri ise şöyle sıralanıyor:

“Parolanın içerdiği karakterlerde en az 1 rakam ve en az 1 büyük harf olacak şekilde, parolada hem sayısal, hem de alfabetik karakterler birlikte kullanılmalı

Parolada, en az 1 harf veya rakam olmayan noktalama işareti gibi özel bir karakter içermeli

Kullanıcıların yalnız kendi alfabelerinde yer alan harflerden en az birini kullanması şifrenin kırılma olasılığını düşürüyor

(Türk kullanıcılar için, 'ç,ğ,ı,ö,s,ü' karakterleri gibi

)

08-26-2012	#1
Prof. Dr. Sinsi	Dikkat Şifreniz 5 Dakikada Kırılabilir İzmir Ekonomi ve Ege üniversiteleri araştırmacıları, internet şifreleri üzerinde yaptığı çalışmanın sonucunu açıkladı İzmir Ekonomi ve Ege üniversiteleri araştırmacılarının “Türk Kullanıcılarının Parola Seçimindeki Eğilimleri” başlığı altında 2 bin 564 internet şifresi üzerinde yaptığı çalışmada, şifrelerin yüzde 30'unun kolaylıkla kırılabildiği belirlendi İzmir Ekonomi Üniversitesi Bilgisayar Mühendisliği Bölümü Öğretim Görevlisi İlker Korkmaz, Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü Öğretim Üyesi Prof Dr Mehmet Emin Dalkılıç ile birlikte hazırladıkları “Türk Kullanıcıların Parola Seçimleri” isimli araştırma sonuçlarına ilişkin bilgi verdi Korkmaz, bilgisayar sistemlerindeki parolanın, sisteme bağlanan kullanıcı kimliğinin doğrulanması amacıyla kullanıldığını anımsattı Parola seçiminde, kullanıcıların genelde hatırlanması kolay ve kısa parolalar seçtiklerinin bilinen bir yöntem olduğunu belirten Korkmaz, bu tür parolaların bilgisayar korsanları için kolay hedef olduğunu ve tek bir “zayıf” kullanıcı parolasının bile tüm sistemin güvenliğini tehlikeye düşürebildiğini vurguladı GERÇEK ŞİFRELER KIRILDI Korkmaz, akademik çalışmalarında, güvenilir kaynaklardan elde ettikleri ve bir sistemde kullanılan 2 bin 564 gerçek Türkçe parolayı seçtiklerini ve çeşitli yöntemlerle bilimsel veriler kullanılarak “şifreleri kırmaya” çalıştıklarını anlattı İlker Korkmaz, bu parolaların gizlilik nedeniyle araştırma kapsamı dışında hiçbir şekilde kullanılmadığını bildirdi Çalışmanın ilk bir aylık sürecinde tüm parolaların yüzde 30'una karşılık gelen 777'sinin tahmin edilebilir özellikte olduğunun belirlendiğini ifade eden Korkmaz, denenen parolaların yüzde 5'inin beş dakika içinde, yüzde 10'unun da ilk gün içinde tahmin edilebildiğini kaydetti Korkmaz, çalışma sonucunda elde ettikleri verilere ilişkin şu bilgileri verdi: “Kırılan 777 parolanın 564'ü sadece sayısal karakter içeriyor Sadece rakam dışında hiçbir karakter kullanmadan parola seçen kullanıcı sayısı azımsanmayacak oranda Ayrıca, kırılan parolaların büyük oranının sadece rakamlardan oluşması, bu tür parolaların zayıf olduğunu gösteriyor 2 - 3 KARAKTERLİ TÜM ŞİFRELER KIRILIR Kırılan parolalar arasında sadece 32 parola, en az bir Türkçe alfabeye ait karakter içeriyor 2 bin 564 Türk kullanıcısı içinde yüzde 98'den daha fazlası, parola seçiminde Türkçe karakter tercih etmiyor Tümü sayılardan oluşan parolaların büyük oranı, 3 karakterli şifrelerin tamamı kırıldı Türk kullanıcıların parolalarının yüzde 73'ünde en az 1 rakamsal karakter, yüzde 39'unda en az 1 büyük harf kullandığı ortaya çıktı” İlker Korkmaz, 2 ve 3 karakterden oluşan tüm şifrelerin kırılabildiğine işaret ederek, 4 karakterli parolaların yüzde 96'sının, 5 karakterlilerin yüzde 42'sinin, 6 karakterlilerin yüzde 31'inin, 7 karakterlilerin yüzde 4'ünün, 8 karakterlilerin yüzde 2'sinin kırılabildiğini bildirdi Korkmaz, Türk kullanıcı parolaları üzerine bulgulara ulaşılan çalışma sonuçlarının Türk kullanıcı eğilimleri olarak belirtilmiş olsa da diğer ülke kullanıcıları için de genel olarak benzediğini kaydederek, “İnternet kullanıcılarına akılda kolay kalabilecek ve aynı anda da karışık karakterli şifreleme yöntemlerini tavsiye ediyoruz” dedi Dünya çapındaki bazı araştırmacıların parola seçiminde çeşitli öneriler getirdiklerini belirten Korkmaz, “Araştırmacılar, kullanıcının kendilerini anlatan anlamlı bir cümledeki kelimelerin ilk harflerini bir araya getirerek parola yapılabileceğini belirtiyor Buna örnek olarak, 'Ben 3 yıldır mühendislik eğitimi alıyorum, memnunum' cümlesi gösterilebilir Bu cümlenin baş harfleriyle oluşturulan 'B3yMea,m' parolasındaki gibi; internet kullanıcılarına, kolay hatırlanabilen ve aynı anda da zor kırılabilecek kendilerine ait cümlelerin baş harfleriyle şifreleme yapmaları önerilebilir” dedi ÖNERİLER Korkmaz'ın verdiği bilgiye göre, araştırma sonucunda belirlenen zayıf parola nitelikleri şöyle sıralanıyor: “Parola uzunluğunun 7 karakterden az olması, parolanın 'zayıf' olarak nitelendirilmesine yetiyor Karakterlerin tümünün rakamsal ya da alfabetik olması, sayısal karakterlerle sonlandırılması da zayıf parolaya neden oluyor Parolanın uzunluğunun 7 karakterden büyük olsa da kullanıcı bilgisinin, parolada sözlüklerde yer alan bir kelimenin, özel bir ismin bulunması da zayıf olmasına yetiyor” “Güçlü” parola nitelikleri ise şöyle sıralanıyor: “Parolanın içerdiği karakterlerde en az 1 rakam ve en az 1 büyük harf olacak şekilde, parolada hem sayısal, hem de alfabetik karakterler birlikte kullanılmalı Parolada, en az 1 harf veya rakam olmayan noktalama işareti gibi özel bir karakter içermeli Kullanıcıların yalnız kendi alfabelerinde yer alan harflerden en az birini kullanması şifrenin kırılma olasılığını düşürüyor (Türk kullanıcılar için, 'ç,ğ,ı,ö,s,ü' karakterleri gibi)