Her gün çok çeşitli hizmetler için şifreler kullanıyoruz. Hatta bazı çevrimiçi hizmetler, parola oluştururken hangi karakterlerin görünmesi gerektiğine göre teknik özellikler gerektirir. Uzunluk, özel karakterler veya düzenli değişiklik – TECHBOOK uzmanlara gerçekten neyin önemli olduğunu sordu.
Parolalar, hesaplarımızı çok çeşitli portallarda korur. Ama aslında iyi bir şifre yapan nedir? Uzunluk? Mümkün olduğu kadar çok özel karakter? Birkaç haftada bir parola değişikliği mi? TECHBOOK, Münih’teki Federal Silahlı Kuvvetler Üniversitesi’nde Veri Koruma ve Uygunluk Profesörü olan Arno Wacker ve Federal Bilgi Güvenliği Ofisi’nden Tim Griese ile çalıştı (BSI) konuşulmuş. Her şeyden önce: Güvenli bir parolayla ilgili yaygın görüşlerin çoğu modası geçmiş ve kullanıcı için anlamsızdır.
Şifrenizi düzenli olarak değiştirmek çok güvenli
Aslında kulağa oldukça mantıklı geliyor: Güvenli bir şifreye sahip olmak istiyorsanız, şifrelerinizi düzenli aralıklarla değiştirmeniz gerekiyor. Şimdiye kadar ortak teori. Ancak BT güvenlik uzmanı Arno Wacker’a göre bu artık bu formda geçerli değil. Kuralın kökenleri eski kılavuz ilkelerdedir. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ancak, şifrelerin işlenmesi 2017’de ABD federal kurumu tarafından değiştirildi ve düzenli şifre değişikliği gerekliliği nihayet kaldırıldı. “Bunun nedeni, bu arada bazı bilimsel çalışmalar Bunu düzenli olarak değiştirmenin güvenliğe yarardan çok zarar verdiğini söyleyenler var. Anlaşılması kolay bir neden, kullanıcı psikolojisidir: Kullanıcılar parolalarını birkaç ayda bir değiştirmek zorunda kalmazlarsa, kötü veya basit parolalar seçme olasılıkları önemli ölçüde azalır, yani iyi bir parola oluşturmaya devam etme olasılıkları daha yüksektir. ve güçlü parola.” diyor Wacker, TECHBOOK’a.
Bununla birlikte, kullanıcıların şifrelerini her zaman değiştirmeleri gerektiği söylentisi devam ediyor. Ancak TECHBOOK tarafından sorulduğunda BSI, şifrenin sürekli olarak değiştirilmesi yönündeki koşulsuz bir tavsiyeyi reddetti. “BSI’nın deneyimine göre, başarılı siber saldırılar ancak ortalama 200 günden sonra keşfediliyor. Bu nedenle, parola hırsızlığı o zamana kadar fark edilmemiş olsa bile, çalınan parolaları siber suçlular için kullanılamaz hale getirmek için parolaları düzenli olarak değiştirmek mantıklı olabilir,” diye açıklıyor BSI’dan Tim Griese. Her durumda, parolanın ele geçirilmiş olabileceğine dair belirtiler varsa, kullanıcılar parolalarını değiştirmelidir. Başarısız oturum açma sayısı ve son oturum açma tarihi bu konuda bilgi verebilir. Kullanıcı, şifre değiştirirken tekrar güçlü bir şifre seçtiğinden emin olmalıdır.
Güvenli bir parola birden fazla kelimeden mi oluşuyor?
Farklı kelimelerden oluşan bir şifre mantıklı olabilir. BSI’dan Griese, “Bir parola ayrıca yüksek düzeyde koruma sağlayabilir, ancak çok kısa olmamalıdır” tavsiyesinde bulunuyor. Uzunluk, bir parolanın kalitesini belirler. Ancak, iki kelimelik şifreler önerilmez, çünkü 20 harf veya daha fazla şifre güvenli kabul edilir ve iki kelime tek başına muhtemelen bu uzunluğa ulaşamaz. “Ancak yaklaşım doğru: Tüm bir cümleyi, yani toplam uzunluğu 20 karakterin çok üzerinde olan sözde bir parola kullanırsanız, artık güvenli kabul edilebilir,” diye açıklıyor Arno Wacker.
Toplam 10 harften oluşan iki kelime kullanıldığında, şifre gücü yaklaşık 47 bit’e karşılık gelir. Başka bir deyişle: Bir bilgisayarın kaba kuvvet saldırısı kullanarak şifreyi kırmak için yaklaşık 140.737.488.355.328 denemeye ihtiyacı vardır. Saldırgan, olası her harf kombinasyonunu gözden geçirmeye çalışır, ancak bu zaman alır. Bu zaten tek bir bilgisayar için bir zorluk olsa da, büyük bilgisayar ağları için değil. 16 harfli üç kelimeyle, yaklaşık 71 bit ile zaten önemli ölçüde daha iyi, ancak yine de güvenli alanda değil. Toplam 20 harfli dört kelime ile kullanıcılar 95 bitlik bir güce ulaşır. Bu nispeten güvenli kabul edilir. Altı sözcükten oluşan bir parolanın zaten kriptografik bir gücü vardır. Açıkça söylemek gerekirse, 20 harfli bir parola ile, bir bilgisayar veya bilgisayar ağının tam parolalara ihtiyacı vardır. 39.614.081.257.132.168.796.771.975.168 Şifreyi bulmaya çalışın – hepsi küçük harf olsa bile! Hayal edilemeyecek kadar yüksek sayıda deneme.
Tüm hizmetler için güçlü bir parola yeterli midir?
Parola ne kadar güçlü olursa olsun, kullanıcılar her zaman farklı parolalar seçmeli ve tüm hesaplar için asla tek parola kullanmamalıdır. Veri sızıntılarında servis sağlayıcılardan şifre veritabanları çalınır. Kullanıcının parolasının artık kırılmasına gerek yoktur. “Bu şifre, ne kadar güçlü olursa olsun, başka hesaplar için kullanılırsa, bu hesaplar da bir saldırgana açıktır. Bu nedenle, farklı hesaplar için farklı parolalar kullanmak önemlidir,” diyor BSI’dan TECHBOOK’a Tim Griese. Kullanıcı, kullanılan hizmetin parolayı ne kadar iyi işlediğini de asla bilemez. “En kötü durumda, hizmet parolayı düz metin olarak kaydeder (olduğu gibi) Facebook),” diyor Wacker. Böyle bir saldırıda şifre gücünün hiç bir önemi olmayacaktır.
Özel karakterlerin yaptığı budur
Parolalar söz konusu olduğunda kullanıcılar şu tavsiyeyi tekrar tekrar duyar: Özel karakterler parolayı daha güvenli hale getirir. Ama bu doğru mu? Çoğu zaman kullanıcıların bir seçeneği bile yoktur. Çevrimiçi hizmetler, giderek artan bir şekilde özel karakterler veya çeşitli karakter türleri içeren bir parola gerektirir. “Özel karakterler, kullanılan karakter aralığını genişleterek saldırganların parolayı kırmasını zorlaştırır. Ancak, özel karakterler (parola) içermeyen çok uzun bir parola da saldırgan için erişimi zorlaştırır. Parolanın uzunluğuna bağlı olarak, basit bir paroladan çok daha fazla. Bu nedenle, seçilen parolanın uzunluğu özel karakterlerin kullanılmasından daha önemlidir” diyor BSI’dan Tim Griese.
Ayrıca Okuyun: Dolandırıcıların Bir Saniyede Kırabilecekleri Bu Şifreler!
Pek çok karakter ve karakter türü, güvenli bir parola gerektirir
Bir şifre asla yeterince uzun olamaz. Uzman Arno Wacker, “Burada genel olarak şunu söyleyebilirsiniz: ne kadar uzunsa o kadar iyidir – parolanın güvenliğinde uzunluk en büyük rolü oynar” diye açıklıyor. Hizmete bağlı olarak, uzunluk için belirli kurallar vardır. Bir çevrimiçi parola on karakterden, WiFi parolası ise 20 karakterden uzun olmalıdır. Matematiksel bir bakış açısıyla, Wacker’a göre, on iki karakter veya daha uzun bir parola iyi kabul edilir ve yeterli güvenlik sunar. Bununla birlikte, NIST yönergelerine göre, 20 veya daha fazla karakterden oluşan parolalar yalnızca gerçekten güvenlidir.
Güvenli bir parola seçmek her zaman iki özelliğe bağlıdır – parolanın uzunluğu ve karmaşıklığı. Küçük harfler, özel karakterler ve büyük harfler gibi birkaç karakter türü kullanırsanız, parolanın karmaşıklığı artar. Ama bunu hatırlamak daha zor. Bu nedenle, aşağıdaki genel bakış doğru parolayı seçmenize yardımcı olacaktır.
- Yalnızca büyük ve küçük harflerden oluşan bir parolaya güvenmek istiyorsanız, 20 ile 25 karakter arasında bir parola uzunluğu seçmelisiniz. Bu, iki tür karakteri kapsayacaktır. Tüm kelimeleri hatırlamak için bir dizi kelime veya parola kullanabilirsiniz.
- Dört karakter türü kullanırsanız, parolayı 8-12 karaktere kısaltabilirsiniz. Ancak büyük ve küçük harflerden, özel karakterlerden ve rakamlardan oluştuğunda hatırlanması çok karmaşık ve zordur.
- Ayrıca, en az üç tür karakter ve çok faktörlü kimlik doğrulama kullanılıyorsa, 8 karakterli bir parola güvenli kabul edilir. Bu, örneğin yine bir uygulamada oluşturulan tek seferlik bir parola ile yapılabilir.
mükemmel şifre
Ama uzunluk dışında başka ne önemlidir? Wacker, “‘İyi’ bir parola, herhangi bir kalıba uymayan, yani tamamen rastgele olan ve her karakter için 100 karakterlik bir karakter kümesinden bir karakter seçilen bir paroladır” diyor. Çok çeşitli hizmetler için iyi ve her şeyden önce uzun bir parolayı hatırlamak gerçek bir meydan okuma gibi geliyor. Ama merak etmeyin, bir fil hafızasına ihtiyacınız yok, bir şifre yöneticisi size yardım etmeyi vaat ediyor. “Bu, kullanıcının şifrelerini güvenli bir şekilde şifreleyen ve bir dosyada saklayan bir yazılımdır. Buna erişim, güçlü bir ana parola ve potansiyel olarak ikinci bir faktörle güvence altına alınmıştır,” diyor Wacker. Tüm şifreler bu yazılımda olduğundan, seçim yapılırken güvenlik hususlarına özel dikkat gösterilmelidir. Bu nedenle, yazılımın açık kaynaklı olması gerekir, bunun iyi bir örneği KeePassXC’dir, Wacker’a tavsiyede bulunur.
Güvenlik sorusu, kullanıcı parolayı unuttuğunda ve yine de ilgili hesaba erişmek istediğinde kullanılır. Ancak: “Güvenlik sorusu çok kötü bir fikir ve bu nedenle mevcut NIST yönergelerinden de çıkarıldı ve hatta açıkça artık var olmaması talep edildi. Bu kesinlikle doğrudur – saldırganlar (bilgisayar korsanları), bir şekilde mevcut olan veya tahmin edilebilen bilgilere dayandığı sürece güvenlik sorusunu da yanıtlayabilir ve böylece en güçlü parolayı atlayabilir” diyor Arno Wacker. Çevrimiçi hizmet bir güvenlik sorusu gerektiriyorsa, kullanıcılar güvenli bir parola ile aynı ölçütleri dikkate almalıdır.
Kaynak:
- BSI21.11.22 tarihinde erişildi.