Şifreniz ne kadar güvenli?

Şifreniz ne kadar güvenli?

İnterneti kullanmak demek, bir yerde şifre kullanmak demektir. Hemen hepimiz, email adreslerimizden, alışveriş sitelerindeki üyelik hesaplarımıza kadar değişen geniş bir alanlarda farklı şifreler kullanıyoruz. Bazen bu şifreler, herkesin zaten bildiği bilgilerimizi “korumaya” yarasa da, kredi kartı bilgilerimizi veya çok uzun zamandır kullandığımız “tanınmış” üyelik hesaplarımızı kaybetmenin lafı bile canımızı sıkmaya yetiyor.

Şifremiz yeterince güvenli mi? Bunu anlamanın temel yolu, ortalama bir bilgisayarın, şifrenizi ne kadar sürede tahmin edebileceğini hesaplayabilmekten geçiyor. Çünkü şifrenizi yaban ellere kendi ellerinizle teslim etmediyseniz ve ziyaretçisi olduğunuz sitelerin güvenlik zaafiyetleri yoksa, şifrelerinizin kırılması için tek seçenek “brute-force” (kaba kuvvet) saldırısı oluyor.

İnternetin hemen her yerinde uzun uzun anlatılan bu terimin anlamı yaklaşık olarak şu: Şifrenizi oluşturan kombinasyonun tahmin edilme ihtimali ne kadar?

10’da 1 mi, 100’de bir mi, yoksa milyarda bir mi? Yoksa daha mı az?

Yukarıda bahsettiğimiz yöntemle sürekli olarak tahmin yürüten programlar var ve bu programların çalışması “brute-force” olarak adlandırılıyor.

İşte bu sebeple, her şifre “teoride” kırılabiliyor.

Peki o zaman neden “güvenli” bir şifrenin peşinde koşuyoruz?

Çünkü programların çalışması için zaman gerekiyor. Kaliteli bir şifrenin kırılması için ise çok uzun bir zaman geçmesi gerekiyor.

Şifreniz yeterince kaliteliyse, ortalama bir bilgisayarın şifrenizi uzun yıllar sonra ancak çözebileceği tahmin ediliyor.

Eğer bu kadarlık bir süre sonra, şifrenizin koruduğu çalışma önemini yitirmiş olacaksa, şifreniz de güvenli kabul ediliyor.

Mesela 2008’de çalışmaya başlayan bir brute force programı, şifrenizi ancak 2018’de kırabilecekse, 2010 yılında değiştirilmesi gereken kredi kartınıza ait bilgileri tuttuğunuz bir hesap güvende kabul edilebiliyor.

Elbette programları çalıştığı makinelerin işlem gücü, bu süreyi önemli ölçüde etkileyebiliyor. Yani NSA’nın hesabınızı kurcalamasından korkuyorsanız (nedense), buna karmaşık şifrelerle mani olamayacağınızı hatırlatmalıyız. Boşuna uğraşmayın, makineleri çok güçlü :).

Ancak normal bir bilgisayarla yapılabilecek bir saldırının senaryosunu hazırlayarak “teorik olarak gerçekçi” bir sonuç elde edebilirsiniz.

kırılabileceğini gösteriyor.

Sitede alt alta 7 boşluk var. Bu boşluklara şifrenizin özelliklerini doldurduğunuzda, şifrenizin CPU’sunun yaklaşık %10’unu bu işe ayırmış bir makine tarafından ne kadar zamanda kırılabileceği gösteriliyor. Mesela uygulama, sadece küçük harflerden oluşmuş 9 haneli bir şifrenin kırılması için yaklaşık 20 gün gerektiğini hesaplıyor.

Ancak projeyi çok da ciddiye almamakta fayda var. Çünkü hesaplama çok da mantıklı temeller üzerine oturuyor gibi görünmüyor. Yine de Mandylion Labs’in 2004 yapımı xls dosyasına dayanıyor ve bir istatistikçi tarafından hazırlandığı belli oluyor. Bu sebeple benzerlerinden önde kabul edilebilir ve bir fikir vermesi açısından denenebilir.

En iyisi mi istatistikleri bir kenara bırakın, içinde büyük harf- küçük harf-rakam-özel karakter geçen ve mümkün olduğunca uzun olan şifreler belirleyin.

Bu konuda ek yazı okumak isterseniz, daha önce sitemizde yayınlanan Güvenlik Tavsiyeleri yazımıza bir göz atabilirsiniz.

İbrahim

Hekim. Yazar, beğenirse çevirir, kod yazarak eğlenir. 2002'den beri internette yazıyor.

Sevebilirsin...