Hayatımız şifrelerle dolup taştı! Evde, işte, sokakta, her yerde şifre üzerine şifre kullanıyoruz.
Daha 2002 yılında yapılan araştırmalar, ortalama bir modern insanın 21 şifreyi aklında tutması gerektiğini gösteriyordu.
E-posta hesabının, üye olunan sitelerdeki kullanıcı hesaplarının ve çok yaygın kullanılan MSN ve Facebook gibi sosyal araçların şifreleri günlük hayatın bir parçası. Cep telefonunun pin kodundan, kredi kartı şifresine herkesin hatırlamak zorunda olduğu şifrelerin yanında, internet kullanımının da kafalarımıza yüklediği bir yük söz konusu.
Peki bu şifreler hayatımıza nereden girdi? Bir şifre nedir? En basit cevap şu ki, şifre sadece iki tarafın bildiği gizli bir bilgidir. Bu gizli bilgi sayesinde taraflar birbirlerini güvenli olarak tanımlayabilirler.
Şifre ve parola tarihinden bir sayfa
Şifrelerin kayıtlı kullanımı Roma tarihine ve hatta daha öncesine uzanıyor. Bir cumhuriyet ve bir imparatorluk olarak Roma, modern dünyadaki pek çok unsura, kolayca anlaşılır örnekler bulabileceğimiz bir uygarlık.
Roma'da muhafızlar belirli bölgelere ya da binalara girmeye çalışan insanları durdurarak şifre sorarlardı. Ancak şifreyi bilenlerin oraya girmeye izni vardı. Kamp kumandanı her gün şifrenin yazılı olduğu tahta bir tableti muhafızlara verirdi.
Muhafızlar bu tableti kendi aralarında dolaştırarak kendi kişisel işaretlerini üzerine kazırdı. Tablet kumandana geri döndüğünde, kumandan bütün muhafızların şifreyi aldığını anlardı.
Bugün şifre ya da parola halen askerliğin temellerinden birisidir. Karşıdakinin dost mu yoksa düşman mı olduğunu anlamak için parola sorulur. Bilmiyorsa ya tutulur ya da vurulur; genellikle vurulur.
Bilgisayar tarihinde şifre
Bilgisayarda ise şifreler neredeyse işletim sistemleri kadar eskidirler. Şifrelerin ilk kullanımının MIT'in Compatible Time Sharing System'de, 1961 yılında kullanıldığı söylenmektedir.
Şifre konuyorsa ortada gizli bir bilgi var demektir. Bilgi gizleniyorsa ortada o bilginin korunduğu bir 3. kişi de söz konusudur. Bu kişiler, bilgiye erişebilmek için şifreyi tahmin etmeye çalışırlar.
O zamandan bu yana hem şifre oluşturmak, hem de bu şifreleri çözmek karşılıklı bir yarış halini almıştır.
Şifreleri çözmenin ilk yolu tahmin etmektir. İhtimaller çok düşük görülse de, zeki tahminler, tahmin edebileceğinizden daha çok şifrenin çözülmesinde rol oynamaktadır.
Kart şifresi, PIN kodu, e-posta...
Günlük hayatını sürdüren sıradan bir kullanıcının hatırlamak zorunda olduğu şifre sayısı, miktar olarak hiç de az değil.
Bu tür şifrelerle başa çıkmak için kullanılabilecek bazı araçları daha önceki makalelerimizde sizlerle paylaşmıştık. Şifre depolayan ve otomatik olarak giren araçlar, her kullanıcının tercihi değil. Sonuçta bilgisayardan çok, insanın kendi aklına güvenmesi gayet doğal bir durum.
Peki ya insan aklı nasıl çalışıyor? Aklımızda tuttuğumuz şifreler, programlar içerisinde sakladığımı şifrelerden daha mı güvende? Ne yazık ki hayır, sizi tanıyan biri söz konusuysa, akılda tuttuğunuz şifreler de güvenli değil.
Bunun için zihin okumaya gerek yok, iş yerinde bilgisayarınızın yanında duran bir fotoğraf, bir yazı, ya da arada yaptığınız futbol muhabbetlerinden akılda kalan isimler bir hackerın işini rahatlıkla görebiliyor. Bazı şifre kırıcılar, eğlencesine çevrelerindeki insanlar ile gündelik hayat üzerine sohbet edip, öğrendikleriyle şifre çözdüklerini itiraf ediyorlar. Çünkü insanlar, kendileri için önemli olan, devamlı akıllarında kalacak kelimeleri şifre olarak kullanıyor.
Şifreleme olmadan internet...
Bilgisayar çağı boyunca pek çok şifreleme yöntemi geliştirildi ve kırıldı; yenisi geliştirildi ve o da kırıldı.
Sonuçta bu devamlı ilerleyen bir alan ve eski yöntemlerde ısrar edenleri kesinlikle affetmiyor. En kötü veri saklama yöntemlerinden bir tanesi, kullanıcı isim ve şifrelerini sunucuda düz metin dosyaları olarak saklamak. Bu bilgileri veritabanına giren herkes ele geçirebiliyor.
Bir diğer güvensiz yöntem de verileri şifrelemeden aktarmak da aynı şekilde güvensiz. Zararlı yazılımlar aktarım sırasında araya girerek veriyi kopyalayabiliyorlar. İşte bu yüzden veri paketlerinin şifrelenerek aktarılması gerekiyor.
İnternet kullanıcılarının hassas bilgilerini kesinlikle ve kesinlikle şifrelenmemiş bağlantılar üzerinden yollamamalarını tavsiye ediyoruz. Bankacılık işlemlerinizde ve online alışveriş yaparken hangi sayfada olduğunuza bir bakın...
Güvende olduğunuzu nasıl anlarsınız?
Verilerinizin şifrelenerek aktarıldığını anlamak ise çok kolay. İnternet tarayıcınızdaki adres çubuğunda, bulunduğunuz sayfanın adresinin yanında bunu gösteren bir sembol var.
Bu sembol bir asma kilit, asma kilit gördüğünüz sayfalarda, adresin başına dikkat ederseniz protokol olarak http değil https kullanıldığını görürsünüz. Https'in sonundaki S harfi, Secure yani güvenli manasına gelir.
Https dijital sertifikalardan yararlanır. Bu sertifikalar, bağlandığınız sitenin güvenli olduğunun yetkili makamlarca denetlendiğini ve onaylandığını gösterir. Asma kilit ikonuna tıklayarak, o sitenin sahip olduğu güvenlik sertifikasını görebilirsiniz.
En yaygın göreceğiniz sertifikalardan birisi de Verisign'dır. Detaylar kısmına girerek site ile aranızdaki trafiğin şifrelenmesinde ne kadar güçlü bir sistemin kullanıldığını görebilirsiniz.
Kullanıcı dostu bir örnek: PayPal
PayPal gibi ödeme sistemlerinde tüketici güveni ve güvenliği son derece önemli olduğu için, ticari kullanımına izin verilen en güvenli şifreleme sistemi olan 168 bit SSL'yi kullanıyor.
Firefox altında da https kullanan bir sayfada adres satırının solunda site ismine tıklarsanız güvenlik sertifikasını görebilir, detaylara inerek daha fazla bilgi edinebilirsiniz.
Erişeceğiniz bilgiler oldukça çeşitli olacaktır. Ancak AES ve RSA şifreleme sistemlerinin birbirinden farklı olduğunu ve verilen bazı bit değerlerinin de birbiriyle kıyaslanamayacağını belirtelim. Yine de daha çok bit, hangi sistemde olursa olsun, o şifrenin kırılması için daha çok kombinasyonun denenmesi gerektiği ifade eder.
Bu arada bazı sitelerde http'nin sonuna s eklediğinizde, admin'in sessizce açtığı güvenli 443 portu üzerinden bağlanabilirsiniz. Ancak önemli sitelerde bu zaten açıkça görülür.
Hackin H'sinden habersizler, hesap hackleyebilir!
Bilgisayarlarda şifreler ve kullanıcı hesapları şifreli olarak saklanır. İşletim sistemleri asimetrik algoritmalar ile girilen şifreleri hesaplar ve çözülmesi zor biçimlerde iletir.
Bu şifreler yeterince fazla deneme yapılırsa çözülebilir. Buna kaba güç metodu denir ve uzun şifrelerde, yüksek güvenlik sağlayan algoritmalarda bu metodun başarılı olması zordur. Eklenen her karakter veya farklı karakter denenecek pek çok kombinasyon ekler.
Ancak genellikle kaba kuvvete, yani bütün potansiyel karakter kombinasyonlarını tek tek denemeye gerek yoktur. Sözlük saldırıları daha kısa sürede ve daha az denemede şifreleri bulabilir. Kullanıcılar akılda kalması için anlam ifade eden kelimeler seçer. Sözlük saldırıları da anlamlı kelimeleri dener. Böylece bir futbol takımının adını şifre olarak kullananlar, ilk ve en kolay avlananlar olurlar.
Teknolojinin kullanıcı hatasına karşı yapabileceği bir şey yok, algoritma istediği kadar gelişmiş olsun, iş kullanıcıda bitiyor.
İşte yaşanmış gerçek bir olay!
Şifrelerinizi akılda kalıcı ama güvenli tutmak istiyorsanız anlamlı kelimelerin baş harflerinden anlamsız bir şifre oluşturun.
Akılda tutması biraz daha zor olsa da buna değecektir. Bazı şifre kırıcıların, kullanıcıların özel hayatlarından yararlanmayı sevdiğini aktarırken dalga geçmiyorduk. Croll isimli bir hacker, Google Apps'ın şifre resetleme mekanizmasını kullanarak, bir Twitter çalışanının Gmail hesabını ele geçirdi.
Şifre resetleme işlemi, şifresini unutan kullanıcılara özel bir soru soruyor. Croll, Twitter çalışanı hakkında bilgi toplayarak hesabının sorusunu tahmin etmeyive ele geçirmeyi başardı. Sonra onun hesabıyla başka kişilerin kişisel bilgilerini öğrendi ve bunları kullanarak daha fazla insanın hesabını hackledi. Bunlar arasında Twitter CEO'su Evan Williams'ın eşi bile vardı.
Yani keskin bir zeka ve iyi gözlemcilik insana pek çok kapıyı açıyor.
Sözlük saldırısının inanılmaz gücü!
Bazen işler bunda da kolay olabiliyor. Tembel bir sistem yöneticisinin kullanıcı hesap adıyla şifresini aynı koyması yolu açabiliyor.
Kendi şifrenizin gücünü ölçmek için 15 gün ücretsiz denemeye izin veren L0phtcrack yazılımını kullanabilirsiniz. Pcap isimli eklentiyi kurarak ağ bağlantı kartından geçen verileri yakalıyor. Wireshark gibi bir yazılım kullanıyorsanız zaten sisteminizde kurulu olacaktır.
Bu yazılım testlerde 8 karakterli İngilizce kelimeleri 29 saniye içerisinde kırabiliyor. 10 Karakterli yine İngilizce sözlükten seçilen bir kelimeyi de 32 saniyede kırıyor. Bunu ortalama bir bilgisayarda yaptığı düşünülürse, dümdüz bir kelime yazmanın ne kadar anlamsız olduğu anlaşılır.
Lisanslı sürümü farklı test yöntemlerini de beraberinde getiriyor. Ancak amacımız bu yazılımı tanıtmak değil, sizleri daha dikkatli olmaya çağırmak. Bütün şifreler kırılabilir ama yeterince zor bir şifre, sizi can sıkıcı ve düşük yetenekli saldırganlardan koruyacak, onları bezdirecektir.
Gerçekten önemli şifrelerinizi belirli aralıklarla değiştirmeniz de uzun vadede güvenliğiniz için yararlı olacaktır. Özellikle e-posta adresinizde kullandığınız kullanıcı isim ve şifrenizi başka sitelerde kullanmayın. E-posta pek çok hesabınızı hacklemekte kullanılan, önemli bir bilgi kaynağı, anahtar bir hesaptır; onu ve kendinizi koruyun.