Bu yazıyı okuyan birçok insanın da bildiği, uzun zamandır internette dolaşan garip bir deney var. Önce ekranda beliren basit matematiksel işlemleri kafamızdan yapmamız, daha sonra işlemler bitince bizden “bir renk ve bir alet” düşünmemiz isteniyor. Hemen sonrasında ekranda şu yazılar çıkıyor “Aklına ‘kırmızı çekiç’ geldi değil mi?”

Gerçekten de testi yapan insanların -bahsedildiği gibi yüzde 98’i olmasa da- yarıdan fazlasının aklına ilk gelenin “kırmızı çekiç” olduğu bazı deneylerle doğrulanmış. Neden böyle olduğuyla ilgili de birçok teori var. Bütün bu ayrıntılara/nedenlerine girmeden, kendi alanımızdan baktığımızda benzer bir durumla karşı karşıya olduğumuzu görüyoruz.

Konumuz şifreler…

Siber Güvenlik dünyasında hem şirketler ve çalışanları hem de bireysel kullanıcıların ilk ve en önemli savunma hattı olan şifrelerin önemi bilinse de en çok ihmal edilen konuların başında geldiği bir gerçek. Gelin bu gerçekliği şöyle destekleyelim…

1-123456
2-123456789
3-12345
4-1234567
5-Qwerty
6-Princess
7-Welcome
8-abc123
9-123123
10-654321
11-password
12-12345678
13-111111
14-sunshine
15-iloveyou
16-admin
17-666666
18-football
19-monkey
20-!@#$%^&*

Yapılan araştırmaya göre yukarıdaki liste 2018 yılında en çok kullanılan ilk 20 şifre. 1. sıradaki “123456” ve 2. sıradaki “password” son 5 yılın şampiyonları olarak yerlerini koruyor. Bilgiler 2018 yılında dünya genelinde yaşanmış siber saldırılar sonucu şifrelerini kaptırmış yaklaşık 5 milyon kullanıcı verisinden oluşturulmuş durumda. Yine araştırmaya göre dünyadaki her 100 kullanıcıdan 3’ü şifre olarak “123456” kullanıyor. Bu durum teoride şu anlamda: eğer 100 kişilik bir şirketiniz varsa ve herhangi bir erişim yetkilendirme ya da çok faktörlü doğrulama gibi bir önleminiz yoksa, bir saldırgan güvenlik duvarınızla, şifrelenmiş sunucularınızla hiç uğraşmadan sisteminize sızabilir, tüm bilgilerinize ulaşabilir. Hem de 100. değil, 34. denemesinde.

Peki şifrelerimiz ve açtıkları bilgi kapıları bu kadar önemliyken neden böyle bir tabloyla karşılaşıyoruz?

Bu sorunun ne yazık ki net bir cevabı yok. İnsanlar kolaya kaçtıklarından, kolay hatırlayacakları bir şey olmasını istediklerinden, gerçekten önemsemediklerinden ya da bana bir şey olmaz diyerek bunu yapıyor olabilirler. Seçenekleri çoğaltmak mümkün… Fakat “kırmızı çekiç” etkisini de atlayamayız. Bu kısma gelmeden önce ise bazı kavramları açıklamamıza izin verin.

Şifre güvenliği mevzu bahis olunca ilk bilinmesi gereken, saldırganların en sık kullandığı yöntem olan “Brute Force” yani “Kaba Kuvvet” saldırısı. Bu saldırıda saldırgan, elinde bir bilgi bulunmamasına rağmen rastgele şifreler deneyerek doğru şifreye ulaşmaya çalışır. Genellikle yukarıdaki gibi “en çok kullanılanlar” gibi basit şifreler başta olmak üzere birçok şifreden oluşan bir liste hazırlanır ve bir yazılım yardımıyla şifresi bulunmak istenen hesaba giriş yapabilmek için tek tek denenir. Yazılım doğru şifreyi bulduğunda bir sinyal vererek durur. Saldırının başarısı, saldırganın şifre listesinin kapsamına, kullanıcının şifresinin karmaşıklığı gibi faktörlere bağlıdır.

Bir saldırganın, saldırı için kullandığı listeyi belirleyemeyeceğimize göre elimizde kalan en etkili yöntem yeterince karmaşık ve güvenli bir şifre belirlemek. Peki bu “güvenliliği” sağlayan durum nedir? Ya da bir çoğumuzun düşündüğü gibi “karmaşık” şifreler yeterince güvenli midir?

Bir şifrenin güvenli olup olmadığını “olasılık kümesine” bakarak söyleyebiliriz. Olasılık kümesini ne kadar büyütürsek şifrelerimiz o kadar güvende olacaktır. Teorik olarak Brute Force saldırılarının yeterince zaman ve işlemci gücü sağlandığı takdirde kıramayacağı bir şifre yoktur. Bu süre aylar, yıllar bile olabilir ama basit şifreler için aylar, yıllar değil dakikalar ve hatta saniyeler bile yeterli olabilir.

Şimdi şifre güvenliği ve olasılık kümesini şöyle açıklayalım; Bunun için temelde 2 faktör önemlidir.

• • • Şifre uzunluğu
    • Karakter derinliği

Şifre uzunluğu bildiğimiz şifre uzunluğudur ve şifremizin kaç karakterden oluştuğudur. Karakter derinliği ise şifremizdeki bir karakter için kaç farklı seçim yapabildiğimizdir. Şöyle bir örnekle durumu netleştirelim;

Diyelim ki bankanız kredi kartınız için 4 basamaklı, binary (0-1) sayılardan oluşan bir şifre belirlemenizi istedi. Şifre uzunluğunuz 4 karakter ve her karakterin derinliği de 2’dir. (0 ya da 1) Bu durumda ihtimal kümemiz 16 olur (2^4=16). Yani birbirinden farklı en fazla 16 şifre vardır ve bu 16 şifreden birini seçmemiz gerekir. Bankanızın kartınızı bloke etmeden 3 deneme hakkı verdiğini söylersek, kredi kartınızı ele geçiren bir kişi 16’ da 3 ya da yaklaşık yüzde 19 ihtimalle doğru şifreyi bulacaktır.

Diğer bir banka ise kredi kartı şifreleri için normalde kullandığımız sistemi uyguluyor ve sizden 4 basamaklı ve 0-9 arası rakamları kullanarak bir şifre belirlemenizi istiyor. Bu durumda ihtimal kümemiz 10000 oldu (10^4 = 10000). Gördüğümüz gibi şifre uzunluğumuz aynı olmasına rağmen basamak derinliği arttığı için ihtimal kümemiz 16’ dan 10000’ e çıktı. Kredi kartınızı ele geçiren bir kişinin, şifrenizi kartınız bloke olmadan bulabilme olasılığı artık yüzde 19 (16 da 3) değil, yüzde 0.03 (10000 de 3) oldu. Peki yüzde 0.03 olasılık, yüzde 19 olasılıktan daha güvensiz olabilir mi? Cevap hem evet hem hayır…

Şimdi artık baştan beri söylediğimiz “kırmızı çekiç” kısmına gelebiliriz.

İnsanların çok büyük bir kısmı kendilerinden 4 basamaklı sayısal bir şifre belirlenmesi istendiğinde doğrudan doğum tarihleri, evlilik yıldönümleri, mezuniyet tarihleri gibi kendileri için özel ya da 0000, 1234 gibi hatırlanması kolay şifrelere yöneliyor. Bu sayı o kadar çok ki bankaların bu rakamlar ya da varyasyonlarını seçmemeniz için özel şifre politikalarını görmüşsünüzdür. Siber dünyadaki saldırganlar, insanların düşünebileceği ve hesaplayabileceği her şeyi hesaplayarak harekete geçiyorlar. Yani 4 basamaklı şifrenizi kırmak isteyen kişi 10000 olasılık arasından rastgele değil de önce bu “özel” sayılardan başlaması gerektiğini biliyor ve saldırılarını buna göre düzenliyor. Yalnızca kredi kartları ve sayısal şifreler için değil, yapılan araştırmalar gösteriyor ki; insanlar şifrelerini çoğunlukla hayatlarında en çok değer verdikleri şeyler, hobileri, müzik grupları gibi şeylerden seçiyor.

Şimdi olayı biraz daha “karmaşık” hale getirelim. Bu kez 4 basamaklı bir kredi kartı şifresi değil de, rakam, harf ve özel karakterlerin olduğu bir şifreyi ele alalım;

Diyelim ki siz bir yemek şirketinin yöneticisisiniz ve en sevdiğiniz sebze karnabahar. İnternet hesaplarınız için kullandığınız şifre de “karnabahar01!” yerine daha “karmaşık” ve birçok şirketin “güvenli” şifre politikasını karşılayan “K4rn484h4rO1!” (8-16 karakter, büyük-küçük harf, özel karakter, rakam içeren…).

Bu durumda “K4rn484h4rO1!”, “karnabahar01!” den daha mı güçlü?

Ne yazık ki 2 şifre arasında büyük bir fark olmadığını söylemek zorundayız. Saldırganların teknikleri ve kullandıkları programlar o kadar gelişmiş durumda ki, A yerine 4, B yerine 8 kullanacağınızı tahmin edip, bütün varyasyonları kendi kendine üretip deneyebiliyor. Hem de eskiden çok uzun zaman alan bu deneme süresi artık çok çok kısa. Lafın kısası; iki şifre arasındaki en büyük fark, birinin daha zor okunuyor olması…

Hazır şirketlerin şifre politikalarından söz açılmışken, bu durumun da kendi kendine nasıl bir sorun haline geldiğinden de bahsedebiliriz. Şifre politikaları normalde şirket çalışanlarının şifrelerini zorlaştırmasında ve dolayısıyla şirket bilgilerinin korunmasında etkin bir rol üstlenmesi için oluşturuluyor. Yazının başından beri insanların şifre konusunda belirli yatkınlıklarının olduğunu ve bu yatkınlıkların saldırganlar tarafından çok iyi şekilde bilindiğini aktarmaya çalıştık. Bu yatkınlık ve yatkınlığın bilinilirliği, şirketlerin şifre politikaları için de geçerli. Basit bir örnek vermek gerekirse: Eğer bir şirket, çalışanlarından 8-16 karakter arasında bir şifre belirlemelerini istiyorsa, bu şifre çoğu insan için 11 karakterli ve kişinin telefon numarası olma eğiliminde. Eğer harf ve özel karakterler gibi zorunluluklar varsa şifrenin başına kişinin isminin baş harfi sonuna da bir “!” işaretiyle sorun çözülüyor. Yine “özel” tarihlerin varyasyonları, ismin baş harfi ve en sona konulan özel karakterler de yaygın olarak kullanılabiliyor.

Bu örnekler ne yazık ki senaryo gereği üretilmiş değil, aksine sürekli karşımıza çıkan olaylar.

Sanki şifrelerimizi kötü niyetli kişilere kaptırmaktan başka çaremiz yokmuş gibi bir anlam çıkmasın. Yukarıdaki örnekler sıkça yaşanılan ve ne kadar farkındalık oluşturulmaya çalışılsa da önüne geçilemeyen durumlar.

Peki ne yapmalıyız?

• Öncelikle, şifreleriniz uzun ve karmaşık (derin) olsun.
• Şifrenizin içinde kişisel bilgilerinizi kullanmamaya özen gösterin.
• Şifrenizi kesinlikle kimseye söylemeyin. (söyleyenler var, biliyoruz)
• Şifrenizi düzenli olarak değiştirin.
• Her kullanıcı hesabınız için farklı bir şifre kullanın.

Bunlar kullanıcıların şifrelerini güvene almaları için önerilerimiz.

Öte yandan, şirketler için daha kapsamlı çözümlere ihtiyaç var. Bu nedenle şifrelerin ele geçirilmesi sonucu yaşanabilecek veri sızıntısını önlemek için kurumlar mutlaka Privileged Access Management (Ayrıcalıklı Oturum Yönetimi), Identity&Access Management (Kimlik ve Erişim Yönetimi) ve Multi Factor Authentication (Çok Faktörlü Doğrulama) teknolojilerinden kendi ihtiyaçlarına uygun olanlarını bütünlüklü bir strateji çerçevesinde kullanmalı.

Bu yazıda güvenli şifrelerle ilgili en temel bilgileri aktarmaya çalıştık.

Şifre güvenliğiyle ilgili daha detaylı bilgi almak, eğitimlerimizden faydalanmak ve siber güvenlik, KVKK, GDPR, BGYS ve ISO27001 ile ilgili tüm sorularınız ve ihtiyaçlarınız için bizimle iletişime geçebilirsiniz.

---