3. Güvenli şifreler nasıl oluşturulur ve muhafaza edilir

İçindekiler

...Loading Table of Contents...

    Bilgisayarlarımızda oturum açmaktan, e-posta göndermeye; hassas verileri şifrelemekten, gizlemeye kadar, önemli işlerimizi yerine getirmek için dijital teknolojiyi kullanırken rahat hissetmemizi sağlayan güvenli hizmetlerin birçoğu, bir şifre hatırlamamızı gerektirir. Bu gizli sözcükler, sözcük grupları ya da anlamsız karakterler dizisi, bilgileriniz ve onları izniniz olmaksızın okumak, kopyalamak, değiştirmek ve yok etmek isteyen herhangi biri arasındaki ilk ve çoğu zaman tek engeldir. Birinin şifrelerinizi öğrenmesinin birçok yolu vardır ancak belirli birkaç taktik uygulayarak ve KeePass gibi güvenli şifre veri tabanı kullanarak bunların birçoğuna karşı şifrelerinizi koruyabilirsiniz.

    Arka plan senaryosu

    Mansour ve Magda Arapça konuşulan bir ülkede, insan hakları ihlallerini ve siyasi değişim için kampanyayı anonim olarak bloglarında yayınlayan iki kardeştir. Magda kısa bir süre önce e-posta hesabına giriş yapmayı denedi ve şifresinin değiştirildiğini öğrendi. Şifreyi yeniden kurarak oturum açabildi ama gelen kutusunu açtığında birçok yeni mesajın 'okundu' olarak işaretlendiğini fark etti. Siyasi olarak motive olmuş bir saldırganın birçok web sitesi hesabında kullandığı şifresini öğrenmiş olmasından şüphelendi. Durumu anlatmak ve endişelerini dile getirmek için daha az bilgisayar bilgisi olan Mansour’la buluştu.

    Bu bölümden ne öğrenebilirsiniz

    • Güvenli bir şifrenin unsurları
    • Uzun ve karmaşık şifreleri hatırlamak için birkaç püf noktası
    • Şifreleri hatırlamak yerine onları depolamak için KeePass güvenli şifre veri tabanını nasıl kullanacağınızı

    Güvenli şifreleri seçmek ve muhafaza etmek

    Genellikle, bir şeyi korumak istediğinizde bir anahtarla onu kilitlersiniz. Evlerin, arabaların ve bisikletlerin kendi fiziksel kilitleri; korunan dosyaların şifreleme anahtarları; banka kartlarının PIN kodları; ve e-posta hesaplarının şifreleri vardır. Fiziksel ve elektronik bütün bu anahtarların tek bir ortak noktası vardır: Bu anahtarlar başkalarının eline geçtiğinde de kilitledikleri kilitleri açarlar. Gelişmiş güvenlik duvarları, güvenli e-posta hesapları ve şifrelenmiş sürücüler kurabilirsiniz ama şifreniz zayıfsa ve onun yanlış ellere geçmesine izin verirseniz bunların size bir faydası olmayacaktır.

    Güçlü bir şifrenin unsurları

    Bir şifre, bir bilgisayar programı için tahmin etmesi güç olmalıdır.

    • Şifreniz uzun olmalı: Şifre uzadıkça bir bilgisayar programının kabul edilebilir bir zaman diliminde onu tahmin edebilmesi daha az olasıdır. On ya da daha fazla karakter içeren şifreler oluşturmaya çalışmalısınız. Bazı insanlar çoğu zaman 'passphrases' olarak adlandırılan, aralarında boşluk olsun ya da olmasın, birden fazla sözcük içeren şifreler kullanır. Bu kullandığınız program ya da hizmetin yeterince uzun şifreler seçmenize izin verdiği sürece çok iyi bir fikirdir.
    • Şifrenizi karmaşık kılın: Uzunluğa ek olarak bir şifrenin karmaşıklığı da 'şifre kırıcı' yazılımların karakterlerin doğru kombinasyonunu tahin etmesini engellemeye yardım eder. Mümkünse şifrenize daima büyük ve küçük harfler, sayılar ve noktalama işaretleri gibi simgeler dahil edin.

    Bir şifre başkaları için tahmin etmesi güç olmalıdır.

    • Şifrenizi pratik kılın: Hatırlayamadığınız için şifrenizi bir yere yazmak zorundaysanız, masanızı açıkça gören; geçici bir süre için evinize, cüzdanınıza ve hatta ofisinizin dışındaki çöp tenekesine erişen herhangi biri karşısında sizi zayıf kılabilecek tehditlerin yeni bir kategorisiyle yüzyüze kalabilirsiniz. Uzun ve karmaşık ama yine de hatırlanabilir bir şifre düşünemiyorsanız, aşağıda yer alan Güvenli şifreleri hatırlamak ve kaydetmek kısmının yardımı olabilir. Yardımı olmazsa, yine güvenli bir şifre seçin ama şifrenizi KeePass gibi güvenli bir şifre veri tabanına kaydedin. Microsoft Word belgeleri dahil şifre korumalı diğer türden dosyalara bu amaç için güvenilmemelidir. Çünkü bu tür dosyaların şifrelerinin birçoğu internetten ücretsiz olarak edinilebilecek araçlar kullanılarak saniyeler içinde kırılabilir.
    • Şifrenizi kişisel kılmayın: Şifreniz sizinle kişisel olarak ilişkili olmamalıdır. Adınızla, sosyal güvenlik ve telefon numaranızla, çocuğunuzun ve evcil hayvanınızın adıyla, doğum gününüzle ya da birinin sizin hakkınızda küçük bir araştırmayla öğrenebileceği herhangi bir bilgi üzerinde temellenen bir sözcük ya da sözcük öbeği seçmeyiniz.
    • Şifrenizi sır olarak saklayın: Kesinlikle gerekmediği sürece şifrenizi kimseyle paylaşmayınız. Ve şifrenizi bir arkadaşınız, aile üyeniz ya da bir meslektaşınızla paylaşmak zorundaysanız onu önce geçici bir şifreyle değiştirmelisiniz, ardından şifrenizi kullanmaları bitince onu yeniden değiştirmelisiniz. Çoğu zaman bir şifreyi paylaşmanın alternatif yolları vardır; örneğin erişime gereksinim duyan kişiler için ayrı hesaplar oluşturmak. Şifrenizi sır olarak saklamak, şifrenizi yazarken ya da güvenli şifre veri tabanından şifrenize bakarken kimin omzunuzun üzerinden şifrenizi okuduğuna dikkat etmek anlamına gelir.

    Bir şifre birinin onu öğrenmesi durumunda tehlikeyi en aza indirecek şekilde seçilmelidir.

    • Şifrenizi benzersiz kılın: Aynı şifreyi birden fazla hesap için kullanmaktan kaçının. Aksi halde o şifreyi öğrenen herhangi biri hassas verilerinizden daha fazlasına erişim elde edecektir. Bu, bazı hizmetlerin bir şifrenin kırılmasını göreceli olarak kolay kılmasından dolayı özellikle doğrudur. Örneğin, Windows kullanıcı hesabınız ve Gmail hesabınız için aynı şifreyi kullanıyorsanız bilgisayarınıza fiziksel olarak erişebilen herhangi biri öncekini kırabilir ve öğrendiğini sonrakine erişmek için kullanabilir. Benzer nedenlerden dolayı şifreleri farklı hesaplar arasında dönüşümlü olarak kullanmak da kötü bir fikirdir.
    • Tazeliğini koruyun: Şifrenizi düzenli aralıklarla değiştirin tercihen en azından her üç ayda bir. Bazı insanlar belirli şifrelere oldukça bağlanır ve hiçbir zaman değiştirmez. Bu kötü bir fikirdir. Bir şifreyi ne kadar uzun saklarsanız başkalarının onu tahmin etmek için daha fazla fırsatı olur. Ayrıca biri sizin çalınmış şifrenizi, siz farkında olmaksızın, bilgilerinize ve kullandığınız hizmetlere erişmek için kullanabilirse şifrenizi değiştirinceye kadar bunu yapmaya devam edeceklerdir.

    Mansour: Ya başkasına güvenirsem? Sana şifremi söylemem sorun olmaz, değil mi?

    Magda: Şifren konusunda bir başkasına güvenmen onların şifrene iyi bakacağı anlamına gelmiyor, değil mi? Şifrenle kötü bir şey yapmayacak olsam da onu bir yere yazabilirim ve kaybedebilirim ya da bunun gibi bir şey. Şu an yaşadığım sorun bunun gibi bir nedenden bile kaynaklanmış olabilir! Dahası bu sadece güven sorunu değil. Şifreni bilen tek kişi sensen, hesabını biri ele geçirirse kimi suçlayacağın konusunda endişelenerek vakit kaybetmen gerekmez. Örneğin şimdi şifremi hiçbir zaman yazmadığım ve kimseyle de paylaşmadığım için birilerinin şifremi tahmin ettiğinden ya da onu 'kırdığı'ndan eminim.

    Güvenli şifreleri hatırlamak ve kaydetmek

    Yukarıdaki öneriler listesine bakarak, fotografik belleği olmayan birinin bu uzun, karmaşık ve anlamsız şifreleri bir kenara yazmaksızın nasıl izini kaybetmeyeceğini merak ediyor olabilirsiniz. Her hesap için ayrı bir şifre kullanmanın önemi bunu daha da zor kılıyor. Hatırlaması kolay ama gelişmiş şifre kırıcı programlar kullanan akıllı bir kişinin bile tahmin etmesi güç olan şifreler oluşturmanıza yardım edecek birkaç püf noktası bulunmaktadır. Özel olarak bu amaç için geliştirilmiş olan KeePass gibi bir araç kullanarak şifrelerinizi kaydetme seçeneğiniz de bulunmaktadır.

    Güvenli şifreleri hatırlamak

    Bir şifre seçerken farklı karakter tipleri seçmek önemlidir. Bu çeşitli şekillerde yapılabilir:

    • Büyük harf kullanımını çeşitlendirerek, örneğin: 'My naME is Not MR. MarSter'
    • Sayıları ve numaraları birbirinin yerine kullanarak, örneğin: 'a11 w0Rk 4nD N0 p14Y'
    • Belirli simgeleri dahil ederek, örneğin: 'c@t(heR1nthery3'
    • Farklı dilleri birleştirerek, örneğin: 'Let Them Eat 1e gateaU au ch()colaT'

    Bu yöntemlerin her biri aksi halde basit olacak olan şifrelerin karmaşıklığını arttırmaya yardım eder ve şifrenizi ezberleme fikrinden tamamen vazgeçmeksizin güvenli bir şifre seçmenize yardımcı olur. Daha yaygın olan yer değiştirme yöntemlerinin bazıları ('o' yerine sıfır ya da 'a' yerine '@' simgesini kullanmak gibi) uzun zaman önce şifre kırma araçlarına dahil edildi ama bunları kullanmak hâlâ iyi bir fikirdir. Bunlar, bu tür araçların bir şifreyi öğrenmesi için gereken zamanı uzatır ve bu tür araçların kullanılamadığı daha yaygın durumlarda şanslı tahminleri engellemeye yardım eder.

    Şifre yaratırken, kısaltmaların kullanımı gibi daha geleneksel bir yöntemden (mnemonic devices) de yararlanılabilir. Bu, uzun sözcük öbeklerinin karmaşık görünüşlü sıradan sözcüklere çevrilmesine izin verir:

    • 'To be or not to be? That is the question' '2Bon2B?TitQ'a dönüşür
    • 'We hold these truths to be self-evident: that all men are created equal' 'WhtT2bs-e:taMac='a dönüşür
    • 'Are you happy today?' 'rU:-)2d@y?'e dönüşür

    Bunlar sözcükleri ve sözcük öbeklerini, kendiliğinden karmaşık ve ezberlenebilir kılmak için kendi şifreleme yönteminizi geliştirmenize yardım edecek birkaç örnektir.

    Şifreyi daha karmaşık kılmak için gösterilecek küçük bir çabanın güvenliğiniz için büyük bir etkisi vardır. Sadece birkaç karakter bile olsa şifrenin uzunluğunu artırmak ya da sayılar ya da özel karakterler eklemek şifrenin kırılmasını daha güç kılar. Aşağıda yer alan tablo bir hacker'ın şifre kombinasyonlarını birbiri ardına deneyerek, karmaşıklığı gitgide artan şifreleri kırmasının ne kadar süreceğine göstermektedir.

    <table border="1"> <tbody> <tr> <th>Örnek Şifre </th> <th>Gündelik kullanımdaki bir bilgisayarla kırması için gerekli zaman</th> <th>Çok hızlı bir bilgisayarla gerekli olan zaman</th> </tr> <tr> <td>bananas</td> <td>Bir günden az</td> <td>Bir günden az</td> </tr> <tr> <td>bananalemonade</td> <td>2 gün</td> <td>Bir günden az</td> </tr> <tr> <td>BananaLemonade</td> <td>3 ay, 14 gün</td> <td>Bir günden az</td> </tr> <tr> <td>B4n4n4L3m0n4d3</td> <td>3 yüzyıl, 40 yıl</td> <td>1 ay, 26 gün</td> </tr> <tr> <td>We Have No Bananas</td> <td>19151466 yüzyıl</td> <td>3990 yüzyıl </td> </tr> <tr> <td>W3 H4v3 N0 B4n4n45</td> <td>20210213722742 yüzyıl</td> <td>4210461192 yüzyıl</td> </tr> </tbody> </table>

    Elbette yukarıdaki şifrelerden herhangi birinin kırılması için gerekli zaman, saldırının doğasına ve saldırganın elinin altındaki kaynaklara bağlı olarak çeşitlilik göstermektedir. Dahası şifre kırmak için sürekli yeni yöntemler geliştirilmektedir. Ne olursa olsun bu tablo, karakterleri değiştirmenin, iki sözcük ya da daha da iyisi bir sözcük öbeği kullanmanın şifreleri kırmayı daha güç hale getirdiğini göstermektedir.

    Yukarıdaki tablo Passfault'un hesaplamalarına dayanmaktadır. Passfault, şifrenizin gücünü sınamanıza olanak veren birkaç web sitesinden biridir. Bununla beraber bu tür kaynaklar, farklı türden şifrelerin göreli etkililiğini sergilemek için iyi olsalar da bu sitelere gerçek şifrenizi girmekten kaçınmalısınız.

    Şifreleri güvenli olarak kaydetmek

    Bir parça yaratıcılık, tüm şifrelerinizi hatırlamanızı sağlayabilirken; bu şifreleri düzenli aralıklarla değiştirme gereksinimi, yaratıcılığınızı hızla tüketmeniz anlamına gelir. Alternatif olarak, birçok hesabınız için rastgele güvenli şifreler oluşturabilirsiniz ve tümünü hatırlama fikrinden tamamen vazgeçebilirsiniz. Şifrelerinizi hatırlamak yerine KeePass gibi taşınabilir, şifrelenmiş güvenli bir şifre veri tabanına bu şifreleri kaydedebilirsiniz.

    Uygulama: KeePass - Güvenli Şifre Depolama Rehberi ile uygulamaya başlayın

    Elbette bu yöntemi kullanırsanız KeePass ya da hangi aracı seçerseniz o araç için oldukça güvenli bir şifre oluşturmanız ve bu şifreyi hatırlamanız özellikle önemli hale gelir. Oluşturduğunuz bu 'master' şifre, belirli bir hesabın şifresine ulaşmak istediğiniz her seferinde kullanmanız gereken tek şifredir. Bu yöntem, yukarıdaki tüm önerileri yerine getirmenizi oldukça kolaylaştırır. <i>KeePass taşınabilirdir, bu da öncelikli olarak, kullandığınız bilgisayardan uzakta bir şifreye bakmanız gerektiğinde veri tabanını bir USB belleğe yükleyebileceğiniz anlamını gelir.

    Her ne kadar çok sayıda hesabı yönetmek zorunda olan herhangi biri için bu en iyi seçenek olsa da bu yöntemi kullanırken birkaç çekinceyi göz önünde bulundurmalısınız. KeePass veri tabanınızın yedeğini almanız çok önemlidir. Yedekleme stratejileri konusunda Veri Kayıpları nasıl kurtarılır başlıklı 5. Bölüm'e bakınız. Veri tabanınızın şifrelenmiş olması, veri tabanınızın bir kopyasını içeren bir USB belleği ya da yedekleme sürücüsünü kaybettiğinizde paniklemek zorunda olmadığınız anlamına gelir.

    İkinci başlıca çekince çok daha önemli olabilir. KeePass master şifrenizi unutursanız şifrenizi ya da veri tabanının içeriğini kurtarmanızın hiçbir yolu yoktur. O halde hem güvenli hem de akılda kalıcı bir master şifre seçtiğinizden emin olun!

    Belirli durumlarda bu yöntemin gücü onun zayıflığı haline gelebilir. Birileri sizi Keepass veri tabanı master şifrenizi vermeye zorlarsa, o kişi, bu Keepass veri tabanındaki bütün şifrelerinize erişim elde edecektir. Karşılaşabileceğiniz durum buysa Keepass veri tabanınızı hassas bir dosya olarak ele alabilirsiniz ve onu 4. Bölüm: Bilgisayarınızdaki hassas dosyaları nasıl korursunuz'da açıkladığımız gibi koruyabilirsiniz. Ayrıca, daha hassas bilgileri koruyan şifreleri içeren ayrı bir Keepass veri tabanı oluşturabilir ve bu veri tabanı için ek önlemler de alabilirsiniz.

    Mansour: Bir dakika. KeePass diğer şifrelerini korumak için tek bir master şifre kullanıyorsa bu tüm hesapların için aynı şifreyi kullanmaktan nasıl daha güvenli olabilir? Demek istediğim kötü niyetli biri master şifreni öğrenirse her şeye erişim elde eder, doğru mu?

    Magda: Bu iyi bir düşünce. Master şifreni korumanın çok önemli olduğu konusunda haklısın ama birkaç önemli farklılık var. Bunların birincisi, bu kötü niyetli kişinin sadece şifrene değil KeePass veri tabanı dosyana da ihtiyacı olması. Tüm hesapların için aynı şifreyi kullanırsan, sadece senin şifrene gereksinim duyacaktır. Dahası KeePass’in aşırı güvenli olduğunu biliyoruz, değil mi? Oysa diğer programlar ya da web sitelerinin bu kadar güvenli olup olmadığını bilmiyoruz. Bazıları diğerlerine göre daha güvenli olabilir ve birilerinin zayıf bir web sitesini kırmasını ve ardından da orada öğrendiklerini kullanarak daha güvenli bir hesaba girmek için kullanmasını istemezsin. Üstelik bir şey daha var. KeePass master şifreni değiştirmeni oldukça kolay kılar.

    Okuma önerileri