5.1 Şifrelerin Kırılması
CERT/CC (Computer Security Incident Response Team / Coordination Center) şifre kırma konusunda 1998 yılında yaptığı bir araştırmanın sonuçlarını yayınlamıştır. Bu rapora göre sistemlerin üzerinde fazla sayıda şifre dosyası bulunmaktadır. Saldırganların elinde 186.126 adet kullanıcı hesabı ve bunların şifrelenmiş şifreleri vardır. Şifre dosyalarının sistemlerden toplandığının fark edildiği anda, saldırganlar bu şifrelenmiş şifrelerin 47.642 tanesini şifre kırma aracı ile başarılı bir şekilde çözmüşlerdir.
Şifre kırma işlemi, güvenlik uzmanları ve saldırganlar tarafından üzerinde sürekli çalışılan ve gelişim içerisinde olan bir bilimdir. Hızlı bilgisayarlar ve etkin programlar ile dakikada binlerce şifreyi test edilebilmektedir. Bir çok şifre kırma programı, genel olarak kullanılan kelimeler, isimler ve geçmişte sıkça kullanılmış şifreleri içeren listeleri deneyerek işleme başlamaktadır. Bir sonraki adım, saldırılan kullanıcı ile ilgili olarak bilinen kelimeleri içeren listeleri oluşturmaktır. Saldırgan, brute-force yöntemini kullanarak olabilecek bütün harf, rakam ve noktalama işaretleri ile oluşturulan kombinasyonları denemektedir.
Bu bilgiler doğrultusunda tahmin edilmesi güç şifreler seçmenin önemli olduğu görülmektedir. Bu da kullanıcıları hatırlanması zor şifreler seçmeye zorlamaktadır ki bu durumda istenmeyen başka bir uygulama gerçekleşecek ve kullanıcılar şifrelerini bir kenara yazacaklardır.
Şifre seçiminde dikkat edilecek noktalar şunlardır:
-
Sistemdeki kullanıcı ismi şifre olarak seçilmemelidir.
-
Kullanıcı ilk adını ya da soyadını kullanmamalıdır.
-
Eş, çocuk ya da evcil hayvanın adları kullanılmamalıdır.
-
Doğum tarihi, telefon numarası, araba plakası gibi kişisel bilgiler kullanılmamalıdır.
-
Sözlükte yer alan kelimeler seçilmemelidir, çünkü birçok şifre kırma programı sözlükleri kullanmaktadır.
-
Şifrelerin tamamı rakamlardan ya da aynı harften oluşmamalıdır.
-
Alfabedeki harfleri karıştırılarak bir şifre oluşturulmalıdır. Şifre harf, rakam ve noktalama işaretleri karıştırılarak oluşturulabilir. Ayrıca büyük ve küçük harfler karışık olarak kullanılmalıdır. $, ~, £ gibi özel karakterlerin kullanılması tavsiye edilmektedir.
-
Şifreyi bir yere not etmek durumunda kalmamak için hatırlaması kolay şifre seçilmelidir. Kullanıcı kendisine göre bir şifre biçimi geliştirebilir. Böylece farklı sistemler için şifre belirlerken ve şifresini hatırlarken zorlanmayacaktır.
-
Aynı şifre birden fazla sistemde kullanılmamalıdır. Aksi takdirde hesaplardan biri ele geçirildiğinde diğer sistemlerdeki hesaplar da ele geçirilebilir.
-
Hızlı bir şekilde yazılabilen şifreler seçilmelidir. Böylece saldırganın kullanıcıyı klavyeden şifre girerken takip etmesi güçleşecektir.
Güvenilir şifre yaratmak ve daha sonra bunu hatırlamak için hatırlamayı kolaylaştıracak söz öbekleri kullanılmalıdır. Örneğin bir cümledeki, şarkı sözü veya tekerleme gibi, kelimelerin ilk harflerini alarak ve bunları büyük ve küçük harfler ya da aralarına rakam ve noktalama işaretleri yerleştirerek şifre oluşturulabilir ya da bazı harfler için dönüştürmeler, O harfi için sıfır rakamı kullanmak gibi, yapılabilir.
Dostları ilə paylaş: |