Parolalara dikkat!

Elektrik Mühendisleri Odası (EMO) Ankara Şubesi’nin düzenlemiş olduğu 3. Ağ ve Bilgi Güvenliği Sempozyumu geçtiğimiz hafta sonunda gerçekleştirildi. “Bilgi ve Toplum” temasıyla Atılım, Başkent ve Çankaya üniversiteleriyle birlikte düzenlenen sempozyumda ilginç ve önemli bildiriler sunuldu. Bana ilginç gelen bildirilerde, herkes için oldukça uyarı vardı. Doğrusu içinde yaşadığımız topluma “bilgi toplumu” diyenler var. Belki de “parola toplumu” desek daha doğru olur. Her birimizin girdiğimiz sitelerden, banka hesaplarındaki kartlara kadar onlarca şifresi var.
• • •
Bu şifreler ne kadar güvenli? Ege Üniversitesi’nden İlker Korkmaz’ın “Türk Kullanıcıların Parola Seçimindeki Eğilimleri” başlıklı bildirisi bu açıdan önemli. Şifreler, “güçlü ve kolay” şifreler olarak ikiye ayrılıyor. Kolay şifreler, kullanıcının kendisi dışındaki kişilerin çeşitli yazılımlarla daha kolay kıırabildikleri parolalar olarak tanımlanıyor. Bu tür parolalar sadece kullanan kişinin değil aslında tüm ağın güvenirliğini önemli ölçüde zayıflatabiliyor.
Parola kırıcılar, kırmak için kolay parolaları hedefliyorlar. Kolay parolalar arasında kişinin, ya da kişinin bir yakınının adı ve soyadı yanında kişiliklere özgü bilgileri kullanarak yapılan parolalar. Örneğin ismin ilk harflerinden bazılarının ve soyadının bazı karakterlerinin doğum günüyle birlikte kullanılması kolay şifreler arasında yer alıyor. Eğer parolanız dört karakterin altındaysa kesinlikle kırılabiliyor. Eğer sekiz karakterli bir parola kullanıyorsanız, kırılma olasılığı yüzde 45.
• • •
Yurtdışında yapılmış önemli araştırmalardan birinde, piyasada veya internette de bulunan bazı yazılımlarla 14 bin parolayı kırmak amaçlanmış. İki hafta sonra tüm parolaların yüzde 25’i kırılabilmiş. İlker Korkmaz ve arkadaşları da 2.564 kullanıcı üzerine Türkiye’deki parola kullanım alışkanlıklarını araştırmışlar.
Bu araştırmanın sonuçlarına göre, Türkiye’deki kullanıcıların yüzde 23’ü en az 1 rakam kullanıyor. Bu kişilerin yüzde 38’i bir büyük harf kullanıyor. Kullanıcıların  sadece yüzde 12’si Türkçe karakter kullanıyor. Türkiye’deki kullanıcıların tümüyle rakam kullanma eğilimleri oldukça yüksek. Bütün bu eğilimler Türkiye’deki kullanıcı profilinin ciddi bir bölümünün zayıf parolalar kullandığını ortaya koyuyor. Çünkü güçlü parolalar yaratabilmek için hem küçük harf, hem nümerik hem de en az bir büyük harf kullanmak gerekiyor. Hele alfabetik karakterlerden biri Türkçe’yse parolanın güçlülük derecesi bir o kadar artıyor, çünkü sözlükler kullanılarak yapılan saldırıların yabancılardan kaynaklı olanları başlamadan engellenmiş oluyor.
• • •
Türkiye’de hem kullanıcıların hem de parola dağıtan kuruluşların yapması gerekenler var.  Kullanıcıların bu konudaki farkındalık düzeyinin arttırılması gerekiyor. Parola dağıtanlarınsa, parola verirken  güçlü parolaların üretilmesi doğrultusunda yönlendirme yapmaları, parolaların belli bir yapıda olmasını sağlamalarında yarar var.
• • •
Bir başka ilginç araştırma da Atilla Bostan’ın bir üniversitede yaptığı “yemleme” deneyi. Yemleme, bir elektronik posta aracılığıyla, alışık olduğunuz sitenin benzerine yönlendirilmeniz, sonrasında da parolalarınızı kendi ellerinizle üçüncü kişilere vermeniz olarak tanımlanıyor. Burada kullanılan IP numaralarından hareketle güvenliği sağlayan “güvenli soket” uygulamaları var, ama pek çok site bu teknolojiyi gereği gibi kullanamıyor. Böylesi durumlarda “güvenli olmayan bir siteye” girdiğiniz, “devam edip etmeyi istemediğiniz” soruluyor. Herkes bu soruya “evet” yanıtı verme eğiliminde, çünkü sistemdeki pek çok sitede bu açıdan bir özensizlik var.
Bostan, bir üniversite sitesinin yerine sahtesini kurup, bir e-postayla öğretim üyelerinin girmesini istemiş. E-posta gönderilip de okuyan bütün kullanıcılar, sahte siteye girip öğrenci not sistemine ilişkin parolalarını teslim etmişler! Oysa hepsine güvenli olmayan bir siteye girildiği uyarısını sistem yapmış. İnsanların bu uyarıyı dikkate almamalarının nedeni, özgün sitenin de güvenli soket uygulamasındaki eksiklik nedeniyle sürekli bu uyarıyı veriyor olması. Bostan, bu tür güvenli soket hatası olan sitelerin çeşitli tarama yazılımları ile saptanabileceğini ve bu durumun büyük tehlike oluşturduğunu anlattı. Ders almakta yarar var.