Geçtiğimiz haftalarda “The Economist” dergisi bilgisayar şifrelerine ayrılmış bir makale yayınladı.
Derginin bilgisayar şifelerine ayırdığı makalenin başlığı, “Bir Amerikan telekomünikasyon firması olan Verizon’un yaptığı araştırmaya göre, güvenlik açıklarının en büyük sebebi kolay tahmin edilebilen şifrelerdir” şeklindeydi.
Aşağıdaki kısım özellikle uygulama geliştiricileri ilgilendiren bir alıntı olarak dikkat çekiciydi.
Siteler için bariz olan yöntem, tıpkı nakit makinelerinde olduğu gibi, erişim bloklanmadan önce yapılan tahminlerin kısıtlanmasıdır. Ancak, Google ve Microsoft gibi en büyük sitelerin bunu kullanmasına rağmen, çoğu site bu yöntemi uygulamamaktadır. 2010 yılında Bonneau ve partneri Sören Preibusch tarafından incelenen örnek 150 sitenin 126 tanesinin tahminlere limit koymadığı ortaya çıkmıştır.
Bu durumun ne zaman ortaya çıktığı tam olarak net değil. Bazı siteler için, kredi kartı bilgileri gibi önemli bilgileri barındırmadıkları için gevşeklik çok mantıksız olmayabilir, fakat şifre gevşekliği güvenliği sağlam olan siteler için bile sorunlar doğurabiliyor, çünkü insanlar genelde aynı şifreleri birçok farklı sitede kullanıyor.
Bir iddia ise sıkı olmayan şifre güvenliğinin internetin masum gençliğinden kalma olduğunu söylüyor, örneğin bir akademik araştırma ağının saldırganlardan (hacker) çok korkması gerekmez. Başka bir olasılık ise çoğu sitenin, başlangıçta programlamaya ayırabilecekleri zamanlarının çoğunu çalan güvenlik yazılımlarını atladıkları, güvenliği arttırmak için limitli bir sermayeleri olduğu, ve zaman geçtikçe de bu güvenliği arttırmaya gerek duymamaları; ancak neden her ne olursa olsun, sitelerini yapmak için sabredemeyenlerin, işlerini bir araya getirip geleneksel şifreleme yöntemlerine yeni alternatif bulmaları gerekmektedir.
Kendi sitenizi tasarlarken, şifreleme yöntemini nasıl yönettiğiniz hayati önem taşır.
Bazı öneriler olarak:
– Belli bir sayıda yanlış şifreden sonra hesabın bir süreliğine de olsa kilitlenmesi.
– En yaygın kullanılan şifrelere izin verilmemesi. Bu şifrelerin listesini internetten bulmak mümkündür.
– Kullanıcılar yeni şifre oluştururken onlara başka sitelerde kullandıkları şifreyi kullanmamaları gerektiğinin hatırlatılması.
– Chip shop yönteminin kullanılması. Yani şifrenin cleartext formatında depolanmaması.