Bundan seneler önce yalnızca casuslar ve sistem yöneticileri parola belirleme konusunda tereddütler yaşıyordu. Ancak son yıllarda teknolojinin de hızla gelişmesiyle beraber parolalar çok daha önemli hale geldi. Bilgisayarı açarken, İnternet üzerinden alışveriş yaparken, sosyal medyadaki hesaplarımıza erişmeye çalışırken parolalardan faydalanıyoruz. Ancak çoğu insan halen bu gibi erişimler için basit parolalarla erişim sağlamaya çalışmaktadır.
Parola veri tabanları analiz edildiğinde, web sitelerinden çalınan parolaların birçoğunun güçsüz parolalardan oluştuğuna dair izlenimler elde edildi. En sık kullanılan basit parola örneklerinden birkaçı; “qwerty” , “123456”, “abc123” gibi örneklerle sıralanabilir. Ancak bu tip parolalar son derece güvensiz ve birkaç saniye içerisinde kırılması başarılabilecek şekilde oldukça basittir. Kelimeleri rakamlara çevirerek daha güçlü parola (“e”nin 3 olması, “i”nin 1 olması gibi) elde etme isteğiyse “Dictionary Attack” dediğimiz “Sözlük Saldırısı” yönteminin önünü açmaktadır çünkü kelimeyi harfe çevirme yöntemleri oldukça yaygın bir şekilde kullanılmaktadır. “Sözlük Saldırısı” yöntemini kısaca olası artarda parola denemeleri yaparak hesaplara saldırma yöntemi olarak açıklanabilir. Buradaki ana sebep ise, güçlü parolaların hatırlanması zor olduğundan tercih edilmemesi ve hatırlanması kolay olan parolaların da zayıf parolalardan oluşmasıdır.
Zayıf parolalar, dolandırıcılara, kimlik hırsızlarına, bilgi açığa çıkartılmasına olanak sağlar. Amerikan Telekom firması Verizon’un yapmış olduğu analize göre, hesaplara yetkisiz şekilde erişilmesindeki en kolay yöntemin tahmin edilebilir kolay parolalar olmasından kaynaklanıyor. Bazı parolalar ise virüslerin kolayca yayılmasına yol açıyor. Saldırıların yapılan işe değmesi için çok düşük bir yüzdesi bulunmakta, yani bütün saldırıların %1’i yapılan işe değer. Ayrıca çoğu site ve sistemde göreceli olarak kısa bir parola listesi bu %1’lik hesaba erişim sağlamaktadır.
Son yıllarda hızla artan parmak izi tarayan cihazlar, donanıma ihtiyaç duymasına rağmen çok daha iyi güvenlik çözümleri sunuyor. Parolalar ise yazılımla çalıştıklarından dolayı parmak izi donanımlarına göre oldukça ucuz maliyetler yaratmaktadır.
Çözüm ise, insanlar farkındalığı öğrenmeye başlayıp daha sonra bu kazanmış oldukları farkındalıklarla çok daha güçlü parolalar yaratabilmesini sağlamaktan geçiyor. Sistem parolalarının ilişkisiz kelimeler kullanılarak zihinsel görüntüyle de ilişkilendirerek oluşturulması da bir yöntem olarak gösterilebilir. Sistem parolaları, zorluk derecesi arttırılmış şekilde yapılacak düzenlemelerle kırılması zorlaştırılabilir. Cambridge Üniversitesi araştırmacılarının yapmış olduğu bir çalışmaya göre, kişiler ilişkisiz kelimelerden oluşan parolalar yaratmak yerine birbiriyle ilişkili kelimelerden oluşan (Örn; “Ölü Ozanlar Derneği” gibi) parolalar oluşturmayı tercih ediyorlar. Bunun gibi kelimelerden oluşturulan parolalarda yine “Sözlük Saldırısı” (Dictionary Attack) yönteminde zafiyetler oluşturuyor çünkü bunun gibi birbiriyle ilişkili kelimeler İnternet üzerinden kolayca bulunabiliyor. Birçok sistem de parolaların çok uzun olmasının kullanışsız bir yöntem olduğundan dolayı sınırlıyor.
Dünyanın sayılı güvenlik otoritelerinden biri olarak adlandırılan Bruce Schneiner tarafından açıklanan bir diğer yaklaşımsa, cümleyi parolaya dökme yöntemidir. Bu yöntemde, her kelimenin ilk harfini, rakamlardan seçimler ve noktalama işareti seçimlerini alarak parola oluşturmaktır. Örnek vermek gerekirse; “Hadi Bir Parola Yaratalım Ve Kullanalım” cümlesinin ilk harflerini alarak “h1py&k” şeklinde parola yaratmak gösterebiliriz. Bu yöntem; kişilerin kullandığı kolay hatırlanabilir film, şarkı adı gibi hatırlatıcı parolalar kullanarak zafiyet yaratılmasına çare olamaz. Yukarıda örneğini verdiğimiz bu yazı yazılana kadar güçlü olan, ancak artık zayıf olan parola türü ideal parola çeşidi olarak gösterilebilir.
Bazı Web siteleri, parolanın tahmin edilebilirliğini hesaplamak veya zayıf parolaları reddetmek, ayrıca parola veritabanlarının doğru şekilde şifrelenmiş olması ve kaç giriş denemesi yapılabileceğini limitlemek gibi yöntemlerle güvenliği geliştirmek için çabalar sarf etmektedir. Ancak daha fazla güvenlik için daha fazla Web sitesi bunun gibi önlemler almalıdır. Ancak kullanıcılar da sadece Web sitelerinin güvenlik önlemi almasıyla yetinmemeli, aksine kendi güvenliklerini için zihinlerini geliştirici daha güçlü parolalar kullanmalılar.
Rauf DİLSİZ