İzmir Ekonomi ve Ege universiteleri araştırmacılarının ''Turk Kullanıcılarının Parola Secimindeki Eğilimleri'' başlığı altında 2 bin 564 internet şifresi uzerinde yaptığı calışmada, şifrelerin yuzde 30'unun kolaylıkla kırılabildiği belirlendi.
İzmir Ekonomi Universitesi Bilgisayar Muhendisliği Bolumu Oğretim Gorevlisi İlker Korkmaz, Ege Universitesi Uluslararası Bilgisayar Enstitusu Oğretim Uyesi Prof. Dr. Mehmet Emin Dalkılıc ile birlikte hazırladıkları ''Turk Kullanıcıların Parola Secimleri'' isimli araştırma sonuclarına ilişkin AA muhabirine bilgi verdi.
Korkmaz, bilgisayar sistemlerindeki parolanın, sisteme bağlanan kullanıcı kimliğinin doğrulanması amacıyla kullanıldığını anımsattı.
Parola seciminde, kullanıcıların genelde hatırlanması kolay ve kısa parolalar sectiklerinin bilinen bir yontem olduğunu belirten Korkmaz, bu tur parolaların bilgisayar korsanları icin kolay hedef olduğunu ve tek bir ''zayıf'' kullanıcı parolasının bile tum sistemin guvenliğini tehlikeye duşurebildiğini vurguladı.
GERCEK ŞİFRELER KIRILDI
Korkmaz, akademik calışmalarında, guvenilir kaynaklardan elde ettikleri ve bir sistemde kullanılan 2 bin 564 gercek Turkce parolayı sectiklerini ve ceşitli yontemlerle bilimsel veriler kullanılarak ''şifreleri kırmaya'' calıştıklarını anlattı.
İlker Korkmaz, bu parolaların gizlilik nedeniyle araştırma kapsamı dışında hicbir şekilde kullanılmadığını bildirdi.
Calışmanın ilk bir aylık surecinde tum parolaların yuzde 30'una karşılık gelen 777'sinin tahmin edilebilir ozellikte olduğunun belirlendiğini ifade eden Korkmaz, denenen parolaların yuzde 5'inin beş dakika icinde, yuzde 10'unun da ilk gun icinde tahmin edilebildiğini kaydetti.
Korkmaz, calışma sonucunda elde ettikleri verilere ilişkin şu bilgileri verdi:
''Kırılan 777 parolanın 564'u sadece sayısal karakter iceriyor. Sadece rakam dışında hicbir karakter kullanmadan parola secen kullanıcı sayısı azımsanmayacak oranda. Ayrıca, kırılan parolaların buyuk oranının sadece rakamlardan oluşması, bu tur parolaların zayıf olduğunu gosteriyor.
Kırılan parolalar arasında sadece 32 parola, en az bir Turkce alfabeye ait karakter iceriyor. 2 bin 564 Turk kullanıcısı icinde yuzde 98'den daha fazlası, parola seciminde Turkce karakter tercih etmiyor. Tumu sayılardan oluşan parolaların buyuk oranı, 3 karakterli şifrelerin tamamı kırıldı. Turk kullanıcıların parolalarının yuzde 73'unde en az 1 rakamsal karakter, yuzde 39'unda en az 1 buyuk harf kullandığı ortaya cıktı.''
İlker Korkmaz, 2 ve 3 karakterden oluşan tum şifrelerin kırılabildiğine işaret ederek, 4 karakterli parolaların yuzde 96'sının, 5 karakterlilerin yuzde 42'sinin, 6 karakterlilerin yuzde 31'inin, 7 karakterlilerin yuzde 4'unun, 8 karakterlilerin yuzde 2'sinin kırılabildiğini bildirdi.
Korkmaz, Turk kullanıcı parolaları uzerine bulgulara ulaşılan calışma sonuclarının Turk kullanıcı eğilimleri olarak belirtilmiş olsa da diğer ulke kullanıcıları icin de genel olarak benzediğini kaydederek, ''İnternet kullanıcılarına akılda kolay kalabilecek ve aynı anda da karışık karakterli şifreleme yontemlerini tavsiye ediyoruz'' dedi.
Dunya capındaki bazı araştırmacıların parola seciminde ceşitli oneriler getirdiklerini belirten Korkmaz, ''Araştırmacılar, kullanıcının kendilerini anlatan anlamlı bir cumledeki kelimelerin ilk harflerini bir araya getirerek parola yapılabileceğini belirtiyor. Buna ornek olarak, 'Ben 3 yıldır muhendislik eğitimi alıyorum, memnunum' cumlesi gosterilebilir. Bu cumlenin baş harfleriyle oluşturulan 'B3yMea,m' parolasındaki gibi; internet kullanıcılarına, kolay hatırlanabilen ve aynı anda da zor kırılabilecek kendilerine ait cumlelerin baş harfleriyle şifreleme yapmaları onerilebilir'' dedi.
ONERİLER
Korkmaz'ın verdiği bilgiye gore, araştırma sonucunda belirlenen zayıf parola nitelikleri şoyle sıralanıyor:
''Parola uzunluğunun 7 karakterden az olması, parolanın 'zayıf' olarak nitelendirilmesine yetiyor. Karakterlerin tumunun rakamsal ya da alfabetik olması, sayısal karakterlerle sonlandırılması da zayıf parolaya neden oluyor.
Parolanın uzunluğunun 7 karakterden buyuk olsa da kullanıcı bilgisinin, parolada sozluklerde yer alan bir kelimenin, ozel bir ismin bulunması da zayıf olmasına yetiyor.''
''Guclu'' parola nitelikleri ise şoyle sıralanıyor:
''Parolanın icerdiği karakterlerde en az 1 rakam ve en az 1 buyuk harf olacak şekilde, parolada hem sayısal, hem de alfabetik karakterler birlikte kullanılmalı.
Parolada, en az 1 harf veya rakam olmayan noktalama işareti gibi ozel bir karakter icermeli.
Kullanıcıların yalnız kendi alfabelerinde yer alan harflerden en az birini kullanması şifrenin kırılma olasılığını duşuruyor. (Turk kullanıcılar icin, 'c,ğ,ı,o,s,u' karakterleri gibi.)''
AA
__________________