'19' ile Başlayan Şifrelerden Vazgeçmiyoruz
TSE Sızma Testi Uzmanı ve etik hacker Başaran: 'Şifrenizin doğum yılınız olduğunu bilirsem ve 30-35 yaşlarında olduğunuzu tahmin edersem 1980, 1981, 1982, 1983, 1984, 1985 olmak üzere en fazla beş tahminde pin kodunuza ulaşabilirim'
Türkiye'de tüm uyarılara ve bilinçlendirme çabalarına rağmen sanal ortamlarda kullanılan şifrelerin '19' ya da '123456' gibi ardışık sayılarla başlamasının önüne geçilemediği, bunun da bilgisayar korsanlarının işini kolaylaştırdığı bildirildi.
Türk Standartları Enstitüsü Bilişim Teknolojileri Test ve Belgelendirme Daire Başkanlığı Sızma Testi Uzmanı ve etik hacker Alper Başaran, AA muhabirine yaptığı açıklamada, '19' ile başlayan şifrelerin hackerler tarafından daha çabuk kırıldığı belirtti.
Bankaların, bankamatik veya kredi kartı şifrelerini belirlerken özellikle 'doğum tarihinizi kullanmayınız' uyarısı yapmalarının temel nedeninin, saldırganların bu parolayı tahmin etmelerinin kolay olmasından kaynaklandığına dikkati çeken Başaran, şunları söyledi:
'Şifrenizin doğum yılınız olduğunu bilirsem ve 30-35 yaşlarında olduğunuzu tahmin edersem 1980, 1981, 1982, 1983, 1984, 1985 olmak üzere en fazla beş tahminde pin kodunuza ulaşabilirim. Yaş aralığınızı tahmin etmeden bile 1900'den başlayarak 1999'a kadar olan sayıları deneyebilirim ve eğer pin kodunuz 19 ile başlayan bir sayıysa tahmin etmem oldukça kolaydır. Bizim için önemli olan ve sosyal medya hesaplarımız üzerinden ulaşılabilecek tarihleri pin kodu olarak kullanmamalıyız. Evlendiğimiz sene, mezuniyet yılımız, çocuğumuzun doğum yılı gibi tarihleri de kullanmak benzer riskler doğurabilir.'
Başaran, tüm uyarılara ve bilinçlendirme çabalarına rağmen kullanıcıların kolay şifre kullanmaktan vazgeçmediğini ifade ederek, bunun da bilgisayar korsanlarının işini kolaylaştırdığı anlattı.
Başaran, sık kullanılan parolalar konusunda ellerindeki en kapsamlı verinin, bir yazılım firmasının 130 milyondan fazla kullanıcısının parolalarının çalındığı olay olduğunu belirtti. Başaran, hackerlar tarafından yayınlanan kullanıcı bilgilerini incelediklerinde 1.9 milyondan fazla hesabın parolasının '123456', 500 bine yakın hesabın parolasının '123456789', 350 bine yakın hesabın parolasının 'password', 200 binden fazla hesabın parolasının '12345678', 130 binden fazla hesabın parolasının da 'qwerty' olduğunu aktardı.
KOLAY ŞİFRELERİ KIRMANIN SÜRESİ BİR SANİYEDEN AZ
Başaran, ortalama özelliklere sahip bilgisayar kullanan bir hackerin bu şifreleri kırmasının bir saniyeden daha az sürdüğüne işaret ederek, şöyle konuştu:
'Yaptığımız sızma testlerinde de gördüğümüz kadarıyla herhangi bir sistemi kullananlara basit parola kullanma imkanı verilirse, insanlar genellikle bu kolaylıktan faydalanıyor. Basit parola olarak adlandırdığımız parolalar, sadece rakamdan veya sadece harften oluşan parolalar veya sözlükte bulunan bir kelimenin parola olarak kullanılmasıdır. Bunun önüne geçmek için sistemler çeşitli zor parola kurallarının uygulanmasını mecbur tutarlar. Bu kurallar genellikle her parolada en az bir büyük harf, bir rakam ve '+,!,&,?' gibi bir özel karakter bulunması yönündedir.'
Nisan ayında hackerlar tarafından Türkiye'de bir bakanlığa ait olduğu iddia edilen bazı kullanıcı adları ve parolalar yayınlandığını dile getiren Başaran, 'Bunlar üzerinde yaptığımız incelemede gördük ki ilgili sistemin 'güçlü parola' kullanımını zorunlu tutan bir güvenlik mekanizması varmış ve her parolada en az bir harf ve bir özel karakter kullanılmasını mecbur tutmuş. Buna karşılık listede en sık karşılaştığımız parola '123456-a' idi. '-' ile özel karakter şartı ve 'a' ile en az bir harf şartı böylece yerine getirilmişti. İkinci sırada gördüğümüz parolalar ise isim ve yıldan oluşan, örneğin alper-1979 şeklinde oluşturulmuş parolalardı' ifadelerini kullandı.
- DHA