Ýzmir Ekonomi ve Ege üniversiteleri araþtýrmacýlarý, internet þifreleri üzerinde yaptýðý çalýþmanýn sonucunu açýkladý... Çalýþma boyunca 2 bin 564 þifre üzerinde araþtýrma yapýldý, bazý paralolar 5 dakika gibi bir zamanda kýrýldý... 2 ve 3 karakterli tüm þifreler kýrýlýrken, 4 karakterli þifrelerin yüzde 96'sýnýn, 5 karakterlilerin yüzde 42'sinin, 6 karakterlilerin yüzde 31'inin, 7 karakterlilerin yüzde 4'ünün, 8 karakterlilerin yüzde 2'sinin kýrýlabildiði anlaþýldý...

Ýzmir Ekonomi ve Ege üniversiteleri araþtýrmacýlarýnýn “Türk Kullanýcýlarýnýn Parola Seçimindeki Eðilimleri” baþlýðý altýnda 2 bin 564 internet þifresi üzerinde yaptýðý çalýþmada, þifrelerin yüzde 30'unun kolaylýkla kýrýlabildiði belirlendi.

Ýzmir Ekonomi Üniversitesi Bilgisayar Mühendisliði Bölümü Öðretim Görevlisi Ýlker Korkmaz, Ege Üniversitesi Uluslararasý Bilgisayar Enstitüsü Öðretim Üyesi Prof. Dr. Mehmet Emin Dalkýlýç ile birlikte hazýrladýklarý “Türk Kullanýcýlarýn Parola Seçimleri” isimli araþtýrma sonuçlarýna iliþkin bilgi verdi.
Korkmaz, bilgisayar sistemlerindeki parolanýn, sisteme baðlanan kullanýcý kimliðinin doðrulanmasý amacýyla kullanýldýðýný anýmsattý.

Parola seçiminde, kullanýcýlarýn genelde hatýrlanmasý kolay ve kýsa parolalar seçtiklerinin bilinen bir yöntem olduðunu belirten Korkmaz, bu tür parolalarýn bilgisayar korsanlarý için kolay hedef olduðunu ve tek bir “zayýf” kullanýcý parolasýnýn bile tüm sistemin güvenliðini tehlikeye düþürebildiðini vurguladý.

GERÇEK ÞÝFRELER KIRILDI

Korkmaz, akademik çalýþmalarýnda, güvenilir kaynaklardan elde ettikleri ve bir sistemde kullanýlan 2 bin 564 gerçek Türkçe parolayý seçtiklerini ve çeþitli yöntemlerle bilimsel veriler kullanýlarak “þifreleri kýrmaya” çalýþtýklarýný anlattý.

Ýlker Korkmaz, bu parolalarýn gizlilik nedeniyle araþtýrma kapsamý dýþýnda hiçbir þekilde kullanýlmadýðýný bildirdi.

Çalýþmanýn ilk bir aylýk sürecinde tüm parolalarýn yüzde 30'una karþýlýk gelen 777'sinin tahmin edilebilir özellikte olduðunun belirlendiðini ifade eden Korkmaz, denenen parolalarýn yüzde 5'inin beþ dakika içinde, yüzde 10'unun da ilk gün içinde tahmin edilebildiðini kaydetti.

Korkmaz, çalýþma sonucunda elde ettikleri verilere iliþkin þu bilgileri verdi:

“Kýrýlan 777 parolanýn 564'ü sadece sayýsal karakter içeriyor. Sadece rakam dýþýnda hiçbir karakter kullanmadan parola seçen kullanýcý sayýsý azýmsanmayacak oranda. Ayrýca, kýrýlan parolalarýn büyük oranýnýn sadece rakamlardan oluþmasý, bu tür parolalarýn zayýf olduðunu gösteriyor.

2 - 3 KARAKTERLÝ TÜM ÞÝFRELER KIRILIR

Kýrýlan parolalar arasýnda sadece 32 parola, en az bir Türkçe alfabeye ait karakter içeriyor. 2 bin 564 Türk kullanýcýsý içinde yüzde 98'den daha fazlasý, parola seçiminde Türkçe karakter tercih etmiyor. Tümü sayýlardan oluþan parolalarýn büyük oraný, 3 karakterli þifrelerin tamamý kýrýldý. Türk kullanýcýlarýn parolalarýnýn yüzde 73'ünde en az 1 rakamsal karakter, yüzde 39'unda en az 1 büyük harf kullandýðý ortaya çýktý.”

Ýlker Korkmaz, 2 ve 3 karakterden oluþan tüm þifrelerin kýrýlabildiðine iþaret ederek, 4 karakterli parolalarýn yüzde 96'sýnýn, 5 karakterlilerin yüzde 42'sinin, 6 karakterlilerin yüzde 31'inin, 7 karakterlilerin yüzde 4'ünün, 8 karakterlilerin yüzde 2'sinin kýrýlabildiðini bildirdi.

Korkmaz, Türk kullanýcý parolalarý üzerine bulgulara ulaþýlan çalýþma sonuçlarýnýn Türk kullanýcý eðilimleri olarak belirtilmiþ olsa da diðer ülke kullanýcýlarý için de genel olarak benzediðini kaydederek, “Ýnternet kullanýcýlarýna akýlda kolay kalabilecek ve ayný anda da karýþýk karakterli þifreleme yöntemlerini tavsiye ediyoruz” dedi.

Dünya çapýndaki bazý araþtýrmacýlarýn parola seçiminde çeþitli öneriler getirdiklerini belirten Korkmaz, “Araþtýrmacýlar, kullanýcýnýn kendilerini anlatan anlamlý bir cümledeki kelimelerin ilk harflerini bir araya getirerek parola yapýlabileceðini belirtiyor. Buna örnek olarak, 'Ben 3 yýldýr mühendislik eðitimi alýyorum, memnunum' cümlesi gösterilebilir. Bu cümlenin baþ harfleriyle oluþturulan 'B3yMea,m' parolasýndaki gibi; internet kullanýcýlarýna, kolay hatýrlanabilen ve ayný anda da zor kýrýlabilecek kendilerine ait cümlelerin baþ harfleriyle þifreleme yapmalarý önerilebilir” dedi.

ÖNERÝLER

Korkmaz'ýn verdiði bilgiye göre, araþtýrma sonucunda belirlenen zayýf parola nitelikleri þöyle sýralanýyor:

“Parola uzunluðunun 7 karakterden az olmasý, parolanýn 'zayýf' olarak nitelendirilmesine yetiyor. Karakterlerin tümünün rakamsal ya da alfabetik olmasý, sayýsal karakterlerle sonlandýrýlmasý da zayýf parolaya neden oluyor.

Parolanýn uzunluðunun 7 karakterden büyük olsa da kullanýcý bilgisinin, parolada sözlüklerde yer alan bir kelimenin, özel bir ismin bulunmasý da zayýf olmasýna yetiyor.”

“Güçlü” parola nitelikleri ise þöyle sýralanýyor:

“Parolanýn içerdiði karakterlerde en az 1 rakam ve en az 1 büyük harf olacak þekilde, parolada hem sayýsal, hem de alfabetik karakterler birlikte kullanýlmalý.
Parolada, en az 1 harf veya rakam olmayan noktalama iþareti gibi özel bir karakter içermeli.

Kullanýcýlarýn yalnýz kendi alfabelerinde yer alan harflerden en az birini kullanmasý þifrenin kýrýlma olasýlýðýný düþürüyor. (Türk kullanýcýlar için, 'ç,ð,ý,ö,s,ü' karakterleri gibi.)”