Tipik bir internet kullanıcısıysanız 5-6 şifreniz vardır. Akılda tutmak için post-it'e mi yazıyorsunuz? Daha iyi bir yolu olmalı


Tipik bir internet kullanıcısıysanız, ortalama 6,5 şifreniz vardır ve bunların her birini günde sekiz kez yazmak zorunda kalıyorsunuz demektir. İşvereniniz de size her üç ayda bir şifrenizi yeniletiyordur. Muhtemelen bir an gelmiş, bir sürü şifreyi ezberlemenin imkânsızlığı karşısında şifrenizi ya bir post-it’in üzerine çiziktirerek ya da kendinize e-postala***** şifre güvenliğinizi tehdit edebilecek bir hareket de yapmışsınızdır.

Bunun daha iyi bir yolu olmalı. İşte bu daha iyi yol Carnegie Mellon Üniversitesi’ne bağlı Cylab’de şekilleniyor. Bu laboratuvarda öğretim üyeleri sadece şifrelerin ardındaki matematik teorileri değil, insanların şifreleri kullanış şekli üzerine de çalışıyor. Cylab’deki uzmanlar gözdeki iris tabakasının taranması (filmlerde müthiş gelse de gerçek hayatta pahalı ve hatalı sonuçlar veriyor) gibi biyometrik uygulamalara kuşkuyla yaklaşıyor ve sıradan insanların şifrelere mahkûm olduğunu kabul ediyor. Elde ettikleri bulgular bir şifrenin sağlamlığına dair bilinen her şeyi şüpheli hale getiriyor. Ayrıca [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] insanları radikal bir tavırla, şifrelerle baş etmenin imkânsız bir hal aldığı durumlarda size, yani kullanıcıya, şifreyi unuttuğu için bağırıp çağırmak yerine kulak verilmesi gerektiğini belirtiyor.

CyLab’den Lorrie Cranor’ın “kullanışlı güvenlik” alanındaki öncü çalışmalara belki de herkesten çok emeği geçti. Okulun Kullanışlı Gizlilik ve Güvenlik Laboratuvarı’nı kuran Cranor, okutulan ders kitabının yazarı ve dünyada ender rastlanan bu dersi veriyor. Cranor’ın işinin büyük kısmı, geleneksel şifreleme anlayışındaki açıkları araştırmaktan ibaret. Örneğin, “hatırlamayı kolaylaştırıcı şifre” modasının -Beatles’ın şarkısı “Lucy in the sky with diamonds”ın “Litsw/d” şeklinde şifre olarak kullanılması gibi ipliğini pazara çıkardı. Araştırmalar gösterdi ki, insanlar şifrelerini genellikle çok bilinen sinema replikleri, şarkı sözleri ve reklâm sloganlarından seçme eğiliminde. Bu ise baş harflerden oluşturulan şifrelerin hackerlar tarafından, eskiden düşünüldüğünden çok daha rahat kırılabilmesi demek. Daha güvenli bir yaklaşımsa, tam bir cümleyi şifre olarak kullanmak. Şifre cümlelerin hatırlanması genellikle daha kolay ve temel matematiğin göstereceği gibi, kolay hatırlanabilir uzun bir şifreyi toplam 16 harften ibaret bile olsa- kırmak birtakım kısaltmalardan oluşturulmuş kısa bir şifreye göre kat be kat daha zor.
Cümlelerin şifre olarak kullanılması fikri yeni değil. Ancak kimse bugüne kadar size bundan bahsetmemişti, çünkü yıllar boyunca, bir şifrenin karmaşıklığı sağlamlığının da bir nevi tek belirleyicisi sayıldı. Oysa AT&T Laboratuvarları’ndan Willam Cheswick’e göre bir sürü harf, rakam ve noktalama işaretinin oluşturduğu bu karmaşıklık sonucu “bir şifre faşizmine” yol açtı. Bu ise “kullanışlı güvenlik” konusunda [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] yapan kişileri çılgına çeviriyor, çünkü şifre kırmak için gerçekleştirilen otomatik saldırıların yerini artık “yemleme” (yasa dışı yollarla bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmek) denen yöntem aldı. Yani kandırılan bilgisayar kullanıcısı şifresini -ne kadar karmaşık olursa olsun, fark etmez- kendi eliyle hacker’a veriyor artık.

Yemlemeye karşı mücadele etmenin bir yolu tek kullanımlık şifreler. Özel cihazlarca üretilen bu şifrelerin bir defa kullanıldıktan sonra geçerliliği kalmıyor. Şirketlerin çalışanlarına internet sunucusuna uyan anahtar ve tek kullanımlık şifre vermesi eskiden pahalıya gelirdi, fakat maliyetler düştü. Artık Avrupa’da ev ATM makineleri yaygınlaştı. Aslında hepimizin elinin altında işe yarayabilecek bir alet var: Cep telefonu. CyLab’den Adrian Perrig kullanıcının belli bir sitede şifresini girdiği ve çok kısa bir zamanda mesajla geçici bir şifre aldığı bir düzenek tasarladı. Artık hiçbir şeyi akılda tutmaya gerek yok. Akademik araştırmaların genelde başına geldiği gibi, sektörün bu araştırmanın farkına varması da zaman aldı. Fakat zamanla, bir yandan yaşanabilecek ciddi bir güvenlik zaafı, bir yandan da kullanıcıların bir sürü şifreyle uğraşmaktan bıkması sonucunda, muhtemelen insanlar daha kullanışlı bir güvenlik yaklaşımına daha sıcak bakmaya başlayacak.