Güvenli şifre oluşturmak için nelere dikkat edilmelidir?

Ciddiyetten belki biraz sıyrılacak özür dilerim ama bu karikatür gerçekten özetliyor :)

Bugüne kadar "Güvenli şifre oluşturamadınız" uyarısı aldığımda yaptığım hataları yazarsam yardımcı olabilirim sanırım:

1. Birbirini tekrar eden rakamlar kullandınız.
2. Doğum yılınız şifreniz olamaz.
3. Parola ve Şifreniz aynı olamaz.
4. Şifreniz min. 6 karakter olmalıdır.
5. Şifreniz mutlaka bir rakam içermelidir.
6. Şifreniz mutlaka bir büyük harf içermelidir.
7. Şifreniz son kullandığınız 5 şifre ile aynı olamaz.

"Bu kadar yazıyı kim okuyacak"lar bkz. en alt paragraf
Parolalar konusunda önde giden yanlış kanı, parolanın hatırlanmasının zor olması gerekliliğidir. Söylediğim cümlenin Türkçesi: "Eğer hatırlayamayacağım kadar zor bir parola belirlesem parolam kırılamaz" düşüncesi yanlıştır. Bilgisayarlar bizim hatırlayamayacağımız bir çok şeyi bizden çok daha yüksek hassasiyette hatırlayabilir. Bilgisayarları zorlamak istiyorsak hafızayı kullanamayız. Bunun yerine bilgisayarın işini zorlaştırabiliriz. Bilgisayarların işini zorlaştırmak için parola sahip olabileceği en yüksek entropi değerine sahip olarak seçilmelidir. Entropi burada şifrenin zorluğunu ifade eden bir kavram olarak basitleştirilebilir. Devamı için en.wikipedia.org/wiki/entropy

Entropi parolanın uzunluğu ve kullanılan parola alfabesinin büyüklüğüyle alakalıdır. (tam teknik teriminin parola alfabesi olduğundan emin değilim) Parola alfabesinin büyüklüğü sahip olduğu karakter tiplerine bağlıdır. Örneğin abcd şeklindeki bir şifrenin alfabesini İngilizce küçük harfler diye tanımlayabilirken aşç[email protected] parolasında hem Türkçe'den hem özel harflerden elemanlar vardır.

Bu doğrudan çıkarım yapılarak iyi şifrenin saçma sapan olması düşüncesini getirir fakat bu az önce bahsettiğim hatırlama güçlüğünü, sonuçta aynı şifrelerin tekrar tekrar kullanılmasını, bu da bir kere kırıldıktan sonra saldırı sözlüklerinde bu şifrenin bulunması anlamına gelir ki bu hiç de iyi bir parolanın sahip olduğu özellikler değildir.

Sapık bir tutkuyla parolalarda entropi konusuna bağlıysanız: tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-...

Diğer herkes için:

(xkcd.com/936)

Entropiyi artırmak için birbiriyle alakasız kelimelerden oluşan uzun bir parola seçersek ve bu kelimelerin içinde Türkçe karakterler de bulundurursak kırılması pek mümkün olmayan, güvenli adlandırabileceğimiz parolalara sonunda kavuşmuş oluruz. Hatırlanabilir olması da bahsettiğim nedenlerden ötürü önemlidir.

Parola güvenliğini test etmek için şu site kullanılabilir
howsecureismypassword.net

TL;DR
Parola uzun olsun, biraz mantıklı olsun, unutulmayacak cinsten bir şey olsun.

Şifrenin içinde harf, rakam ve karakter ( * + - ... ) kullanılarak sağlam ve akılda kalacak bir şifre oluşturulmalı.

Olaya tersinden bakalım. Güvenli şifre oluşturmak istemen, şifreni çaldırmak istememendir. Peki şifreni nasıl çaldırabilirsin ?

1. Kelime listesi : 12345, şifre, bunlarla dolu bir wordlist var şifreni çalmak isteyenlerin ellerinde. Bu yüzden tahmin edilemeyen bir şifre seç, örneğin kitap isimleri, teknik terimler gibi terimleri kendince değiştir "kimulanimbus" gibi. Ama unutma, istediğin kadar karakterde girsen, büyük küçük harfte girsen, asıl problem bundan sonraki maddelerden kaynaklanıyor.
2. Local hırsızlık : Üniversite, kütüphane gibi yerlerden girme, yada bilgisayarını şüphe duyduğun kişileri oturtma. Key loglama işlemi özellikle üniversitelerde yaygın kullanılır. Ki, kullanmadan önce bilgisayarı, sistemi kapatıp açman tavsiyemdir.
3. Mail, site : Mailinden ve sitelerden güvenmediğin dosyaları alma. Hatta bir rivayete göre bazı siteler, cookie'lerini öyle akıllı bir şekilde çalıştırıyorlar ki, senin şifren hakkında tahmin yürütebiliyor. Reklam mailleri de bu şekilde çalışıyor.
4. Mail güvenliği : Şifrelerini istediğin mail adresini iletişim için kullanma. Hatta bu mail adresine girerken, tarayıcındaki cookieleri temizlen daha yararlı olacaktır.
5. Firewall : Çoğu antivirüs içerisinde artık firewall yazılımı dahili de gelse, yinede biraz fikir edinip, kendine uygun iyi bir tane seçip, buna müdahele etmen şifre güvenliğin için güzel olacaktır.

Sayı ve tuş kombinasyonu kur. İyi olur.
Not: İleri teknoloji en garanti şifre parmak izimiz olacak :) yani en azından daha bilgisayara gelmedi bu teknoloji :)

Güvenli bir şifre sizin gerçek bilgilerinizi içermemesi önemlidir. Mesela adınızı, soyadınızı, memleketinizi. Şifrenizde büyük harf, rakam, ve değişik karakterler kullanmalısınız. Bunları karışık olarak kullanırsanız daha güvenli olur. Eğer e-posta içinse ayrıca mobil güvenlik ile de koruma yapabilirsiniz.