Şifrelerimiz ‘dostumuz’ mu?

Tolga Mırmırık

Kimlik doğrulama gerektiren herhangi bir yazılım uygulamasında en çok kullanılan fonksiyonun “giriş / login” olması çok şaşırtıcı değildir ama bunun kadar yoğun kullanılan diğer fonksiyonun da “şifremi unuttum/hatırlamıyorum” olduğu, ilk etapta pek akla gelmeyebilir.

Özellikle banka uygulamalarındaki belirli dönemlerde zorunlu olarak yaptığınız değişiklikler sırasında karşınıza çıkan, “yeni şifreniz, daha önce kullanmış olduğunuz beş şifreniz ile aynı olamaz” uyarısını aldığınızdaki ruh hallerinizi ve neler hissettiğinizi hatırlıyor musunuz? Özelde firmanın, genelde de yazılımcıların kulaklarının çok çınlatıldığını kendi deneyimlerimden biliyorum diyebilirim.

Ben, gerçekten ben miyim sorunu...

Bilişim uygulamalarının yaygınlaşması öncesindeki dönemlerde sadece bir banka yetkili çalışanının kullanım hakkına açık olan elektronik fon transfer emri girişi, görev kritik fonksiyona bir örnek olabilir. Daha önceden bir kişisel ya da kurumsal banka hesabından farklı bir hesaba para transfer emrinin sisteme girilmesi, o banka görevlisi tarafından sizin adınıza yapılırken, artık o emri siz, elinizdeki küçük, mucizevi ve büyülü(!) cihaz ile girebiliyorsunuz. Yani her ay maaşınızı banka hesabınızda görebildiğiniz o sihirli 2 saat içinde bankanızın sistemine eklemiş olduğunuz her emir, ev sahibine iletilmesini istediğiniz kira ödeme emri, elektrik ya da su dağıtım şirketlerinin ana hesaplarına geçecek her fatura ödemeniz aslında bu işlem gücünüzün en iyi örneği.
Bu tür uygulamalarda, yapılabilecek her işlemin gerçekten sizin tarafından yapılıp yapılmadığını belirlemenin yolu bir kimlik doğrulama adımından geçmek. Günümüzde bu, çoğunlukla, müşteri ya da kimlik numarası yanında, sadece size özel olan ve sizin bildiğiniz bir şifre girişi ile yapılıyor. Yüz tanıma sistemleri, parmak izi okuma sistemleri, retina tarama gibi farklı teknolojiler kullanılsa da hepsinin ortak olarak yaptığı şey, uygulamayı kullanacak olan sizin, gerçekten de siz olduğunuzu sisteme gösterebilmek. Fiziksel bir hasara maruz kalmadığınız sürece diğer yöntemlerde çok sorun yaşamasanız da en az sekiz karakter olan, hem küçük hem de büyük harfleri barındıran, içinde tekrar etmeyen ve ardışık olmayan en az iki rakamın olduğu ve bir de özel bir karakter kullandığınız anlamsız şifrenizi unutmanız çok daha olası.

Termodinamiğin ikinci yasası...

Yazı başında kulaklarını çınlattığımız yazılımcılar, şifre belirleme kural setlerini belirlerken, siz kendinizi kötü hissedin, her iki ya da üç ayda bir şifre bulabilmek için saçınızı başınızı yolun diye bir düşünce içinde değiller aslında. Matematiksel kurallar çerçevesinde biraz da mecburiyetten hep bu zorlamalar.
Özünü bilgi entropisinden miras alan ve “şifre entropisi” denilen, şifrelerin, bilgisayarlar tarafından tahmin edilebilme zorluğunu hesaplamakta kullanılan bir değere dayanıyor aslında bu sinir bozucu kurallar. Şifre entropisi, şifrelerde kullanılan her karakterin ait olduğu setin büyüklüğü (İngilizce için küçük harfler seti 26, büyük harfler seti 26, rakamlar 10, ünlem, nokta, virgül vb. özel karakterler de 32 gibi düşünebilirsiniz) ile, şifrenizin uzunluğu değerleri kullanılarak, Lise 1’de gördüğümüz basit bir logaritma hesabı ile bulunuyor. 2005 yılında “Internet Engineering Task Force” (IETF) tarafından yayınlanan makale, bu hesaplama sonucunun basit internet siteleri için minimum 30 olması gerektiğini öneriyor.

Örneğin “Tolga” şifresinde hem büyük harf hem de küçük harf bulunduğu için set büyüklüğü 26+26=52 oluyor. Şifrenin beş karakterden oluşması yüzünden bu şifrenin entropisi, “28.5” çıkıyor (formülü yazı sonunda bulabilirsiniz). Yazılım geliştiriciler, sizlerin kimliklerinizi korumak amacıyla bu rakamın yaklaşık olarak 50-55 arasında olmasını sağlayan şifreleri kullanmanız için sizleri zorluyor. Bu gereksinimi karşılamanın en basit yolu da o gördüğünüz sekiz karakter, büyük küçük harf, rakam ve özel karakterlerden oluşan bir dizi oluşturmak. Örneğin, “Tolga12$” bunu karşılayabiliyor (52).

Deyiver ‘dost’, öyle gir!

Yarattığı efsanevi evren diğer yazarlar tarafından da kült eserler yaratılmasını sağlamış olan, çağımızın en iyi yazarlarından John R.R. Tolkien’in Yüzüklerin Efendisi üçlemesini okumuşsunuzdur ya da hiç olmazsa filmi izlemişsinizdir. İlk kitapta, Yüzük Kardeşliği’nin, Durin’in Kapıları’ndan geçmesi için kullanmaları gereken şifreye ait apaçık olarak gördükleri bir ipucu vardır: “Deyiver ‘dost’, öyle gir”! Kapı şifresinin farklı dildeki “dost” kelimesi olması oldukça başarılı bir kurgudur. Büyük derdimiz koyduğumuz şifreleri unutmak olsa da siz yine de bu kadar bariz bir şekilde çözülebilen bir şifre hatırlatıcı ipucunu klavye altı ya da monitör kenarındaki not kâğıdı gibi görünür bir yerde tutmasanız daha iyi olur. İyi haftalar…

* Şifre entropisi hesabı için formül
(E = <şifre uzunluğu> X log(toplam set büyüklüğü) / log(2))