Söz konusu internet güvenliği ve kullanılan şifreler olduğunda, en sık karşılaştığımız önerilerden biri aklımıza gelir: “Şifrelerinizi belirli aralıklarla değiştirin!”. Peki bu yöntem güvenliğimiz açısından gerçekten doğru bir yöntem mi?
Bankalarda, okullarda, iş yerlerinde ve hayatımızdaki diğer birçok alanda düzenli olarak şifre değişikliği yapma önerisiyle karşılaşırız. Öyle ki halk arasında da düzenli olarak değiştirilen şifrelerin, hackerlar tarafından kolay bir şekilde ele geçirilemeyeceğine inanılır. Aslında bir standart güvenlik yöntemleri arasına giren bu işlem, sandığımız kadar güvenli değil. Sebebi ise kullanıcı alışkanlıkları.
Federal Ticaret Komisyonu teknoloji uzmanı Lorrie Cranor, Las Vegas’ta düzenlenen bir güvenlik konferansında bu duruma açıklık getiriyor. Özet olarak; belirli periyotlar ile değiştirilen şifrelerin daha güvensiz olduğuna dikkat çeken Cranor, bunu ise kullanıcıların eski şifreleri üzerinde çok az bir değişiklik yaparak yeni şifreleri oluşturmasına bağlıyor.
Kuzey Karolina Üniversitesi’nde yapılan araştırmalara göre şifrelerini düzenli olarak değiştiren kullanıcılar, “küçük harfi büyük harf yapma” gibi oldukça basit ve küçük değişiklikler ile yeni şifrelerini oluşturuyor. Bu duruma “transformasyon” adını veren araştırmacılar, hackerların da bu durumu gayet iyi bildiklerini vurguluyor. Dolayısıyla hackerların da bu tahmin edilebilir transformasyonları kendi script’lerine ve şifre kırmak için kullandıkları sistemlere dahil ettiği belirtiliyor.
Aynı araştırmalara göre, 90 günde bir şifre değiştirmeye zorlanan kullanıcılar, bir süre sonra “transformasyon” adı verilen belirli bir kalıbı izlemeye başlıyor. Kullanıcılar eski şifrelerini alıyor, üzerinde küçük değişiklikler yapıyor ve sonra yeni bir şifre oluşturmuş oluyor. Bu ise bir güvenlik zafiyeti oluşmasını sağlıyor.
Bir başka güvenlik uzmanı Bruce Schneier de yazdığı bir blog yazısında bu duruma katılıyor. Düzenli olarak şifre değiştirmenin kötü bir güvenlik tavsiyesi olduğunu yıllarca dile getirdiği belirten Schneier, bu tavsiyelerin kullanıcıları güvenlik açısında zayıf şifreler oluşturmaya zorladığına dikkat çekiyor.
Sonuç olarak; bir klasik haline gelen periyodik olarak şifre değiştirme yönteminin, tamamen kullanıcı alışkanlıklarından dolayı güvensiz hale geldiğini söyleyebiliriz. Ancak eski şifreler üzerinde küçük değişiklikler yapmadan, yani transformasyon olmadan tamamen yeni ve güçlü şifreler oluşturanlar, bu klasik güvenlik önerisini uygulamaya devam edebilir.
İLGİNİZİ ÇEKEBİLİR: