Konu: Şifre faşizmi

[Yargıç]

Şifre faşizmi
[BLOCKQUOTE][/BLOCKQUOTE]Tipik birinternet kullanıcısıysanız 5-6 şifreniz vardır. Akılda tutmak içinpost-it'e mi yazıyorsunuz? Daha iyi bir yolu olmalı...



Tipikbir internet kullanıcısıysanız, ortalama 6,5 şifreniz vardır vebunların her birini günde sekiz kez yazmak zorunda kalıyorsunuzdemektir. İşvereniniz de size her üç ayda bir şifrenizi yeniletiyordur.Muhtemelen bir an gelmiş, bir sürü şifreyi ezberlemenin imkânsızlığıkarşısında şifrenizi ya bir post-it’in üzerine çiziktirerek ya dakendinize e-postalayarak şifre güvenliğinizi tehdit edebilecek birhareket de yapmışsınızdır.
Bunun daha iyi bir yolu olmalı. İşte bu daha iyi yol Carnegie MellonÜniversitesi’ne bağlı Cylab’de şekilleniyor. Bu laboratuvarda öğretimüyeleri sadece şifrelerin ardındaki matematik teorileri değil,insanların şifreleri kullanış şekli üzerine de çalışıyor. Cylab’dekiuzmanlar gözdeki iris tabakasının taranması (filmlerde müthiş gelse degerçek hayatta pahalı ve hatalı sonuçlar veriyor) gibi biyometrikuygulamalara kuşkuyla yaklaşıyor ve sıradan insanların şifrelere mahkûmolduğunu kabul ediyor. Elde ettikleri bulgular bir şifreninsağlamlığına dair bilinen her şeyi şüpheli hale getiriyor. Ayrıca biliminsanları radikal bir tavırla, şifrelerle baş etmenin imkânsız bir halaldığı durumlarda size, yani kullanıcıya, şifreyi unuttuğu için bağırıpçağırmak yerine kulak verilmesi gerektiğini belirtiyor.
CyLab’den Lorrie Cranor’ın “kullanışlı güvenlik” alanındaki öncüçalışmalara belki de herkesten çok emeği geçti. Okulun KullanışlıGizlilik ve Güvenlik Laboratuvarı’nı kuran Cranor, okutulan derskitabının yazarı ve dünyada ender rastlanan bu dersi veriyor. Cranor’ınişinin büyük kısmı, geleneksel şifreleme anlayışındaki açıklarıaraştırmaktan ibaret. Örneğin, “hatırlamayı kolaylaştırıcı şifre”modasının -Beatles’ın şarkısı “Lucy in the sky with diamonds”ın“Litsw/d” şeklinde şifre olarak kullanılması gibi ipliğini pazaraçıkardı. Araştırmalar gösterdi ki, insanlar şifrelerini genellikle çokbilinen sinema replikleri, şarkı sözleri ve reklâm sloganlarından seçmeeğiliminde. Bu ise baş harflerden oluşturulan şifrelerin hackerlartarafından, eskiden düşünüldüğünden çok daha rahat kırılabilmesi demek.Daha güvenli bir yaklaşımsa, tam bir cümleyi şifre olarak kullanmak.Şifre cümlelerin hatırlanması genellikle daha kolay ve temelmatematiğin göstereceği gibi, kolay hatırlanabilir uzun bir şifreyitoplam 16 harften ibaret bile olsa- kırmak birtakım kısaltmalardanoluşturulmuş kısa bir şifreye göre kat be kat daha zor. 
Cümlelerin şifre olarak kullanılması fikri yeni değil. Ancak kimsebugüne kadar size bundan bahsetmemişti, çünkü yıllar boyunca, birşifrenin karmaşıklığı sağlamlığının da bir nevi tek belirleyicisisayıldı. Oysa AT&T Laboratuvarları’ndan Willam Cheswick’e göre birsürü harf, rakam ve noktalama işaretinin oluşturduğu bu karmaşıklıksonucu “bir şifre faşizmine” yol açtı. Bu ise “kullanışlı güvenlik”konusunda araştırma yapan kişileri çılgına çeviriyor, çünkü şifrekırmak için gerçekleştirilen otomatik saldırıların yerini artık“yemleme” (yasa dışı yollarla bir kişinin şifresini veya kredi kartıayrıntılarını öğrenmek) denen yöntem aldı. Yani kandırılan bilgisayarkullanıcısı şifresini -ne kadar karmaşık olursa olsun, fark etmez-kendi eliyle hacker’a veriyor artık.   
Yemlemeye karşı mücadele etmenin bir yolu tek kullanımlık şifreler.Özel cihazlarca üretilen bu şifrelerin bir defa kullanıldıktan sonrageçerliliği kalmıyor. Şirketlerin çalışanlarına internet sunucusunauyan anahtar ve tek kullanımlık şifre vermesi eskiden pahalıya gelirdi,fakat maliyetler düştü. Artık Avrupa’da ev ATM makineleri yaygınlaştı.Aslında hepimizin elinin altında işe yarayabilecek bir alet var: Ceptelefonu. CyLab’den Adrian Perrig kullanıcının belli bir sitedeşifresini girdiği ve çok kısa bir zamanda mesajla geçici bir şifrealdığı bir düzenek tasarladı. Artık hiçbir şeyi akılda tutmaya gerekyok. Akademik araştırmaların genelde başına geldiği gibi, sektörün buaraştırmanın farkına varması da zaman aldı. Fakat zamanla, bir yandanyaşanabilecek ciddi bir güvenlik zaafı, bir yandan da kullanıcılarınbir sürü şifreyle uğraşmaktan bıkması sonucunda, muhtemelen insanlardaha kullanışlı bir güvenlik yaklaşımına daha sıcak bakmaya başlayacak.

[tayfunkan]

Ellerine sağlık yargıcım.. Teşekkür ederim