İnternette güvenlik en önemli noktaların başında geliyor. Hem kullanıcılar hem de hizmet sağlayıcılar güvenliği artırmak için farklı yöntemleri uygulamaya sokuyor. Bunların en eskilerinden biri olan “periyodik şifre değiştirme” yönteminin zararlı olduğu ortaya çıktı.
Birçoğumuzun kabusu olan bu yöntem belirli aralıklarla yeni şifrelerin sisteme tanımlanmasını zorunlu kılıyor. Örneğin, internet bankacılığı işlemlerinde bu durum ile çok sık karşılaşıyoruz. Tam işlem yapmak için hesaba girmişiz ki hoop, “şifrenizin süresi doldu, yeni bir şifre belirleyin” tarzında bir uyarı… Buradaki amaç şifrenin yenilenmesini zorunlu tutarak olası bir ele geçirilmenin önüne geçmek. Sonuç ise hiç sanıldığı gibi değil! Neden mi? Nedenini aşağıdaki paragrafta bulabilirsiniz ancak bir düşüşün… Periyodik olarak sizden zorunlu şifre değişikliği istendiğinde ne yapıyorsunuz? Nasıl bir şifre belirliyorsunuz?
Bunları düşündüyseniz devam edelim… Sanırım birçoğumuz bu yöntemin neden güvenlik amaçlarken güvensizlik doğurduğunu tahmin edebiliriz. Nedeni zayıf ve kolay tahmin edilebilir şifreler… Sistem size 60 ya da 90 günde bir şifre değişikliğini zorunlu tuttuğunda muhtemelen daha önce kullandığınız şifrenin biraz değiştirilmiş halini yeni şifre olarak tanımlıyoruz. Sonuna birkaç yeni numara ya da harf ekliyoruz… Yani aslında değişen bir şey olmadığı gibi, şifre daha kolay tahmin edilebilir bir hal alıyor. Diyelim ki şifremiz “Atatürk1881” olsun, bizden şifre değişikliği istendiğinde şifremizi “atatürK188111” ya da “1881Atatürk” gibi bir şey yapıyoruz. Bu da aslında şifrenin güvenliğini artırmıyor. Hatta ardışık rakamlar kullanımı söz konusu olduğunda zayıflatıyor bile!
Tabii ki bu veriler bir tahmin değil binlerce hesap incelenerek elde edilmiş bulgular. Araştırmayı yapan ise Kuzey Carolina Universitesi’nden bir grup akademisyen. Araştırma sonuçlarında, en eski güvenlik yöntemlerinden biri olan “periyodik şifre değişikliği”nin aslında bir işe yaramadığı, dahası güvenlik risklerini artırdığı belirtiliyor. Bu nedenle, periyodik şifre değişikliklerinde her seferinde yeni bir şifre belirlemek şart. Tabii o kadar yeni şifreyi nasıl bulup, nasıl aklımızda tutacağımız ise büyük bir sorun.
