Son hack olayının ardından bir kez daha gündeme gelen siber güvenlik konusunda çoğu firma, kurum, insanları basit şifreler seçmemeleri ve birkaç ayda bir şifrelerini değiştirmeleri yönüne uyarıyor. Fakat aslında bu önlemler de pek işe yarar cinsten değiller.
Siber güvenlik üzerine araştırmalar yürüten güvenlik uzmanlarını bünyesinde barındıran ABD Ulusal Standartlar ve Teknolojiler Enstitüsü (NIST), yapılan araştırmalar sonucunda bu nasıl olursa olsun yapılan şifrelemelerin herhangi bir getirisi olmadığını söylemekte.
Bunun en büyük sebeplerinden biri, insanların şifre tercihlerinde oldukça yaygın olarak kullanılan şeyler yapması. Örneğin sadece harflerden oluşan bir şifre girdik ve sistem bizden rakam da girmemizi istedi. Böyle bir durumda insanların çoğu şifrelerindeki i-ı harflerini 1 yapıyor, ya da "e" harfini 3 yapıyor. Aynı şekilde "s" harfini "$" işareti yapma ya da sıfırları "o" harfine dönüştürme gibi şeyler de yaygın.
İşte bu yüzden siz her ne kadar şifrenizi sağlam şekilde seçtiğinizi düşünseniz de, aslında bu değişiklikler şifrenizi daha güvenli hale getirmeye yaramıyor. NIST, bu konu ile alakalı olarak sunduğu raporda ise ilginç bir çözüm önermekte. Bu çözüme göre insanların istedikleri her türlü şifreyi koyabilmelerini tavsiye eden NIST, buna karşahmin edilmesi çok kolay şifrelerin de kara listeye alınması gerektiğini söylemekte. Kara listedeki şifreler ise şu yapıdakiler olacak:
- Daha önceden yapılmış bir siber saldırıda ele geçirilmiş şifreler
- Sözlükte bulunabilecek basit kelimeler
- Tekrar eden sıralı harfler ve rakamlar
- Kullanıldığı ortam ile alakalı olarak seçilmiş kelimeler
Şifrede asıl önemli olan uzunluk!
NIST, daha önceden de internette seçtiğimiz şifrelerin güvenli olmaları için karmaşık değil, uzun olmaları gerektiğini belirttiği bir rapor yayınlamıştı. Yani karışık sayı kombinasyonlu bir şifre yerine uzun, cümle şeklinde bir şifre kullanmanız, hesabınızın güvenliği açısından daha faydalı olabilir.
Şifreler konusunda en başarılı yöntem ise çok faktörlü koruma. Örneğin giriş yapmak istediğiniz platform, sistemde kayıtlı telefon numaranıza bir mail göndererek bu maili teyit etmeniz isteniyor. Ancak onda sonra siteye girişi gerçekleştirebiliyorsunuz. Standart şifrelemelere baktığımzda çok faktörlü koruma, şu an için en mantıklısı gibi.
