İnsanlığa yeni bir şifre sistemi önerisi
Tüm dünyada şifre güvenliği önemli bir problem.
Güvenli olsun diye zor şifreler oluşturulsun, her yere farklı şifre oluşturulsun, ve hatta şifreler arada bir değiştirilsin isteniyor.
Kullanıcı da bunun tam tersi, unuturum şifreyi diye basit bir şifre oluşturuyor ve her yerde aynı şifreyi kullanıyor.
İki tane çözüm önerim var:
1- Şifre standartları
Karmaşık şifre yazarken kafanızda bir formül ile her farklı yere aynı formülü uygulayarak farklı şifre yazabilirsiniz. (Bu tabiki en güvenli çözüm değil ama Levent123'den de iyidir, heryere ldfe_4736 yazmaktan da.) Ancak burada çok büyük bir problem var. O da her yerin şifre standardı farklı. Bazı yerler en az 8 karakter, bazıları en fazla 6 karakter istiyor. Bazı yerler en az bir rakam, bir büyük, bir küçük harf ve bir noktalama işareti isterken bazı yerler de sadece küçük harflerden oluşsun istiyor.
Bunu çözmek için bir şifre standardı oluşturulmalı ve her yerde bu standart kullanılmalı. Belki bunun bir iki seviyesi olabilir. Örneğin "Universal Secure Password Standard" easy, medium, hard gibi 3 farklı standart olur, şifreni çaldırmanın çok zararlı olmadığı siteler USPS-Easy veya USPS-1 kullanırken sosyal medya siteleri USPS-2, bankalar USPS-3 kullanır mesela.
Alternatif isimler :
"Universal Secure Password Policy" USPP veya
"Universal Password Policy" UPP veya
"Secure Password Policy" SPP
2- Formüllü dinamik şifreler
Sifreler statik textler yerine statik text ile bu text içine gömülmüş formüllerden oluşabilir. Yani google hesabına şifre oluştururken google diyecek ki, sana login anında üç rakamlı bir sayı vereceğim bunu sen belli bir formülle modifiye edip şifrene ekleyeceksin. Örneğin ben google şifremi şöyle ayarlayacağım:
Havalar[(3. rakam * 4 )+1]isiniyor_[ 1. rakam * 8 - 3]mu[2.rakam][2.rakam]
Dolayısıyla login ekranında bana şifre randomizer sayısı olarak 614 (bu sayı her seferinde değişecek) verince ben şifre olarak Havalar17isiniyor_45mu11 gireceğim.
Böylece brute force da önlenecek, nispeten basit bir şifre ile çok yüksek seviyede güvenlik sağlanacak. Ben örnek olsun diye formülleri karışık yazdım ama daha kolay da yapılabilir. Hatta sadece doğru aralığa serpiştirmek bile yeterli olabilir. Yani formülüm:
Havalar[3.rakam]isiniyor_[1.rakam]mu[2.rakam]
olur bu durumda da 614 ipucuna göre doğru şifre
Havalar4isiniyor_6mu2
olur.
Buradaki tek problem şifrenin formül kısmının hashlenmeden tutulması gerekliliği.
Hash özeti :Sistemler normalde bizim şifrelerimizi bilmez, sadece hashlerini bilirler ve hash'den geri dönüş yoktur. Yani girdiğimiz şifrenin hash'ini kendilerinde tutulan şifre hash'i ile kıyaslarlar ve doğru girip girmediğimizi çözerler ancak bizim şifremizi bilmezler. Hashleme şudur özetle: HavalarIsınıyor metnini MD5 yöntemiyle hashlersen b17ca0fa03f0d451c2c2cb0f4f09d6d8 çıkar. Bu hashleme hesaplaması her zaman yapılabilir ve her zaman aynı sonuç çıkar. Ancak hash değerini (b17ca0fa03f0d451c2c2cb0f4f09d6d8) girip orijinal metini (HavalarIsınıyor) elde edemeyiz...
( rainbow tables hariç )
Evet ne düşünüyorsunuz? Düşüncelerinizi yorum kısmına yazın. En güzel yorumu yazanı içimden takdir edeceğim... Yaw youtube'da da böyle diyorlar ya; yorum kısmına yazın, sizin düşüncelerinizi de çok merak ediyorum filan... Yani yorum yazki youtube algoritması beni biraz daha yukarı taşısın, ama ben bunu böyle söyleyemiyorum o yüzden hafiften seni kandırmaya çalışıyorum gibi oluyor... Neyse bunu ayrıca yazayım...
Ortalama insanın bu tür yöntemlere adapte olması imkansız gibi birşey. Daha geniş düşünmeliyiz, şifre diye bir şey olmamalı, ortadan kaldırılmalı. Ev çok dağılıp kirlenince ne yapmalıyız diye değil, o evi nasıl dağıtmayız diye düşünmeliyiz. Bu yolda bazı eşyalardan vaz geçmek de düşünülmeli, hatta evden vaz geçmek bile düşünülebilir, daha basit bir eve taşınmak mesela. Ben bazen sırf bir şifre daha üretmemek için yeni servisleri kullanmıyorum, buna değecek mi diye düşünüyorum. Bana gerçekten bir şey katmayacaksa yeni bir şeye abone olmuyorum.
Mesela Google şifreyi komple ortadan kaldırmak istiyor ve kolları sıvadı. Artık yeni bir cihazdan Google hesabına girerken şifre gerekmiyor, o hesaba ekli bir telefon yardımıyla giriş yapılabiliyor.
https://www.zdnet.com/article/google-wants-to-kill-off-passwords-for-logging-into-your-android-smartphone/
ikinci sunduğunuz öneri gerçekleştirilebilir bir şey değil. neden gerçekleştirilemeyeceğini siz de anlatmışsınız hatta bir paragraf sonrasında. Havalar17isiniyor_45mu11 ile Havalar4isiniyor_6mu2 şifrelerinin hashleri birbirlerinden tamamen farklı. internet sitesi bunları nasıl kendi sakladığı hash ile kıyaslayabilir ki? sadece formül kısmı değil şifrenin kendisinin de clear text olarak veritabanında tutulması gerekir ki kaş yaparken göz çıkarmak olur bu da.
ayrıca post request ile yapılan brute force çok daha rahat şekillerle engellenebilir. 3 kere yanlış girince 1dk, 4 kere yanlış girince 10dk, 5 kerede 1 saat vs.. bekletilebilir kullanıcı. ya da bir kaç yanlış denemeden sonra captcha kullanımı mümkün.
Tek problem şifrenin hashlenmeden tutulması fakat bu büyük bir problem. İkinci olarak buraya uzun uzun brute forceu nasıl engelleyemeyeceğini yazıyordum ki demek istediğini anladım güzel bir yaklaşım. Hash problemini saymazsak bu yöntemin uygulanabilirliği tarafında problemler çıkabilir sistemde başka açıklara sebebiyet verebilir bu da işin ayrı bir boyutu.
Artık statik şifre sıkıntılı, anlık tek kullanım şifre sistemleri ile bir çözüm bulunmalıdır. Hizmet sayısı çoğaldı ve hepsi dijitalleşiyor, akılda tutmak zorlaşıyor. İşin komik tarafı, dijital imzanın bu işleri kökten çözebilecek olması ama bir nesil geçirmek gerekiyor.
Lastpass işimi çok güzel çözdü.
https://duckduckgo.com/?q=password ;^)
Lastpass ve benzeri şifre yönetim sistemlere hiç güvenmiyorum. Bana nedense hiç mantıklı gelmiyor.
Ben de aynı düşüncedeyim.
"Universal Secure Policy" isim olarak en mantiklisi olur bence.
Evet ama senin 1538Ahmet1538 şifresini uygun bulduğun bir site sadece harf olur diyor, diğer en fazla 6 karakter diyor, diğeri en az 8 karakter diyor öbürü illa bir noktalama işareti ekle diyor. Şimdi hangisine ne şifre yazacaksın?
@awsalli İşte 1538Ahmet* diyorsun ama siteye girmen gerekince o sitenin şifre kurallarını hatırlamadığın için 1538Ahmet diyorsun, o da yanlış şifre diyor. O zaman yapman gereken yeni hesap oluşturma ekranına gitmek, oradan sitenin şifre kurallarını öğrenmek, login sayfasına tekrar gidip şifrenin bu site için olan versiyonunu yazıp girmek.