Bir parolanın birincil amacı, belirli bir kullanıcı için benzersiz bir doğrulama tanımlayıcısı olarak hizmet etmektir. İdeal olarak, belirli bir web sitesi veya hizmetin parolası hem rastgele hem de benzersiz olmalıdır; şifredeki harfler veya sayılar herhangi bir kalıp izliyorsa, davetsiz misafir tarafından tahmin edilmesi daha kolay olabilir. Örneğin, birisi doğum yılını “1987” veya “1988” gibi parolalarına koyabilir, bu da parolaların hatırlanmasını ve dolayısıyla kırılmasını kolaylaştırır.
İki Veri Kümesi, Değişik Uyarılar:
İlk veri seti, Eylül 2014’te bir Rus BitCoin forumunda ilk kez ortaya çıkan 5 milyon kimlik bilgisi dökümüdür. Bu veri seti Gmail hesapları gibi görünüyordu. Dahil edilen e-postaların çoğunun geçerli Gmail adresleri olmasına rağmen, düz metin şifrelerinin çoğunun eski Gmail şifreleri olduğunu (yani artık aktif değil) gösterdi. Bununla birlikte, WordPress.com 100.000 hesabı sıfırladı ve 600.000 hesabın daha potansiyel olarak risk altında olduğunu söyledi. Çeşitli yerlerden çeşitli yollarla toplanan birkaç yıllık şifreler gibi görünüyordu. Ancak akademik amaçlarımız için bunun bir önemi yoktu. Parolalar, kendi Gmail hesapları için olmasa bile Gmail hesap sahipleri tarafından seçildi ve yüzde 98’inin artık kullanımda olmadığı göz önüne alındığında, onları güvenle keşfedebileceğimiz hissedildi. “Gmail dökümü” olarak adlandıracağımız bu veri setini, demografik soruları (özellikle şifre seçenlerin cinsiyetleri ve yaşlarıyla ilgili olanları) yanıtlamak için kullanıldı. Bu gerçekleri, ilk adları ve doğum yıllarını içeren 5 milyon e-posta adresini arayarak çıkardılar. Örneğin, bir adres [email protected] ise, 1984 doğumlu bir erkek olarak kodlanmıştır. Bu çıkarım yöntemi aldatıcı olabilir. Burada çok fazla teknik detaya girmemek kaydıyla kodlama sürecinin sonunda 5 milyon Gmail adresinden 485.000’i cinsiyet, 220.000’i yaşa göre kodlanmış oldu. Bu noktada şu soruyu akılda tutmakta fayda var: “E-posta adreslerine adlarını ve doğum yıllarını yazan kullanıcılar, kullanmayanlardan farklı şifreler mi seçiyor?” -Çünkü teorik olarak böyle yapmaları mümkündür.
Daha Güvenli Hale Getirmek İçin Bir Numara Ekleyemek:
10 milyon parolanın yaklaşık yarım milyonu veya 420.000’i (yüzde 8,4) 0 ile 99 arasında bir sayıyla sona eriyor. Bu sayıları ekleyen beş kişiden birden fazlası basitçe 1’i seçti. Belki de bunun hatırlaması en kolayı olduğunu düşündüler. Veya site tarafından temel kelime seçimlerine bir sayı eklemeleri istenmiş olabilir. Diğer en yaygın seçenekler 2, 3, 12 (muhtemelen 12 yerine 1-2 olarak düşünülmüştür), 7 vb. Bir kişiden 1 ile 10 arasında bir sayı düşünmesini istediğinizde, çoğunun yedi ya da üç (girişteki tahminimiz bu yüzdendir) dediği ve insanların asal sayıları düşünmeye karşı önyargılı oldukları görülmüştür. 6, 7 burada söz konusu olabilir, ancak insanların halihazırda kullandıkları ancak diğer sitelerde kimlik bilgilerini “ödün vermeden” tekrar kullanmak istedikleri parolalara alternatif olarak tek haneli rakamların seçilmesi de mümkündür.
Yine de, iyi bir şifre kırıcının kelime sözlüğüne veya kaba kuvvet yaklaşımına kolayca bir sayı veya birkaç bin ekleyebileceğini düşündüğünüzde, bu tartışmalı bir nokta. Bir parolanın gücü gerçekten entropidir.
Zengin ve Güçlü Parolalar:
Mark Burnett, web sitesinde parola dökümlerinin endişe verici derecede sık olduğunu belirtiyor. Ne de olsa yeni dökümleri taramak, 10 milyon parola veri setini nasıl derlediğidir. Her zamankinden daha sık manşetlere çıkan diğer olaylar, ünlülerin ve şirketlerin yüksek profilli hackleridir. Jennifer Lawrence ve Sony akla hemen gelir. Özellikle bu çöplükten hangi yüksek profilli kişilerin etkilendiğini belirlemek için Gmail verilerinin potansiyel olarak nasıl kullanılabileceğini merak ediliyor. Başka bir deyişle, kimin şifreleri yayınlandı? Bunu, e-posta adreslerinin bir listesini alan ve bunları Twitter, LinkedIn ve Google+ gibi birkaç büyük sosyal ağ sitesinin API’leri aracılığıyla çalıştıran Full Contact’s Person API’sini kullanarak yaptılar. Ardından, yaş, cinsiyet ve meslek gibi bulduğu her şey için yeni veri noktaları sağlar. Gmail çöplüğünde oldukça yüksek profilli birkaç kişinin olduğunu zaten biliyorlardı. Örneğin; Mashable, liste yayınlandıktan bir ay sonra, muhabirlerinden birinin dahil edildiğini kaydetti. Fakat Temas’ın bu kadar çok ortaya çıkacağını düşünmemişlerdi.
Buldukları 78.000 eşleşmede yüzlerce çok yüksek profilli insan vardı. Birkaç çok önemli nokta:
1. Kimsenin adını bilerek tanımlamadılar.
2. Şirket logoları, kişilerin kendileri için listelenen şifreyi kullandıklarında değil, şu anda çalıştıkları kuruluşları temsil eder.
3. Parolaların orijinal olarak nerede kullanıldığını bilmenin hiçbir yolu yoktur. Kişisel Gmail şifreleri olabilirler, ancak File Dropper gibi diğer sitelerde kullanılmış olmaları daha olasıdır. Bu nedenle, zayıf parolaların çoğunun, kişilerin şu anda işte veya bu konuda başka herhangi bir yerde kullandıkları parolaları temsil etmemesi mümkündür.
4. Google, liste yayınlandığında şifrelerin yüzde 2’sinden (100.000) daha azının eşleştirildikleri Gmail adresleriyle çalışmış olabileceğini doğruladı. Ve etkilenen tüm hesap sahiplerinin şifrelerini sıfırlamaları gerekiyordu. Başka bir deyişle, şifreler- hala eğitici olmakla birlikte- artık kullanımda değildir. Bunun yerine, diğer, umarız daha güvenli kombinasyonlarla değiştirilirler.
Ancak şifreler sıfırlanmasaydı, durum daha fazla endişe verici olurdu. Birkaç çalışma, birçoğumuzun birden fazla hizmet için aynı şifreleri kullandığını göstermiştir.
