Bu İşe Hafıza Gerek!
Tüm girişlere aynı parolayı atamak tehlikeli olduğuna göre sıkı bir hafızaya ihtiyacınız var. Tabii bu işe akıllıca bir çözüm bulmadıysanız. Birçok deyimli internet kullanıcısı parolalarının tümünü bir program ya da eklenti ile kontrol etmeyi çoktan keşfetti. Bu yöntemde tüm parolalarınızı programa kaydediyor ve otomatik olarak kullanılmasını sağlıyorsunuz. Kayıtlı parolaların düzenlenmesi işi de yine bir parolayla korunuyor. Örneğin Firefox'da parolalarınızı saklayabilir ve tüm parolalara erişimi ayrı tek bir parola ile kontrol edebilirsiniz. Benzer bir uygulamayı tarayıcınızla entegre şekilde AI RoboForm isimli yazılım sayesinde de gerçekleştirebilirsiniz. AI RoboForm parolalarınızı güvenle saklarken gün içinde giriş yapmanız gereken yerlerde de işinizi kolaylaştırıyor.
Parolaları Nasıl Seçmeli? Her nerede kullanacak olursanız olun, parolalarınız tam anlamıyla güvenli olmalı. Güvenli bir parola belirlemenin de belirli kriterleri var. Artık herkes kolay tahmin edilebilir ve denenebilir ifadelerin parola olarak kullanılmaması gerektiğini bildiğine göre işin biraz daha teknik kısmına eğilelim. En güvenli parolayı yaratmanın sırrına ermek için parolaları kırmaya çalışanların hangi sistemle çalıştığını bilmek gerekiyor. Parola kırma girişimleri genellikle kullanılma ihtimali yüksek olan ifadelerin denenmesiyle başlıyor. Tabii deneme yanılma (Kaba Kuvvet Saldırısı) süreci bir program tarafından mümkün olan en hızlı şekilde gerçekleştiriliyor. İşi daha da hızlandırmak için kullanılan parola veritabanları, sıklıkla kullanılan ihtimalleri popülerden seyrek kullanılana doğru dizilmiş halde içeriyor. Bu yüzden bir kullanıcının en sevdiği spor olan "capoeira" yı parola olarak belirlemesi hiç de mantıklı değil. Bu kelime parola listesinin bir yerlerinde mutlaka yer alıyor olmalı... "capoeira1981" gibi bir ifade ise denenmesi gereken kombinasyonları çoğalttığı için daha güvenli. Tabii işi ele almış ciddi bir cracker için aradaki fark yalnızca parolanın kırılma süresinin biraz daha uzun olması. Yani "capoeira1981" şeklinde hem harf hem rakam içeren parolalar da tam anlamıyla en iyi seçim değil.

Parola Oluşturma Metodları
Özel İşaretler: En güvenli parola seçeneğine ulaşmak için sihirli kelimenizi küçük ve büyük harflerin yanında rakamlar ve özel işaretler kullanarak oluşturmalısınız. "capoeira1981" ifadesini yazarken belirli karakterler
için shift tuşunu basılı tutmanız parolalarınızın güvenliğini artıracaktır. Parolanız bu sayede "cApOeIrA1)8!" gibi bir ifadeye dönüşmüş olacak. İki Bölümlü Parola: Amerikalı şifreleme ve parola uzmanı Bruce Schneier (www.schneier.com) parolanızın rakamlar ve harfler gibi iki farklı bölümden oluşmasının önemli bir avantajını vurguluyor.
Schneier'in verdiği bilgiye göre cracker araçları bu tip parolaları tanıyor fakat parolanın rakam bölümü önde yer aldığında işleri zorlaşıyor. Yapılan araştırmalar iki bölümlü parolaların yüzde doksanında rakam bölümünün sonda yer aldığını gösteriyor. Genel duruma odaklanarak çalışan cracker araçları ise rakam bölümü ile başlayan yüzde onluk kısmı kırmakta genellikle başarısız oluyor. Tabii "1981capoeira1981" hem uzunluk hem de bölümlerin karışıklığı sayesinde çok daha güvenli.

Cümle Metodu: Sıra parolalarınızı unutmanızı engelleyecek ilginç bir metoda geldi. "Cümle Metodu" olarak tanımlanan ilginç taktikle parolalarınızı kolayca anımsayabilirsiniz. Bunun için parolayı belirlerken asla unutmayacağınız bir cümleyi temel alıyorsunuz. Atatürk'ün "Biz Türkler bütün tarihimiz boyunca hürriyet ve istiklale timsal olmuş bir milletiz." vecizesiyle örneklendirecek olursak; cümledeki her sözcüğün ilk harfini kullanıyor ve "BTBTBHVİ TOBM" gibi bir parola oluşturuyoruz. Takdir edersiniz ki, böyle bir parola tahmin ve sık rastlanan olasılıkları deneme yöntemleriyle asla çözülemez. Bu tekniği kullanırken mümkün olduğunca uzun cümleler seçmenizde fayda var.
Parola Yöneticisi
Parolalarınızı yanınızda taşıyabileceğiniz USB belleğinizin içinden yönetmek istiyorsanız açık kaynak kodlu ücretsiz bir program olan Keepass size yardımcı olabilir. www.keepass.info adresinden indirebileceğiniz program USB bellekte yalnızca 854 KB yer kaplıyor. Parolalarla birlikte kullanıcı adlarının da şifrelenmesini sağlayan Keepass, profesyonel güvenlik şirketlerinin ve bankaların kullandığı AES/Rijndael ve Twofish algoritmalarını kullanıyor. Bu yöntemlerle şifrelenen kullanıcı adı ve parolaların kırılması yıllarca süren işlemlerle mümkün oluyor. Keepass'in teknolojik altyapısı hakkında ayrıntılı bilgi almak için http://keepass. info/help/base/security.html adresine başvurabilirsiniz. İngilizce olarak gelen programın Türkçe dil paketi http://keepass. sourceforge.net/translations.php adresinde bulunuyor.

Parola Yöneticisi Nasıl Kullanılır? Programı kullanarak tüm parolalarınızı şifrelemek için bir ana parolaya ihtiyacınız var. Ana parolanızı kendiniz belirleyebiliyor ya da programın sizin için yaratmasını isteyebiliyorsunuz. Otomatik parolanın yaratılmasında hangi işaretlerin kullanılacağına siz karar verebiliyorsunuz. Gerekli ayarları yaptıktan sonra farenizi ekranda gezdiriyorsunuz ve parola farenin izlediği koordinatlar üzerinden belirleniyor. Bu özellik güvenlik konusunda aşırı titiz kullanıcıların gönlünü rahatlatacaktır. Keepass'te parolalarınızı farklı veri bankaları içerisinde saklamanız mümkün. Örneğin banka parolaları için farklı, e-posta ve online hizmetler için ayrı veri bankası oluşturabilirsiniz. Keepass'i USB bellek, disket gibi çeşitli ortamlardan kullanabileceğiniz gibi bilgisayarınıza kurduğunuzda da ayrıca bir anahtar diski oluşturabiliyorsunuz. Bu durumda program önceden belirtmiş olduğunuz konumda gerekli dosyaya bakıyor ve anahtar verisini bulduğunda şifrelemeyi kaldırıyor.

Parolalar Nasıl Kırılır? Bir parolanın güvenlik seviyesi, onu kırmak için yapılan saldırının türüne bağlıdır. Belirli bir "sık kullanılan kelimeler" listesini denemek yöntemiyle yapılan saldırılar için günlük yaşamda sıkça kullanılmayan değişik bir ifadeyi parola yapmak oldukça mantıklı. Özel işaretlerin sıkça kullanıldığı parolalarda ise kullanılabilecek muhtemel yöntem "kaba kuvvet" ismi ile anılıyor. Bu yöntemde A, AA, AB, AC,..... BA, BB, BC benzeri bir sıralamayla tüm olasılıklar deneniyor. Belirlediğiniz parolanın kaba kuvvet saldırılarına karşı güçlü olmasını istiyorsanız yapmanız gereken ilk şey parolayı uzun tutmak. Bu sayede kaba kuvvet saldırısına karşı tam bir koruma elde edemeyecek de olsanız parola uzadıkça denenmesi gereken ihtimaller çoğalacağından güvenlik artacaktır.

Önlemler
Kullanıcıların kaba kuvvet saldırıları nı engellemek için yapabilecekleri pek bir şey bulunmuyor. Parola ile giriş yapılması gereken web sitelerininse bu saldırıları engellemek için bazı yapabilecekleri var. Bazı online servisler kullanıcı adı ve parola yanlış girildiğinde birkaç denemeden sonra hesabı kilitliyor. Alınan önlemin kapsamına göre giriş yapabilmek için bir süre bekleyerek tekrar denemeniz gerekebiliyor. Kimi web sitelerinde birden çok deneme yapıldığında resim olarak görüntülenen bir güvenlik kodunun girilmesi istenebiliyor. Bu yöntemler basit bir mantığa dayansa da kaba kuvvet saldırılarının engellenmesinde yeterli oluyor. Parolaların mümkün olan ihtimaller denenerek çözülmeye çalışıldığı durumlarda fazla karakter kullanmanın avantajlı olduğundan bahsetmiştik. Parola uzadıkça denenmesi gereken ihtimaller çoğaldığından kırılması da güçleşiyor. Daha ayrıntılı açıklamak için bu durumu formül üzerinde inceleyelim. Mümkün olan tüm olasılıkların sayı sını N olarak tanımlayacak olursak, parolanı n kırılabilmesi için N adet deneme yapılması gerekebilir. Parolada kullanılabilen farklı karakterlerin sayısı Z olsun, parolanın içerdiği karakter sayısını da L olarak analım. Bu durumda basit bir olasılık hesabıyla N sayısının Z L ifadesine eşit olduğunu söyleyebiliriz. Buradaki L sayısı yani parolanın uzunluğu arttıkça denemenin süresi de geometrik olarak artıyor. Kullanmakta olduğunuz parolanın kaba kuvvet saldırılarına karşı ne kadar güvenli olduğunu bu yöntemle hesaplayabilirsiniz.