Kullandığımız çevrim içi hizmetlere ait parolaları sıklıkla değiştirmek gerektiğine dair inançlar doğruyu yansıtmıyor. Aksine, insanlar parolalarını sıklıkla değiştirmeye zorlandıkları zaman daha zayıf parolalar seçmeye başlıyor. Amerikan Federal Ticaret Komisyonu (FTC) yöneticisi, Carnegie Mellon Üniversitesi profesörü Lorrie Cranor, sıklıkla parola değiştirmenin, bilinenin aksine, güvenliği artırmaktan ziyade güvenlik açığını büyüttüğünü söyledi.
Güvenlik konusuna odaklanan bir üniversite profesörü olan ve FTC’nin yöneticileri arasında yer alan Lorrie Cranor‘ın, kullanmakta olduğu hükümetle ilgili hesapların parolalarını 60 günde bir değiştirmesi gerekiyor. Çünkü bu FTC’nin tüm tüketicilere bizzat tavsiye ettiği bir hareket. Fakat Lorrie Cranor konunun peşine düşmüş ve araştırmaya koyulmuş.
Sıklıkla parola değiştiren kullanıcı bir süre sonra parola oluşturmada saldırganların kolayca tahmin edebileceği belli bir teknik üretiyor ve bu teknik yüzünden hacker saldırılarına daha açık hale geliyor. Sık sık parola değiştirmenin güvenliği artırmadığını, aksine hesapları daha da savunmasız yaptığını gösteren en önemli araştırma, 2010 yılına dayanıyor. Kuzey Carolina Üniversitesinin yaptığı araştırmaya göre parolalarını her üç ayda bir değiştirmeye zorlanan hesap sahipleri, bir noktadan sonra belli bir yöntem izlemeye başlıyor. Örneğin “tarheels#1” şeklinde bir parola ilk değişiklikten sonra “tArheel#1“; ikinci değişiklikten sonra “taRheel#1” haline geliyor. Bu kalıp, kullanıcı tarafından bu şekilde uygulanmaya devam ediyor. Sondaki 1 rakamının 11; 2 ya da 3 şeklinde değiştirilmesi de parola değiştirmede sıklıkla uygulanan bir yöntem.
Zorunlu parola değişikliği yapmaya yönlendirilen kullanıcıların genelinin izlediği bu teknik, parola değiştirmek değil dönüştürmek oluyor. Cranor, insanların eski parolalarını alıp aslında sadece ufacık bir değişiklik yaptığını söylüyor. Araştırma ekibi, sonuçları insanların yapabileceği değişiklikleri öngörebilen bir algoritma geliştirmek için kullanıyor. Yaptıkları denemelerde, çevrim içi sistemlerde sadece beş tahmin kullanarak algoritma sayesinde hesapların yüzde 17’sinin parolasını kırmayı başarıyorlar. Çevrim dışı sistem üzerinde ise algoritma, parolası değiştirilmiş hesapların yüzde 41’ini üç saniyede kırmayı başarıyor.
Dolayısıyla kullanıcıyı her iki-üç ayda bir parola değiştirmeye zorlamanın güvenliği artırmadığı kanısı son yıllarda iyice güçleniyor. Etkili olmadığı gibi kullanıcıya zararı bile oluyor. Profesör Cranor sayesinde Federal Ticaret Komisyonu da bu gereksiz tavsiyenin farkına varmış.
Sık sık parolanızı değiştirmeniz gerekliliğini savunan tavsiyeler 2016 yılı itibarıyla artık gereçliliğini korumuyor diyebiliriz ama siz yine de parolanızı güçlü tutmanız gerektiğini unutmayın. Değiştireceğiniz zaman ise eski parolanızdaki karakterlerden yola çıkmadan, tamamen değişik bir parola belirlediğinizden emin olun.
Kaynak: FTC
