Guvenli sifreler nasil olusturulur ve yine de iyi yonetilir

Once pratik ozet istersen, guvenli sifre dort kosulu saglamalidir. Tahmin etme ve basit brute force denemelerini zorlastiracak kadar uzun olmalidir. Tek bir hesaba ozel olmalidir ki bir sizinti diger hizmetlere sicrama yapmasin. Altinda insan eliyle olusmus tahmin edilebilir bir desen olmamasi icin yeterince rastgele olmalidir. Ve tum bu teknik gucu bosa cikarmayacak sekilde saklanmalidir.

Bu yuzden sonuna bir sembol eklenmis akilli bir kelime bulma aliskanligi hala basarisiz olur. Ilk bakista karmasik gorundugu icin guclu zannedilebilir ama hala hatirlanabilir, tekrar edilen ve cogu zaman yeniden kullanilan bir yapiya dayanir. Guvenli sifreler, yaratici olmaya calismayi birakip tekrar edilebilir bir surec izlediginizde daha iyi sonuc verir.

Cogu insan icin bu surec basittir: uzun bir sifre uret, her hizmet icin benzersiz tut, bir sifre yoneticisine kaydet ve onemli hesaplarda MFA ac. Geri kalan her sey bu temel aliskanligin etrafindaki ayrintidir.

Zayif sifrelerin cogu bilgisizlikten degil kolayliktan dogar. Insanlar hatirlayabilecekleri, hizli yazabilecekleri ve surtunmesiz bicimde tekrar kullanabilecekleri bir sey ister. Bu da ayni kaliplara yol acar: bir temel kelime, basta buyuk harf, bir rakam, bir sembol ve belki sonda site adi ya da yil.

Sorun su ki bu kaliplar gercekten rastgele degildir. Bunlar insan kaynakli uzlasmalardir. Bir saldirgan tum olasi kombinasyonlari ayni oncelikle test etmek zorunda degildir. Ozellikle sifre bir yonetici olmadan akilda tutulacak kadar kisa kalmak zorundaysa, kullanicilarin en sik kurdugu bicimlere once bakabilir.

Guvenli sifre stratejisi ancak gunluk kullanimda surdurulebiliyorsa ise yarar. Eger sisteminiz on farkli ve karmasik sifreyi akilda tutmanizi bekliyorsa, er ya da gec basitlestirir, tekrar kullanir ya da kotu saklarsiniz. Bu nedenle sifre guvenligi yalnizca dizgenin kendisine degil, etrafindaki workflowa da baglidir.

En iyi workflow karakter setiyle degil hesapla baslar. Once hangi hesap turunu korudugunuzu sorun. Bu sizin e-postaniz, banka girisiniz, is hesabiniz, bir alisveris sitesi ya da kurtarma e-postaniza bagli ikincil bir hizmet olabilir. Bu soru, bir sizintinin ne kadar zarar verecegini ve ne kadar titiz olmaniz gerektigini gosterir.

Ardindan sifreyi uretin, uydurmayin. Bir olusturucu sizi sevdiginiz kelimeye, klavye desenine ya da tanidik bir yapiya geri donme cazibesinden uzaklastirir. Sifre uretildigi anda onu sifre yoneticisine ya da bir is ortamindaysaniz onayli bir kasaya kaydedin. Sirf o an daha hizli geliyor diye notlara, taslaklara ya da sohbetlere yapistirmayin.

Son adim disiplindir. Sifreyi sadece o hesaba ozel tutun, akilda kalmasi daha kolay olsun diye elle duzenlemeyin ve hizmet destekliyorsa MFA etkinlestirin. Guclu gorunen bir sifreyi gercekten daha guvenli bir girise donusturen sey tam olarak bu siradir.

Uzunluk, cogu kisinin sandigindan daha fazla oneme sahiptir. Sadece gorsel karmasiklik eklenmis kisa bir sifre hala karakter sayisiyla sinirlidir. Daha uzun sifre, ozellikle tanidik bir insan tabanindan kurulmak yerine rastgele uretildiginde, arama alanini hizla buyutur.

Bir cok gunluk hesap icin 14 ile 18 karakter araligi bile insanlarin hala elle kurdugu kisa sifrelere gore buyuk bir gelisimdir. E-posta, finans, yonetici erisimi ya da is sistemleri gibi daha kritik hesaplarda ise daha da uzun gitmek guvenli varsayimdir; ozellikle sifre yoneticisi hafiza yukunu ortadan kaldiriyorsa.

Kesin sayidan cok, o sayinin arkasindaki aliskanlik onemlidir. Kisa ve akilda kalici secenekler yerine surekli uzun uretilmis sifreler seciyorsaniz, zaten dogru yone gidiyorsunuz. Her ek karakter icin pazarlik yapiyorsaniz, muhtemelen sorun formatta degil workflowdadir.

E-posta hesabiniz, kullandiginiz en guclu sifrelerden birini hak eder; cunku genellikle diger her seyin kurtarma yoludur. Birisi o gelen kutusuna girerse, baska sifrelerinize bile ihtiyac duymayabilir. Burada sifre yoneticisine kaydedilmis uzun, benzersiz ve uretilmis bir sifre ile MFA dogru varsayimdir.

Bir alisveris sitesi ya da normal tuketici hesabi icin bazen kullanicilar standartlarini dusurur; cunku hesap daha az hassas gorunur. Bu bir hatadir. Hizmetin kendisi kritik olmasa bile, bir sizintidan gelen yeniden kullanilmis kimlik bilgileri daha onemli hesaplari acabilir. Bu gibi durumlarda benzersizlik, hesabin gorunen degerinden daha onemlidir.

Is hesaplari daha fazla disiplin ister. Rahat bir kisisel hizmet icin yeterli gorunen bir sifre, kurumsal giris icin otomatik olarak uygun degildir. Kurumunuzun guvenlik politikasini izleyin, sifreyi yalnizca onayli sistemlerde saklayin ve rahatlik icin zayiflatmayin. Paylasilan ya da gecici hesaplar bile ciddi kurallari hak eder.

En yaygin hata yeniden kullanmadir. Bir sifre teknik olarak guclu olabilir ama birden fazla hizmette gorunuyorsa stratejik olarak yine basarisiz olur. Bu durumda tek bir sizinti sinirli bir olay olmak yerine zincirleme etkiye donusur. Ikinci buyuk hata, uretimden sonra sifreyi elle duzenlemektir. Insanlar guclu bir sey uretir, sonra kisaltir, sembolleri cikarir ya da karakterleri daha kolay hatirlanir hale gelene kadar degistirir. Bu da genellikle insan kaynakli ongorulebilirligi geri getirir.

Bir diger hata, sifreyi yanlis yerde saklamaktir. Korumasiz bir notta, taslakta ya da destek mesajinda duran guclu bir sifre artik kendi rastgeleliginin korumasina sahip degildir. Guvenlik uretim aninda bitmez.

Dorduncu bir hata da tum sisteme bakmak yerine sadece gorsel karmasikliga odaklanmaktir. Semboller etkileyici gorunur ama kisa ya da yeniden kullanilan bir sifre pratikte hala zayiftir. Uzunluk, benzersizlik, guvenli saklama ve MFA, yalnizca kozmetik karmasikliktan daha iyi sonuc verir.

Sifre yoneticileri, her sirri tek tek akilda tutma ihtiyacini kaldirdiklari icin sifre guvenliginin ekonomisini degistirir. Hafizaya dayanmaktan ciktiginiz anda uzun ve rastgele sifreler can sikici olmaktan cikar, pratik hale gelir. Bu yuzden olusturucu ve sifre yoneticisi birlikte, tek baslarina olduklarindan daha iyi calisir.

MFA guclu bir sifrenin yerine gecmez ama calinmis bir girisin zararini azaltir. Onemli olan, MFAyi daha zayif sifreler icin bahane haline getirmemektir. Onu uzun ve benzersiz bir sifrenin ustundeki ikinci katman olarak kullanin; ozellikle e-posta, is, finans ve kimlik ya da kurtarma ile baglantili her sey icin.

Pratikte en guclu gunluk kurulum, en akilli sifre degildir. Elle duzeltmediginiz, guvendiginiz bir yoneticide saklanan, mumkun oldugunda MFA ile desteklenen ve o hizmet disinda hic tekrar kullanilmayan uretilmis bir sifredir.

Hesap onemliyse sifreyi uretin. Uretildiyse guvenli saklayin. Guvenli saklandiysa sadece o hizmete ozel tutun. Hizmet MFA sunuyorsa etkinlestirin. Bu kural, karmasiklikla ilgili onlarca ayri tavsiyeyi akilda tutmaya calismaktan cok daha guvenilirdir.

Gercek hayatta bir sifreyi guvenli yapan sey tek bir sembol ya da zeki bir degisim degildir. Bu; uzunluk, rastgelelik, benzersizlik, saklama hijyeni ve baglamin birlesimidir. Workflowunuzu bu bes nokta etrafinda kurdugunuzda, guvenli sifre secmek cok daha kolay hale gelir.

Bu yuzden en iyi sifre aliskanliklari sikicidir. Yaraticiliga dayanmazlar. Tutarliliga dayanirlar.