Parola nedir ve altmış yıldır neden yanılıyoruz

Yayınlanma yazan David Carrero

Parola, çok eski bir sorunun cevabıdır: bizden misin?

Onu bilişim icat etmedi. Polybios, MÖ ikinci yüzyılda, Roma ordusunun her gece tahta bir levhaya — tessera — yazılmış bir sözcüğü birlikten birliğe dolaştırıp komutaya geri gönderdiğini anlatır. Bilen onlardandı. Bilmeyen değildi.

İki bin yıl sonra tam olarak aynı şeyi yapıyoruz. Değişen tek şey, kimin sorduğu ve cevabı ne hızla tahmin etmeye çalışabildiği.

1961 parola bilgisayara giriyor

Kasım 1961’de MIT, Fernando Corbató yönetimindeki CTSS’i (Compatible Time-Sharing System) gösterdi. Yeni bir fikirdi: çok pahalı tek bir bilgisayar, aynı anda birkaç kişi tarafından paylaşılıyor.

Ve sorun orada çıktı. Makine herkesinse, her birinin dosyaları da kendisinin olmalı. Bilgisayarın kimin yazdığını bilmesi için bir yol gerekiyordu. Çözüm en bariz ve mümkün olan en Romalı olanıydı: her kullanıcının kendine ait bir sözcüğü olsun.

Bunu tam olarak söylemekte fayda var: Corbató parolayı icat etmedi. Çok kullanıcılı bir bilgisayarda kullanıcı başına parolayı icat etti, ki bu başka bir şey. Yaşlandığında bunun “bir kâbusa” dönüştüğünü kendisi söyledi.

1962 ilk sızıntı ve sebebi makine zamanıydı

Bir yıl sonra, aynı MIT’de doktora öğrencisi olan Allan Scherr’in çok sıradan bir sorunu vardı: haftada yalnızca dört saat bilgisayar veriliyordu ve tezi için daha fazlası gerekiyordu.

Bu yüzden sisteme parola dosyasını yazdırmasını söyledi. Hepsi bu. Orada, düz metin hâlinde duruyordu ve kimse birinin bunu isteyebileceğini düşünmemişti. Çıktı elinde, çalışmaya devam etmek için başkalarının hesaplarını kullandı.

İlginç olan numara değil. Sebep: tarihin ilk parola sızıntısını bir suçlu yapmadı, çalışmaya devam etmek isteyen biri yaptı. Altmış yıl sonra güvenlik açıklarının çoğu hâlâ kısa yolu arayan makul insanlardan doğuyor.

1979 birileri onları hiç saklamamak gerektiğini fark ediyor

Yaklaşık yirmi yıl boyunca birçok sistem parolaları olduğu gibi sakladı. Dosyayı okuyan her şeyi alıp götürüyordu.

1979’da Robert Morris ve Ken Thompson, Communications of the ACM’de Unix’te yaptıklarını anlatan “Password Security: A Case History” başlıklı bir makale yayımladı. Bugün her şeyin temelinde duran iki fikir:

  • Parolayı değil, özetini sakla. Sistemin parolanın ne olduğunu bilmesi gerekmez; yalnızca az önce yazdığının aynı sonucu verip vermediğini denetleyebilmesi gerekir.
  • Tuz: özetlemeden önce her parolaya rastgele bir değer eklemek; böylece aynı parolaya sahip iki kişinin özeti aynı olmaz ve kimse önceden bir tablo hesaplayıp hepsini tek seferde kıramaz.

Bugün bir servisin “parolanı bilmemesi gerektiğini” söylerken 1979 tarihli bir makaleyi alıntılıyoruz.

2003 hepimizin öğrendiği kurallar ve nereden geldikleri

2003’te ABD NIST’inden Bill Burr, dünyanın yarısının parolayı nasıl isteyeceğini belirleyecek belgeyi yazdı: SP 800-63. Anında tanıdığın her şey oradan çıktı:

En az bir büyük harf, bir rakam ve bir sembol. 90 günde bir değiştir.

Bilim gibi duruyordu. Değildi. Burr’ün gerçek parolalar hakkında iyi verisi yoktu — neredeyse hiç yoktu — bu yüzden eldekine dayanıp mantıklı görüneni akıl yürüttü: daha çok karakter çeşidi, daha çok kombinasyon, daha çok güvenlik.

Sorun şu ki insanlar rastgele üreteç değildir. Büyük harf iste, başa koyar. Rakam iste, sona koyar. Sembol iste, ! olur. Ve üç ayda bir değiştirmeye zorlarsan Yaz2024!, Guz2024! olur.

Sonuç: karmaşık görünen ama basit olan koca bir parola kuşağı ve artık dayanamadığı için onları her yerde tekrar kullanan bitkin kullanıcılar.

2017 NIST geri adım atıyor, Burr da

2017’de NIST SP 800-63B’yi yayımladı ve neredeyse her şeyden geri döndü:

  • Uzunluk karmaşıklıktan daha önemlidir.
  • Ele geçirilme belirtisi yoksa zorunlu değişiklik yok.
  • Sembol dayatmak yerine parolayı sızıntı listelerine karşı denetlemek.

Aynı yıl Burr, Wall Street Journal’a yazdıklarının büyük bölümünden pişman olduğunu söyledi. Bilgisayar güvenliğinin ürettiği en dürüst düzeltmelerden biri — ve bugün hâlâ binlerce form, kendi yazarının reddettiği bir belge yüzünden senden sembol istiyor.

Bu neden eski tarih değil

Bütün bunların çok somut bir sonucu var ve tam burada görebilirsin.

Kendi şifre kontrolümüz daha düne kadar 2003 mantığıyla çalışıyordu: büyük harfleri, rakamları ve sembolleri sayıyordu. Contraseña1!’e — birebir İspanyolca “parola” sözcüğüne — %92 “Çok Güçlü”, kıyaslanamayacak kadar iyi olan beş rastgele sözcüklü bir ifadeye ise %0 “Çok Zayıf” veriyordu.

Tam olarak yapılmaması gerekeni ödüllendiriyordu. Değiştirdik: artık parolanı sözcük, isim, şehir ve klavye deseni sözlüklerinde arıyor ve gerçekte ne kadar sürede düşeceğini söylüyor.

Ve bu yüzden üreteç sana yüzde değil entropi bitleri gösteriyor. Yüzde hiçbir şey ifade etmez. Bitler eder: senin hakkında hiçbir şey bilmeyen birinin kaç kez denemesi gerektiğidir.

Ne yapmalı, iki satırda

  • Uzun, karışıktan iyidir. Dört beş rastgele sözcük P@ssw0rd’ü büyüklük mertebeleriyle geçer.
  • Her yerde farklı ve bir yöneticide. 2003’ten ayakta kalan tek kural bu — ve en az dikkate aldığımız da bu.

Soru, ikinci yüzyıl Roma’sındakiyle aynı: bizden misin? Değişen şu: soran kişi artık saniyede bir milyar cevap deneyebiliyor. Seninkinin sözlükte olmaması iyi olur.


Kaynaklar: F. J. Corbató ve CTSS (MIT, 1961) · Allan Scherr’in 1962’ye dair kendi anlatımı · R. Morris ve K. Thompson, “Password Security: A Case History”, Communications of the ACM, 1979 · NIST SP 800-63 (2003) ve SP 800-63B (2017) · Bill Burr’ün Wall Street Journal’a açıklamaları, Ağustos 2017.

← Bloga dön