Bir parolayı güçlü kılan nedir? Entropi meselesi
Bir parolanın gerçek gücü, ne kadar karmaşık göründüğünden değil, ne kadar tahmin edilemez olduğundan gelir. Bu tahmin edilemezliği ölçmenin yolu "entropi" kavramıdır ve bit cinsinden ifade edilir. Karakter sayısı arttıkça ve kullandığınız karakter havuzu genişledikçe entropi yükselir.
İki etkenden hangisinin daha önemli olduğunu merak ediyorsanız cevap nettir: uzunluk. Parolaya eklediğiniz her karakter, olası kombinasyon sayısını katlayarak büyütür. Bu yüzden güç doğrusal değil, üstel olarak artar. Sekiz karakterlik karışık bir parolayı kırmak bir saldırgan için zahmetsizken, on altı karakterlik bir parola pratikte ulaşılamaz hâle gelir.
Karar Çarkı'nın parola üreticisi, uzunluğu ve hangi karakter türlerini (büyük harf, küçük harf, rakam, sembol) dâhil edeceğinizi seçmenize izin verir. Sembolleri ve rakamları da işin içine kattığınızda karakter havuzu büyür ve aynı uzunlukta çok daha sağlam bir sonuç elde edersiniz.
Parolalarınız tarayıcınızdan hiç çıkmıyor
Birçok kişi haklı olarak şunu sorar: "Ürettiğim parola bir sunucuya gönderiliyor mu?" Karar Çarkı'nda cevap kesin bir hayırdır. Üretim işlemi tamamen sizin tarayıcınızda, yerel olarak gerçekleşir.
Bu, oluşturulan parolaların internet üzerinden hiçbir yere iletilmediği, kaydedilmediği ve bizim de dâhil olmak üzere kimsenin onları göremediği anlamına gelir. Güvenlik odaklı bir araçta bu, sonradan eklenen bir özellik değil, temel tasarım ilkesidir. İnternet bağlantınızı kesseniz bile araç çalışmaya devam eder; çünkü hesaplama cihazınızda yapılır.
Günlük hayatta uygulayabileceğiniz parola alışkanlıkları
Güçlü bir parola üretmek ilk adımdır; onu doğru kullanmak ise asıl meseledir. Aşağıdaki alışkanlıklar, hesaplarınızı çoğu saldırı türüne karşı korur:
- Önemsiz hesaplarda bile 12 karakter, e-posta ve banka gibi kritik hesaplarda 16+ karakter hedefleyin
- Her site için tamamen farklı bir parola kullanın; tek bir sızıntı diğer hesaplarınızı tehlikeye atmasın
- Sözlükte bulunan kelimelerden, isimlerden, doğum tarihlerinden ve "123456" gibi dizilerden kaçının
- Tüm parolalarınızı akılda tutmaya çalışmak yerine bir parola yöneticisi kullanın
- Mümkün olan her yerde iki adımlı doğrulamayı (2FA) etkinleştirin
Bu kuralların en zorlayıcısı genellikle "her site için farklı parola" maddesidir. İşte tam bu yüzden bir parola yöneticisi vazgeçilmezdir: onlarca karmaşık parolayı sizin yerinize hatırlar, böylece siz yalnızca tek bir ana parolayı bilmeniz yeterli olur.
Sık yapılan hatalar ve uzunluğun somut etkisi
İnsanların kendilerini güvende sandığı ama aslında zayıf kaldığı birkaç yaygın hata vardır. Bunları bilmek, doğru parolayı seçmek kadar önemlidir:
- Kelimenin sonuna "123" veya "!" eklemek: "Sifre123!" gibi parolalar saldırganların ilk denediği kalıplardandır
- "a" yerine "@", "o" yerine "0" gibi öngörülebilir harf değişimleri yapmak; saldırı yazılımları bu hileyi zaten bilir
- Aynı parolanın küçük varyasyonlarını farklı sitelerde kullanmak (Sifre1, Sifre2 gibi)
- Parolayı bir not uygulamasına ya da tarayıcının açık metin alanına yazıp unutmak
Uzunluğun neden bu kadar önemli olduğunu somut bir örnekle düşünelim. Yalnızca küçük harf ve rakamdan oluşan 8 karakterlik bir parolanın olası kombinasyonu, aynı karakter havuzuyla 12 karakter seçtiğinizde milyonlarca kat artar. Bu yüzden "akılda kalan kısa ama karmaşık parola" yerine, "uzun ama tahmin edilemez" bir parola her zaman daha güvenlidir. Karar Çarkı ile birkaç saniyede yeterince uzun ve rastgele bir parola ürettiğinizde, bu hataların neredeyse tamamını tek seferde geride bırakırsınız.