Kaspersky Araştırması: Sızdırılan Parolaların Yarısından Fazlası Sayıyla Bitiyor

Dünya Şifre Günü kapsamında Kaspersky uzmanları, 2023-2026 yılları ortasında ortaya çıkan büyük bilgi sızıntılarında yer alan 231 milyon eşsiz parolayı tahlil ederek dikkat cazip sonuçlara ulaştı. Araştırmaya nazaran günümüzde kullanılan parolaların yüzde 68’i bir gün içinde kırılabiliyor. Bunun yanı sıra, ele geçirilen parolaların büyük kısmının bir sayıyla başladığı ya da sona erdiği görüldü. Bu yaygın kullanım alışkanlığı, parolaları kaba kuvvet (brute force) hücumlarına karşı daha savunmasız hale getiriyor. Öte yandan kullanıcıların, tanınan kültür ve olumlu çağrışım yapan sözleri tercih ettiği de dikkat çekiyor. Örneğin son birkaç yılda tahlil edilen parolalarda “Skibidi” sözünün kullanım oranı 36 kat artış gösterdi. Bu yükseliş, internet trendinin popülerleşmesiyle paralel ilerledi.

Son yıllarda inançlı parola oluşturma kuralları giderek daha fazla gündeme geliyor. Birçok dijital servis artık kullanıcılarından en az 10 karakter uzunluğunda, büyük harf, sayı ve özel karakter içeren parolalar talep ediyor. Fakat geçmiş yıllardaki sızdırılmış parola bilgilerinin mukayeseli tahlili, sadece bu temel kurallara uymanın brute force yahut yapay zekâ dayanaklı hücumlara karşı kâfi muhafaza sağlamadığını ortaya koyuyor.

Kaspersky uzmanları, kullanıcıların daha güçlü ve inançlı parolalar oluşturabilmesi için dikkat edilmesi gereken noktaları ve en sık yapılan yanlışları paylaşıyor.

Rakam ve sembol kullanımında daha yaratıcı olun

Yalnızca tek bir özel karakter içeren sızdırılmış parolalar incelendiğinde, en sık kullanılan sembolün yüzde 10 oranıyla “@” işareti olduğu görülüyor. Onu yüzde 3 ile nokta (.) takip ediyor. Tüm tahlil edilen parolalar ortasında ise “@” en yaygın ikinci karakter olurken, üçüncü sırada “!” yer alıyor.

Rakam kullanımında da benzeri derecede öngörülebilir kalıplar dikkat çekiyor:

• İncelenen parolaların yüzde 53’ü sayılarla sona eriyor.
• Yüzde 17’si sayılarla başlıyor.
• Yaklaşık yüzde 12’si, 1950-2030 yılları ortasındaki tarihlere benzeyen sayı dizileri içeriyor.
• Sızdırılmış parolaların yüzde 3’ünde “qwerty” yahut “ytrewq” üzere klavye dizilimleri yer alırken, en yaygın örnekleri “1234” gibisi sayısal diziler oluşturuyor.

Kaspersky Veri Bilimi Ekibi Lideri Alexey Antonov, özellikle yaygın kullanılan sembollerin, sayıların yahut tarihlerin parolanın başında ya da sonunda kullanılmasının siber hatalılar için brute force hücumlarını değerli ölçüde kolaylaştırdığına dikkat çekiyor. Antonov’a nazaran bu nedenle daha az tercih edilen karakterlerin kullanılması ve iddia edilmesi kolay sayı ya da klavye dizilimlerinden kaçınılması gerekiyor.

“Brute force akınları, hakikat parola bulunana kadar tüm mümkün karakter kombinasyonlarını sistematik halde deneyerek çalışır. Saldırganlar kullanıcıların hangi karakterleri daha sık tercih ettiğini bildiğinde, parolanın kırılması için gereken müddet önemli ölçüde azalır. İddia edilebilir semboller seçme eğiliminden kaçınmak için, harf, sayı ve özel karakterleri eşit olasılıkla üreten parola oluşturucuların kullanılması büyük değer taşıyor” diyor Antonov.

Kelime Kullanımından Kaçının: Hisler ve Akımlar Risk Taşıyor

Araştırma, duygusal yahut tanınan sözlerin sıklıkla parolanın temelini oluşturduğunu kanıtlıyor. 2023-2026 yılları ortasında “Skibidi” sözünün kullanımındaki 36 katlık artış, internet kültürünün siber güvenliğe olan direkt yansımasını gösteriyor.

Kaspersky uzmanlarının olumlu ve negatif sözler üzerine yaptığı tahlilde, müspet sözlerin çok daha baskın olduğu görüldü. Parolalarda en sık rastlanan sözler arasında “love”, “magic”, “friend”, “team”, “angel”, “star” ve “eden” gibi tabirler yer alıyor. Bununla birlikte “hell”, “devil”, “nightmare” ve “scar” gibi negatif sözler de listede kendine yer buluyor.

Antonov bu hususta şu teklifte bulunuyor: “Sonuna bir sayı yahut sembol eklense bile tek bir sözden oluşan parolalar zayıf tercihlerdir. Bu kalıplar çok öngörülebilir olduğu için saldırganlar tarafından kolay kolay iddia edilebilir. Bunun yerine, birbiriyle ilgisiz birkaç kelimeyi bir ortaya getiren, ortalara sayılar ve semboller serpiştirilen ve hatta şuurlu yazım yanlışları içeren bir ‘parola cümlesi’ (passphrase) oluşturun. Parola ne kadar uzun, rastgele ve öngörülemez olursa kırılması o kadar zorlaşır. Ayrıyeten, mümkün olan her yerde iki faktörlü doğrulamayı (2FA) kesinlikle aktifleştirin.”

Parola Uzunluğu Tek Başına Kâfi mi?

Uzun parolaların kırılmasının daha sıkıntı olduğu uzun müddettir biliniyor ve sızdırılmış parola tahlilleri de bunu doğruluyor. Lakin yapay zekâ takviyeli araçların gelişmesiyle birlikte, sadece parola uzunluğu artık tek başına kâfi güvenliği sağlamıyor. Zira uzun parolalar dahi öngörülebilir kalıplar içerdiğinde çarçabuk kırılabiliyor.

Araştırmaya nazaran bilgi sızıntılarında yer alan sekiz karakter ve altındaki kısa parolalar çoklukla bir gün içinde brute force taarruzlarıyla kırılabiliyor. Öte yandan yapay zekâ takviyeli akıllı algoritmalar sayesinde 15 karakter uzunluğundaki parolaların %20’sinden fazlası bir dakikadan kısa müddette çözülebiliyor.

Parola uzunluğunun kırılma oranlarına tesiri: Tek bir 5090 GPU ve MD5 algoritmasına dayalı sonuçlar

Analiz edilen tüm parolaların yüzde 60,2’sinin — uzunluğundan bağımsız olarak — yaklaşık bir saat içinde kırılabildiği görülürken, bu oran bir gün içinde kırılabilen parolalarda yüzde 68,2’ye ulaşıyor.

Paylaşılan örneklerdeki hesaplamalar, tek bir RTX 5090 GPU ve MD5 algoritması baz alınarak gerçekleştirildi. Fakat gerçek dünya senaryolarında saldırganlar; 10, 100 hatta daha fazla GPU’yu kiralayabiliyor. Bu çeşit şartlarda parola kırma suratı, potansiyel olarak katlanarak artabiliyor.

Günümüz şartlarında sahiden güçlü bir parola; sırf 16 karakter ve üzeri uzunluk standardını karşılamakla kalmıyor, tıpkı vakitte rastgele oluşturulmuş, tekrar etmeyen harf, sayı ve sembollerden oluşuyor ve her hesap için eşsiz biçimde kullanılıyor. Kullanıcıların bu cins inançlı parolalar oluşturmasına yardımcı olmak gayesiyle Kaspersky, Kaspersky Password Generator websitesine parola oluşturma özelliği ekledi. Böylelikle kullanıcılar artık sadece parolalarının sızıntılara karışıp karışmadığını denetim etmekle kalmıyor, birebir vakitte fiyatsız olarak güçlü parolalar da oluşturabiliyor.

Parolaların kolay ve inançlı biçimde yönetilmesi, otomatik doldurma özelliğinden yararlanılması ve aygıtlar ortasında inançlı senkronizasyon sağlanması için, tüm kimlik bilgilerinin inançlı bir kasada saklandığı ve tek bir ana parola ile korunduğu bir parola yöneticisinin kullanılması öneriliyor. Bu yaklaşım, yüzlerce farklı parolayı hatırlama gereksinimini ortadan kaldırırken, bilgilerin data ihlallerine karşı korunmasına da yardımcı oluyor. Üstelik sadece parolalar değil, passkey’ler de doğrudan Kaspersky Password Manager içerisinde oluşturulup saklanabiliyor. Böylelikle kullanıcılar desteklenen hizmetlere tek dokunuşla giriş yapabilirken, inançlı senkronizasyon sayesinde passkey’lerine tüm aygıtlarından erişebiliyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı