Kaspersky Araştırması: Sızdırılan Parolaların Yarısından Fazlası Sayıyla Bitiyor

Dünya Şifre Günü kapsamında Kaspersky uzmanları, 2023-2026 yılları ortasında ortaya çıkan büyük data sızıntılarında yer alan 231 milyon eşsiz parolayı tahlil ederek dikkat cazip sonuçlara ulaştı. Araştırmaya nazaran günümüzde kullanılan parolaların yüzde 68’i bir gün içinde kırılabiliyor. Bunun yanı sıra, ele geçirilen parolaların büyük kısmının bir sayıyla başladığı ya da sona erdiği görüldü. Bu yaygın kullanım alışkanlığı, parolaları kaba kuvvet (brute force) hücumlarına karşı daha savunmasız hale getiriyor. Öte yandan kullanıcıların, tanınan kültür ve olumlu çağrışım yapan sözleri tercih ettiği de dikkat çekiyor. Örneğin son birkaç yılda tahlil edilen parolalarda “Skibidi” sözünün kullanım oranı 36 kat artış gösterdi. Bu yükseliş, internet trendinin popülerleşmesiyle paralel ilerledi.

Son yıllarda inançlı parola oluşturma kuralları giderek daha fazla gündeme geliyor. Birçok dijital servis artık kullanıcılarından en az 10 karakter uzunluğunda, büyük harf, sayı ve özel karakter içeren parolalar talep ediyor. Fakat geçmiş yıllardaki sızdırılmış parola bilgilerinin mukayeseli tahlili, sadece bu temel kurallara uymanın brute force yahut yapay zekâ takviyeli hücumlara karşı kâfi müdafaa sağlamadığını ortaya koyuyor.

Kaspersky uzmanları, kullanıcıların daha güçlü ve inançlı parolalar oluşturabilmesi için dikkat edilmesi gereken noktaları ve en sık yapılan yanlışları paylaşıyor.

Rakam ve sembol kullanımında daha yaratıcı olun

Yalnızca tek bir özel karakter içeren sızdırılmış parolalar incelendiğinde, en sık kullanılan sembolün yüzde 10 oranıyla “@” işareti olduğu görülüyor. Onu yüzde 3 ile nokta (.) takip ediyor. Tüm tahlil edilen parolalar ortasında ise “@” en yaygın ikinci karakter olurken, üçüncü sırada “!” yer alıyor.

Göz Atın

Her periyodun parolası 123456

1 milyar dolarlık pazar, 50 milyon oyuncu: Türkiye’de gaming büyüyor

7 Mayıs’ta A101’de Mobilite Eserleri Dikkatleri Çekiyor

Rakam kullanımında da emsal derecede öngörülebilir kalıplar dikkat çekiyor:

• İncelenen parolaların yüzde 53’ü sayılarla sona eriyor.
• Yüzde 17’si sayılarla başlıyor.
• Yaklaşık yüzde 12’si, 1950-2030 yılları ortasındaki tarihlere benzeyen sayı dizileri içeriyor.
• Sızdırılmış parolaların yüzde 3’ünde “qwerty” yahut “ytrewq” üzere klavye dizilimleri yer alırken, en yaygın örnekleri “1234” gibisi sayısal diziler oluşturuyor.

Kaspersky Veri Bilimi Ekibi Lideri Alexey Antonov, özellikle yaygın kullanılan sembollerin, sayıların yahut tarihlerin parolanın başında ya da sonunda kullanılmasının siber hatalılar için brute force hücumlarını kıymetli ölçüde kolaylaştırdığına dikkat çekiyor. Antonov’a nazaran bu nedenle daha az tercih edilen karakterlerin kullanılması ve kestirim edilmesi kolay sayı ya da klavye dizilimlerinden kaçınılması gerekiyor.

“Brute force hücumları, yanlışsız parola bulunana kadar tüm mümkün karakter kombinasyonlarını sistematik formda deneyerek çalışır. Saldırganlar kullanıcıların hangi karakterleri daha sık tercih ettiğini bildiğinde, parolanın kırılması için gereken müddet önemli ölçüde azalır. Kestirim edilebilir semboller seçme eğiliminden kaçınmak için, harf, sayı ve özel karakterleri eşit olasılıkla üreten parola oluşturucuların kullanılması büyük ehemmiyet taşıyor” diyor Antonov.

Kelime Kullanımından Kaçının: Hisler ve Akımlar Risk Taşıyor

Araştırma, duygusal yahut tanınan sözlerin sıklıkla parolanın temelini oluşturduğunu kanıtlıyor. 2023-2026 yılları ortasında “Skibidi” sözünün kullanımındaki 36 katlık artış, internet kültürünün siber güvenliğe olan direkt yansımasını gösteriyor.

Kaspersky uzmanlarının olumlu ve negatif sözler üzerine yaptığı tahlilde, müspet sözlerin çok daha baskın olduğu görüldü. Parolalarda en sık rastlanan sözler arasında “love”, “magic”, “friend”, “team”, “angel”, “star” ve “eden” gibi sözler yer alıyor. Bununla birlikte “hell”, “devil”, “nightmare” ve “scar” gibi negatif sözler de listede kendine yer buluyor.

Antonov bu hususta şu teklifte bulunuyor: “Sonuna bir sayı yahut sembol eklense bile tek bir sözden oluşan parolalar zayıf tercihlerdir. Bu kalıplar çok öngörülebilir olduğu için saldırganlar tarafından kolaylıkla kestirim edilebilir. Bunun yerine, birbiriyle ilgisiz birkaç kelimeyi bir ortaya getiren, ortalara sayılar ve semboller serpiştirilen ve hatta şuurlu yazım kusurları içeren bir ‘parola cümlesi’ (passphrase) oluşturun. Parola ne kadar uzun, rastgele ve öngörülemez olursa kırılması o kadar zorlaşır. Ayrıyeten, mümkün olan her yerde iki faktörlü doğrulamayı (2FA) kesinlikle aktifleştirin.”

Parola Uzunluğu Tek Başına Kâfi mi?

Uzun parolaların kırılmasının daha güç olduğu uzun müddettir biliniyor ve sızdırılmış parola tahlilleri de bunu doğruluyor. Lakin yapay zekâ takviyeli araçların gelişmesiyle birlikte, sadece parola uzunluğu artık tek başına kâfi güvenliği sağlamıyor. Zira uzun parolalar dahi öngörülebilir kalıplar içerdiğinde çarçabuk kırılabiliyor.

Araştırmaya nazaran data sızıntılarında yer alan sekiz karakter ve altındaki kısa parolalar ekseriyetle bir gün içinde brute force akınlarıyla kırılabiliyor. Öte yandan yapay zekâ dayanaklı akıllı algoritmalar sayesinde 15 karakter uzunluğundaki parolaların %20’sinden fazlası bir dakikadan kısa müddette çözülebiliyor.

Parola uzunluğunun kırılma oranlarına tesiri: Tek bir 5090 GPU ve MD5 algoritmasına dayalı sonuçlar

Analiz edilen tüm parolaların yüzde 60,2’sinin — uzunluğundan bağımsız olarak — yaklaşık bir saat içinde kırılabildiği görülürken, bu oran bir gün içinde kırılabilen parolalarda yüzde 68,2’ye ulaşıyor.

Paylaşılan örneklerdeki hesaplamalar, tek bir RTX 5090 GPU ve MD5 algoritması baz alınarak gerçekleştirildi. Lakin gerçek dünya senaryolarında saldırganlar; 10, 100 hatta daha fazla GPU’yu kiralayabiliyor. Bu cins şartlarda parola kırma suratı, potansiyel olarak katlanarak artabiliyor.

Günümüz şartlarında hakikaten güçlü bir parola; sırf 16 karakter ve üzeri uzunluk standardını karşılamakla kalmıyor, birebir vakitte rastgele oluşturulmuş, tekrar etmeyen harf, sayı ve sembollerden oluşuyor ve her hesap için eşsiz formda kullanılıyor. Kullanıcıların bu cins inançlı parolalar oluşturmasına yardımcı olmak hedefiyle Kaspersky, Kaspersky Password Generator websitesine parola oluşturma özelliği ekledi. Böylelikle kullanıcılar artık sırf parolalarının sızıntılara karışıp karışmadığını denetim etmekle kalmıyor, tıpkı vakitte fiyatsız olarak güçlü parolalar da oluşturabiliyor.

Parolaların kolay ve inançlı formda yönetilmesi, otomatik doldurma özelliğinden yararlanılması ve aygıtlar ortasında inançlı senkronizasyon sağlanması için, tüm kimlik bilgilerinin inançlı bir kasada saklandığı ve tek bir ana parola ile korunduğu bir parola yöneticisinin kullanılması öneriliyor. Bu yaklaşım, yüzlerce farklı parolayı hatırlama gereksinimini ortadan kaldırırken, bilgilerin veri ihlallerine karşı korunmasına da yardımcı oluyor. Üstelik sırf parolalar değil, passkey’ler de doğrudan Kaspersky Password Manager içerisinde oluşturulup saklanabiliyor. Böylelikle kullanıcılar desteklenen hizmetlere tek dokunuşla giriş yapabilirken, inançlı senkronizasyon sayesinde passkey’lerine tüm aygıtlarından erişebiliyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı