Şirketten yapılan açıklamaya göre, Kaspersky'nin "Digital Footprint Intelligence" hizmeti tarafından sağlanan verilerinden yararlanılan araştırma, benzersiz parolanın kırılma süreleri, karakter kullanımı ve oluşturulma kalıplarına ilişkin bilgi sunuyor.

Kaspersky'nin Dünya Şifre Günü dolayısıyla gerçekleştirdiği araştırma kapsamında şirket uzmanları, 2023-2026 arasında büyük veri sızıntılarında yer alan 231 milyon benzersiz parolayı analiz etti.

Buna göre, kullanılan parolaların yüzde 68'i bir gün içinde kırılabiliyor ve ele geçirilen parolaların büyük bölümü bir rakamla başlıyor veya sona eriyor. Bu yaygın kullanım alışkanlığı, parolaları "brute force" saldırılarına karşı daha savunmasız hale getiriyor.

Öte yandan, kullanıcıların popüler kültür ve olumlu çağrışım yapan kelimeleri tercih ettiği de görülüyor. Son birkaç yılda analiz edilen parolalarda "Skibidi" kelimesinin kullanım oranının 36 kat artış göstermesi, internet trendinin popülerleşmesiyle paralel ilerliyor.

Son yıllarda güvenli parola oluşturma kuralları giderek daha fazla gündeme geliyor. Birçok dijital servis kullanıcılarından 10 karakter uzunluğunda, büyük harf, rakam ve özel karakter içeren parolalar talep ediyor. Geçmiş yıllardaki sızdırılmış parola verilerinin karşılaştırmalı analizi ise yalnızca bu temel kurallara uymanın brute force veya yapay zeka destekli saldırılara karşı yeterli koruma sağlamadığını ortaya koyuyor.

Yalnızca tek bir özel karakter içeren sızdırılmış parolalar incelendiğinde, sık kullanılan sembolün yüzde 10 oranıyla "@" işareti olduğu görülüyor. Onu yüzde 3 ile nokta işareti takip ediyor. Tüm analiz edilen parolalar arasında ise "@" yaygın ikinci karakter olurken, üçüncü sırada "!" yer alıyor.

İncelenen parolaların yüzde 53'ü rakamlarla sona eriyor, yüzde 17'si rakamlarla başlıyor. Yaklaşık yüzde 12'si, 1950-2030 yılları arasındaki tarihlere benzeyen sayı dizileri içeriyor. Sızdırılmış parolaların yüzde 3'ünde "qwerty" veya "ytrewq" gibi klavye dizilimleri yer alırken, yaygın örnekleri "1234" benzeri sayısal diziler oluşturuyor.

Araştırma, duygusal veya popüler kelimelerin sıklıkla parolanın temelini oluşturduğunu gösteriyor. Pozitif ve negatif kelimeler üzerine yapılan analizde, pozitif kelimelerin çok daha baskın olduğu görülüyor. Parolalarda sık rastlanan kelimeler arasında "love", "magic", "friend", "team", "angel", "star" ve "eden" gibi ifadeler yer alıyor. "hell", "devil", "nightmare" ve "scar" gibi negatif kelimeler de listede bulunuyor.

 

PAROLA UZUNLUĞU TEK BAŞINA YETERLİ DEĞİL

Uzun parolaların kırılmasının zor olduğu bilinirken, sızdırılmış parola analizleri de bunu doğruluyor. Ancak yapay zeka destekli araçların gelişmesiyle, yalnızca parola uzunluğu tek başına yeterli güvenliği sağlamıyor. Uzun parolalar dahi öngörülebilir kalıplar içerdiğinde kolaylıkla kırılabiliyor.

Veri sızıntılarında yer alan 8 karakter ve altındaki kısa parolalar genellikle bir gün içinde kaba kuvvet saldırılarıyla kırılabiliyor. Yapay zeka destekli akıllı algoritmalar sayesinde 15 karakter uzunluğundaki parolaların yüzde 20'sinden fazlası bir dakikadan kısa sürede çözülebiliyor.

Analiz edilen tüm parolaların yüzde 60,2'sinin uzunluğundan bağımsız olarak yaklaşık bir saat içinde kırılabildiği görülürken, bu oran bir gün içinde kırılabilen parolalarda yüzde 68,2'ye ulaşıyor. Paylaşılan örneklerdeki hesaplamalar tek bir GPU ve MD5 algoritması baz alınarak gerçekleştirilirken, gerçek dünya senaryolarında saldırganların çok sayıda GPU kiralayabileceği ve bu koşullarda parola kırma hızının katlanarak artabileceği vurgulanıyor.

Günümüz koşullarında güçlü bir parolanın yalnızca 16 karakter ve üzeri uzunluk standardını karşılamakla kalmadığı, aynı zamanda rastgele oluşturulmuş, tekrar etmeyen harf, rakam ve sembollerden oluştuğu ve her hesap için benzersiz şekilde kullanıldığı belirtiliyor.

Kaspersky, kullanıcıların bu tür güvenli parolalar oluşturmasına yardımcı olmak amacıyla şirketin internet sitesine parola oluşturma özelliği ekledi. Bu sayede kullanıcılar parolalarının sızıntılara karışıp karışmadığını kontrol etmenin yanı sıra ücretsiz olarak güçlü parolalar da oluşturabiliyor.

Şirket uzmanları, parolaların güvenli şekilde yönetilmesi, otomatik doldurma özelliğinden yararlanılması ve cihazlar arasında senkronizasyon sağlanması için kimlik bilgilerinin güvenli bir kasada saklandığı ve tek bir ana parola ile korunduğu parola yöneticisinin kullanılmasını öneriyor. Yalnızca parolaların değil, geçiş anahtarlarının (passkey) da parola yöneticisinde oluşturulup saklanabildiği, böylece kullanıcıların desteklenen hizmetlere tek dokunuşla giriş yapabildiği ve anahtarlarına tüm cihazlarından erişebildiği belirtiliyor.

"YAYGIN KULLANILAN YÖNTEMLER SİBER SALDIRGANLARIN İŞİNİ KOLAYLAŞTIRIYOR"

Açıklamada görüşlerine yer verilen Kaspersky Veri Bilimi Ekibi Lideri Alexey Antonov, özellikle yaygın kullanılan sembollerin, sayıların veya tarihlerin parolanın başında ya da sonunda kullanılmasının siber suçlular için brute force saldırılarını önemli ölçüde kolaylaştırdığını, bu nedenle daha az tercih edilen karakterlerin kullanılması ve tahmin edilmesi kolay sayı ya da klavye dizilimlerinden kaçınılması gerektiğini belirtti.

Brute force saldırılarının doğru parola bulunana kadar tüm olası karakter kombinasyonlarını sistematik şekilde deneyerek çalıştığını aktaran Antonov, "Saldırganlar kullanıcıların hangi karakterleri daha sık tercih ettiğini bildiğinde, parolanın kırılması için gereken süre ciddi ölçüde azalır. Tahmin edilebilir semboller seçme eğiliminden kaçınmak için harf, rakam ve özel karakterleri eşit olasılıkla üreten parola oluşturucuların kullanılması büyük önem taşıyor." tavsiyesinde bulundu.

Antonov, güçlü parola oluşturma konusunda şu değerlendirmelerde bulundu: "Sonuna bir rakam veya sembol eklense bile tek bir kelimeden oluşan parolalar zayıf tercihlerdir. Bu kalıplar çok öngörülebilir olduğu için saldırganlar tarafından kolayca tahmin edilebilir. Bunun yerine, birbiriyle ilgisiz birkaç kelimeyi bir araya getiren, aralara rakamlar ve semboller serpiştirilen ve hatta bilinçli yazım hataları içeren bir 'parola cümlesi' (passphrase) oluşturun. Parola ne kadar uzun, rastgele ve öngörülemez olursa kırılması o kadar zorlaşır. Ayrıca, mümkün olan her yerde iki faktörlü doğrulamayı (2FA) mutlaka etkinleştirin."