$ifrenizde yanlış olan ne?
-
0:01 - 0:04Burada Carneige Mellon'da bilgisayar
bilimi ve mühendisliği profesörüyüm -
0:04 - 0:08ve çalışmalarım ağırlıkla "kullanılabilir
mahremiyet ve güvenlik" üzerine. -
0:08 - 0:11Bu yüzden arkadaşlarım bana,
-
0:11 - 0:13bilişim sistemlerindeki sıkıntılarından,
-
0:13 - 0:17özellikle de kullanışsız
-
0:17 - 0:21mahremiyet ve güvenlikle ilgili
sıkıntılarından örnekler vermeyi sever. -
0:21 - 0:24Hâliyle şifreler, hakkında çok
konuşulduğunu duyduğum bir şey. -
0:24 - 0:26Çok kişi şifrelerle sıkıntı yaşıyor,
-
0:26 - 0:28ve bu durum, hatırlayabileceğiniz
-
0:28 - 0:31ancak başkasının tahmin edemeyeceği,
-
0:31 - 0:32gerçekten iyi bir şifreniz
-
0:32 - 0:35olduğunda yeterince kötüdür.
-
0:35 - 0:37Yüz farklı sistem üzerinde
-
0:37 - 0:39hesaplarınız olsa
-
0:39 - 0:41ve her bir sistem için
-
0:41 - 0:44benzersiz bir şifreniz
olması gerekse ne yaparsınız? -
0:44 - 0:46Çok zor.
-
0:46 - 0:48Carnegie Mellon'da
-
0:48 - 0:49şifreleri hatırlamamız için
-
0:49 - 0:51çok kolay
bir yöntem uyguluyorlardı. -
0:51 - 0:532009 yılına kadar şifre koşulu
-
0:53 - 0:56şifrenizin sadece
-
0:56 - 0:58en az bir karakterli olmasıydı.
-
0:58 - 1:01Oldukça kolay.
Fakat sonra bazı şeyleri değiştirdiler. -
1:01 - 1:042009 yılının sonunda yeni bir şifre
-
1:04 - 1:06politikasının uygulamasına geçileceğini
-
1:06 - 1:08ve yeni şifre politikasında
-
1:08 - 1:11şifrelerin en az sekiz karakter
uzunluğunda olacağını, -
1:11 - 1:12en az bir büyük harf ve küçük harf,
-
1:12 - 1:14bir rakam ve sembol içermesi,
-
1:14 - 1:16aynı karakterin üç defadan
fazla kullanılmaması gerektiği -
1:16 - 1:19ve sözlükte yer alan bir kelimeye
izin verilmeyeceğini duyurdular. -
1:19 - 1:21Şu anda yeni şifre politikasını uygulamaya başladıklarında,
-
1:21 - 1:23birçok kişi,
meslektaşlarım ve arkadaşlarım -
1:23 - 1:25bana gelip: "Of,
-
1:25 - 1:26gerçekten kullanışsız.
-
1:26 - 1:28Bunu bize neden yapıyorlar?
-
1:28 - 1:29Ve sen neden onları engellemedin?"
demişlerdi. -
1:29 - 1:31Ve ben dedim ki: "Bak ne diyeceğim?
-
1:31 - 1:32Bana sormadılar."
-
1:32 - 1:36Fakat merak ettim ve gidip
-
1:36 - 1:38bilişim sistemlerinden sorumlu kişilerle
-
1:38 - 1:41konuşmaya ve yeni sisteme
geçmelerine neyin sebep olduğunu -
1:41 - 1:42öğrenmeye karar verdim.
-
1:42 - 1:44Bana üniversitenin
-
1:44 - 1:46Üniversiteler Birliği'ne üye olduğunu
-
1:46 - 1:49ve üyelik şartlarından birinin, bazı yeni
-
1:49 - 1:51gereksinimlere uyumlu,
güçlü şifrelerimizin -
1:51 - 1:53olmasını gerektirdiğini
ve bu gereksinimlerin -
1:53 - 1:56şifrelerimizin daha entropik olması
-
1:56 - 1:57anlamına geldiğini söylediler.
-
1:57 - 1:59Entropi karmaşık bir terim
-
1:59 - 2:02fakat temelde entropi,
şifrelerin gücünü ölçer. -
2:02 - 2:04Fakat mesele şu ki; aslında
-
2:04 - 2:06entropinin standart bir ölçüsü yok.
-
2:06 - 2:09Ulusal Standartlar
ve Teknoloji Enstitüsü'nün -
2:09 - 2:10entropiyi ölçmek üzere
-
2:10 - 2:13kabul görmüş bir takım
-
2:13 - 2:14pratik kılavuzları var.
-
2:14 - 2:17Fakat bunlar çok detaylı değiller
-
2:17 - 2:19ve sadece pratik kılavuzlarının
olmasının sebebi -
2:19 - 2:23aslında şifreler üzerine yeterli veriye
-
2:23 - 2:24sahip olmamalarıdır.
-
2:24 - 2:26Aslında raporlarında
-
2:26 - 2:29"Maalesef, kullanıcıların
belirli kurallarla -
2:29 - 2:32oluşturdukları şifrelerle ilgili
elimizde çok veri yok. -
2:32 - 2:34NIST, kullanıcıların gerçekten seçtikleri
-
2:34 - 2:36şifrelerden daha fazla veri
edinmek istiyor, -
2:36 - 2:39fakat sistem yöneticileri,
şifre bilgilerini -
2:39 - 2:42başkalarıyla paylaşmaya
doğal olarak isteksizler." -
2:42 - 2:45Bu bir problem fakat araştırma ekibimiz
-
2:45 - 2:47bunu bir fırsat olarak gördü.
-
2:47 - 2:50Dedik ki: "Evet iyi bir şifre verisine
ihtiyacımız var. -
2:50 - 2:52Belki bunu toplayabilir ve gerçekten
-
2:52 - 2:55daha ileriye taşıyabiliriz.
-
2:55 - 2:57Böylece yaptığımız ilk şey,
-
2:57 - 2:58bir paket dolusu çikolata aldık
-
2:58 - 2:59ve kampüsün içinde dolaştık.
-
2:59 - 3:02Öğrencilerle, hocalarla,
çalışanlarla konuştuk, -
3:02 - 3:04onlardan şifreleri
-
3:04 - 3:05hakkında bilgi istedik.
-
3:05 - 3:08Pekala "Bize şifrenizi verin" demedik.
-
3:08 - 3:11Sadece şifreleri hakkında soru sorduk.
-
3:11 - 3:12Ne kadar uzun? Bir rakam,
-
3:12 - 3:13bir sembol içeriyor mu?
-
3:13 - 3:15Ve son bir hafta içerisinde yeni bir şifre
-
3:15 - 3:18oluştururken sinir oldunuz mu?
-
3:18 - 3:21470 öğrenci, öğretmen ve çalışandan
-
3:21 - 3:22verileri topladık
-
3:22 - 3:25ve teyit ettik ki yeni şifre politikası
-
3:25 - 3:26oldukça can sıkıcı
-
3:26 - 3:28fakat insanların bu şifrelerle
-
3:28 - 3:31kendilerini daha güvende
hissettiklerini de gördük. -
3:31 - 3:33Gördük ki; çoğu kişi şifrelerini
-
3:33 - 3:36bir yere yazmamaları gerektiğini biliyordu
-
3:36 - 3:38ve sadece yüzde 13'ü yazıyordu.
-
3:38 - 3:40Fakat endişelendiren husus yüzde 80'inin
-
3:40 - 3:43eski şifrelerini
tekrar kullandığını söylemesiydi. -
3:43 - 3:44Aslında bu, şifreleri
-
3:44 - 3:46bir yere yazmaktan daha tehlikeli.
-
3:46 - 3:50Çünkü bu durum sizi saldırganlara karşı
açık duruma getirecektir. -
3:50 - 3:53Yani eğer zorundaysan,
şifreleri bir yere yaz -
3:53 - 3:55ama onları tekrar kullanma.
-
3:55 - 3:57Ayrıca insanların şifrelerinde
-
3:57 - 4:00kullandıkları sembollerle ilgili
ilginç şeyler de gördük. -
4:00 - 4:02Şimdi, CMU 32 farklı sembole izin veriyor
-
4:02 - 4:05ancak görüldüğü üzere,
çoğu kişinin kullandığı -
4:05 - 4:07sadece bir küçük numara var.
-
4:07 - 4:10Yani aslında, şifremizdeki sembollerden
-
4:10 - 4:12çok fazla güç elde edemiyoruz.
-
4:12 - 4:15Evet, bu çok ilginç bir çalışma
-
4:15 - 4:17ve şu anda 470 kişiden bilgi aldık,
-
4:17 - 4:18ama bunların düzeninde,
-
4:18 - 4:21aslında çok fazla şifre verisi yok
-
4:21 - 4:22dolayısıyla biz de daha fazla
-
4:22 - 4:25veriyi nerden bulabileceğimize baktık.
-
4:25 - 4:27Sonra ortaya çıktı ki birçok kişi
-
4:27 - 4:29etraftan şifreleri çalıyor,
-
4:29 - 4:32ve ekserisi bunları internete
-
4:32 - 4:33yolluyor.
-
4:33 - 4:35Tabii biz de çalınmış şifrelerden
-
4:35 - 4:39bazılarına erişebildik.
-
4:39 - 4:41Yine de ideal bir araştırma değil gerçi
-
4:41 - 4:43çünkü şifrenin nereden geldiği
-
4:43 - 4:45veya kullanıcıların
bu şifreleri oluştururken -
4:45 - 4:48hangi kurallardan etkilendiği
-
4:48 - 4:50tamamen açık değil.
-
4:50 - 4:53Bu yüzden daha iyi veri kaynağı
bulmak istedik. -
4:53 - 4:55Ve bir çalışma oluşturup,
-
4:55 - 4:57insanların çalışmamız için
şifre oluşturmalarını -
4:57 - 5:00sağlayabileceğimize
karar verdik. -
5:00 - 5:03Bunun için, bir dakika, birkaç dakika
ya da bir saatlik -
5:03 - 5:05online, küçük işler yollanabilen,
-
5:05 - 5:08her görev karşılığında bir sent, on sent,
-
5:08 - 5:09ya da birkaç dolar verilen,
-
5:09 - 5:12ve ödemenin Amazon.com üzerinden yapıldığı
-
5:12 - 5:14"Amazon Mechanical Turk" denilen
-
5:14 - 5:15servisi kulllandık.
-
5:15 - 5:18Ve kurallarımıza göre şifreler oluşturup
-
5:18 - 5:20bir anketi cevaplayan kişilere
-
5:20 - 5:22yaklaşık 50 sent ödedik.
-
5:22 - 5:24Ardından 2 gün sonra geri dönüp
-
5:24 - 5:26şifreleriyle giriş yapan ve farklı bir
-
5:26 - 5:29anketi cevaplayan kişilere
tekrar ödeme yaptık. -
5:29 - 5:33Ve bunu yaparak 5000 şifre topladık,
-
5:33 - 5:36insanlara, şifrelerini oluşturmak için
-
5:36 - 5:37bir takım kurallar verdik.
-
5:37 - 5:39Bazı kişiler Basic8 dediğimiz
-
5:39 - 5:41basit bir kurala sahipti.
-
5:41 - 5:43görüldüğü gibi bundaki tek kural
-
5:43 - 5:47şifrelerinin en az sekiz karakterden
oluşmasıydı. -
5:47 - 5:49Bazılarına da CMU'daki kurallara benzer
-
5:49 - 5:51daha zor kurallar verdik:
-
5:51 - 5:53en az sekiz karakterli,
-
5:53 - 5:56büyük - küçük harf, sayı ve sembol içeren,
-
5:56 - 5:58sözlüklerde bulunmayan şifreler gibi.
-
5:58 - 5:59Denediğimiz kurallardan biri
-
5:59 - 6:01-daha birçok kural vardı-
-
6:01 - 6:03ama bunlardan Basic 16 denen kuralda
-
6:03 - 6:05aranan tek şart
-
6:05 - 6:09şifrenin en az 16 karakterden
oluşmasıydı. -
6:09 - 6:11Evet, artık 5000 şifremiz
-
6:11 - 6:15ve çok daha detaylı bilgiye sahibiz.
-
6:15 - 6:17İnsanların şifrelerinde sembollerden
-
6:17 - 6:19sadece bir tanesini kullandıklarını
-
6:19 - 6:21tekrar gördük.
-
6:21 - 6:24Aynı zamanda
oluşturulan şifrelerin ne kadar -
6:24 - 6:26güçlü oldukları hakkında
bilgi sahibi olmak da istedik, -
6:26 - 6:29Hatırlayacağınız üzere, şifrelerin gücünün
-
6:29 - 6:31iyi bir ölçüsü yok.
-
6:31 - 6:33Bu yüzden, kötü insanların kullandığı
-
6:33 - 6:35veya araştırma literatüründe
-
6:35 - 6:37bilgi bulabildiğimiz
-
6:37 - 6:39en iyi şifre kırma yöntemleriyle
-
6:39 - 6:41şifreleri kırmanın ne kadar süreceğine
-
6:41 - 6:42bakmaya karar verdik.
-
6:42 - 6:45Kötü insanların şifreleri nasıl kırdığı
-
6:45 - 6:47hakkında bilgi sahibi olmanız adına,
-
6:47 - 6:49hash (kargaşa) denilen
karmaşık form benzeri -
6:49 - 6:51bütün şifreleri içeren
-
6:51 - 6:54şifre dosyalarını çalıyorlar,
-
6:54 - 6:57ardından şifreyi bulmak için
-
6:57 - 6:58hashing fonksiyonu üzerinden
-
6:58 - 7:00tahmin yapıyorlar
-
7:00 - 7:02ve şifrenin, kendilerinde bulunan
-
7:02 - 7:06çalınmış şifre listesindekilerle
eşleşip eşleşmediğine bakıyorlar. -
7:06 - 7:09Evet, ahmak bir saldırgan
bütün olasılıkları sırayla dener. -
7:09 - 7:13AAAAA ile başlar ve AAAAB ile devam eder,
-
7:13 - 7:15ve insanların aslında kullandıkları
-
7:15 - 7:17şifrelere benzer şifrelere
-
7:17 - 7:19ulaşmak çok uzun zaman alır.
-
7:19 - 7:22Diğer taraftan akıllı bir saldırgan
-
7:22 - 7:23çok daha zekice bir şey yapar.
-
7:23 - 7:25Çalınmış şifre setlerinden
-
7:25 - 7:27popüler olarak
-
7:27 - 7:28bilinen şifrelere bakar ve
-
7:28 - 7:29önce onları tahmin eder.
-
7:29 - 7:32Yani "şifre" ile tahmine başlar,
-
7:32 - 7:35"seni seviyorum", "maymun" ve "12345678"
-
7:35 - 7:37ile devam eder
-
7:37 - 7:38çünkü bunlar insanların
-
7:38 - 7:40kullandıkları şifreler olması çok olası.
-
7:40 - 7:43Hatta sizlerden bazıları
bunları kullanıyor olabilir. -
7:45 - 7:46Böylece, topladığımız
-
7:46 - 7:505000 şifreden hepsini,
ne kadar güçlü olduklarını -
7:50 - 7:53görmek için bu testlerden
-
7:53 - 7:56geçirdiğimizde gördüğümüz
-
7:56 - 7:59uzun şifrelerin aslında
bayağı güçlü olduğudur, -
7:59 - 8:01karmaşık şifreler de oldukça güçlü,
-
8:01 - 8:04ancak anket verilerine baktığımızda,
-
8:04 - 8:07insanların karmaşık şifrelerden
-
8:07 - 8:09epeyce bıktıklarını,
-
8:09 - 8:12uzun şifrelerin çok daha kullanışlı,
-
8:12 - 8:13hatta bazı durumlarda
-
8:13 - 8:16karmaşık şifrelerden
daha güçlü olduklarını gördük. -
8:16 - 8:17Bu durum insanlara
-
8:17 - 8:19şifrelerinde sembol, numara
-
8:19 - 8:20ve çılgınca şeyler kullanmalarını
-
8:20 - 8:22söylemek yerine
-
8:22 - 8:25uzun şifre kullanmalarına
teşvik etmenin -
8:25 - 8:28daha iyi olabileceğini gösteriyor.
-
8:28 - 8:30Gerçi buradaki problem:
-
8:30 - 8:32bazı insanların çok güçlü olmayan
-
8:32 - 8:33uzun şifrelere sahip olması.
-
8:33 - 8:35Sonuçta saldırganın
-
8:35 - 8:37kolayca tahmin edebileceği türden
-
8:37 - 8:39uzun şifreler oluşturabilirsiniz.
-
8:39 - 8:42O zaman uzun şifreden daha
fazlasına ihtiyacımız var. -
8:42 - 8:44Bazı ek şartlar gerekiyor ki,
-
8:44 - 8:47devam eden araştırmalarımızdan bazıları,
-
8:47 - 8:49daha güçlü ve aynı zamanda
-
8:49 - 8:52insanların kolayca hatırlayıp yazacakları
-
8:52 - 8:54şifreler için ne gibi şartlar
-
8:54 - 8:57eklememiz gerektiğine bakıyor.
-
8:57 - 8:59İnsanların daha güçlü şifre kullanmalarına
-
8:59 - 9:01diğer yaklaşım, şifre ölçer kullanmaktır.
-
9:01 - 9:02İşte bazı örnekler.
-
9:02 - 9:04Şifre oluştururken
-
9:04 - 9:07bunları internette görmüş olabilirsiniz.
-
9:07 - 9:10Bu şifre ölçerlerin gerçekten
çalışıp çalışmadığını -
9:10 - 9:12anlamak için bir çalışma
yapmaya karar verdik. -
9:12 - 9:13Acaba insanlara gerçekten
-
9:13 - 9:15yardımcı oluyorlar mı,
-
9:15 - 9:17oluyorlarsa hangisi daha iyi?
-
9:17 - 9:19Farklı uzunluk, şekil ve renkteki
şifre ölçerleri, -
9:19 - 9:22yanlarında farklı kelimeler yazanları
-
9:22 - 9:23test ettik,
-
9:23 - 9:26hatta bu dans eden
tavşanı bile test ettik. -
9:26 - 9:28Daha iyi şifre yazdıkça
-
9:28 - 9:30tavşan daha hızlı dans ediyor.
-
9:30 - 9:33Oldukça eğlenceli aslında.
-
9:33 - 9:34Şifre ölçerlerin
-
9:34 - 9:38işe yaradığını gördük,
-
9:38 - 9:40(Gülüşmeler)
-
9:40 - 9:43Şifre ölçerlerin çoğu gerçekten etkili,
-
9:43 - 9:46danseden tavşan da oldukça etkili
-
9:46 - 9:49ama bunlardan en etkilileri, onay verip
-
9:49 - 9:51"iyi işti" demeden önce kullanıcıların
-
9:51 - 9:53gerçekten çabalamalarını
-
9:53 - 9:54sağlayanlardır.
-
9:54 - 9:56Aslında şu an internetteki
-
9:56 - 9:58şifre ölçerlerin çoğunu oldukça
-
9:58 - 9:59zayıf bulduk.
-
9:59 - 10:01İyi iş yaptığınızı çok erken söylüyorlar,
-
10:01 - 10:03halbuki pozitif dönüş yapmadan önce
-
10:03 - 10:05biraz daha bekleseler
-
10:05 - 10:08daha iyi şifreleriniz olabilir.
-
10:08 - 10:12Şimdi, daha iyi bir şifre için
diğer bir yaklaşım, -
10:12 - 10:15belki de şifre yerine
anahtar parolası kullanmaktır. -
10:15 - 10:18Bu birkaç yıl önceden xkcd karikatürü,
-
10:18 - 10:20ve karikatürist hepimizin
-
10:20 - 10:22anahtar parolası kullanmamızı
tavsiye ediyor, -
10:22 - 10:26ve karikatürün ikinci satırına
bakarsanız karikatürist, -
10:26 - 10:28oldukça güçlü ve kolayca hatırlanabilecek
-
10:28 - 10:30bir anahtar parolası olduğundan
-
10:30 - 10:33"doğru at batarya teli" kelimelerini
-
10:33 - 10:35tavsiye ettiğini görebilirsiniz.
-
10:35 - 10:38Diyor ki, aslında
siz onu zaten hatırlıyorsunuz. -
10:38 - 10:40Bİz de bunun doğru olup olmadığına dair
-
10:40 - 10:43bir çalışma yapmaya karar verdik.
-
10:43 - 10:45Aslında, şifre araştırması
-
10:45 - 10:47yaptığımdan bahsettiğim herkes
-
10:47 - 10:48bu karikatürden bahsetti.
-
10:48 - 10:50"Şu xkcd karikatürünü gördün mü?
-
10:50 - 10:51Doğru at batarya teli."
-
10:51 - 10:53Gerçekten ne olacağını görmek için
-
10:53 - 10:55araştırma yaptık.
-
10:55 - 10:58Araştırmada yine Mechanical Turk'ü kullandık
-
10:58 - 11:03ve anahtar paroladan
kelimeleri rastgele seçen -
11:03 - 11:04bilgisayar kullandık,
-
11:04 - 11:05çünkü insanlar
-
11:05 - 11:06rastgele kelime seçmekte
-
11:06 - 11:08çok iyi değil.
-
11:08 - 11:09Seçimi insanlara bıraksaydık
-
11:09 - 11:12pek de rastgele seçim yapmazlardı.
-
11:12 - 11:14Birkaç farklı durum denedik.
-
11:14 - 11:16Birisinde bilgisayar, ingilizcedeki
-
11:16 - 11:18oldukça yaygın kelimeler sözlüğünden
-
11:18 - 11:20seçim yaptı,
-
11:20 - 11:21bu durumda "dene orada üç gel" gibi
-
11:21 - 11:23anahtar kelimeler alırdınız.
-
11:23 - 11:25Biz de buna bakıp
-
11:25 - 11:28"Eh, bu hatırlanacak bir şeye
benzemiyor pek" dedik, -
11:28 - 11:30ardından kelimeleri,
cümlenin belirli kısmından -
11:30 - 11:33seçmeyi denedik,
-
11:33 - 11:35isim-fiil-sıfat-isim mesela.
-
11:35 - 11:38Sonra karşımıza cümleye
benzer türden şeyler çıktı. -
11:38 - 11:40Bu durumda da
"Plan mutlaka güç oluşturur", -
11:40 - 11:42"son kırmızı uyuşturucuya neden olur"
-
11:42 - 11:44gibi anahtar kelimeler alırdınız.
-
11:44 - 11:47Bunlar daha akılda kalıcı gibi
-
11:47 - 11:49ve insanlar bunlardan
biraz daha hoşlanırlardı belki. -
11:49 - 11:52Bunları şifrelerle
karşılaştırmayı denedik, -
11:52 - 11:55rastgele şifreler seçecek
bilgisayarımız vardı -
11:55 - 11:57ve bunlar güzel ve kısa şifrelerdi,
-
11:57 - 12:00ama gördüğünüz gibi
pek akılda kalıcı değiller. -
12:00 - 12:01Bu yüzden telaffuz edilebilir şifre
-
12:01 - 12:03denilen şeyi
denemeye karar verdik. -
12:03 - 12:05İşte bilgisayarın
rastgele hecelerden seçip -
12:05 - 12:06birleştirdiği kelimeler:
-
12:06 - 12:09"tufritvi" ve"vadasabi" gibi
-
12:09 - 12:11telaffuz edilir türden kelimeler oluştu.
-
12:11 - 12:14Tekerlemenin bir türü gibi.
-
12:14 - 12:16Bunlar bilgisayarımız
tarafından oluşturulan -
12:16 - 12:19rastgele şifreler.
-
12:19 - 12:22Bu çalışmada gördüğümüz, şaşırtıcı biçimde
-
12:22 - 12:25anahtar parolaların
o kadar da iyi olmamalarıdır. -
12:25 - 12:28İnsanlar onları rastgele şifreler
-
12:28 - 12:31kadar iyi hatırlayamıyor,
-
12:31 - 12:34ve daha uzun oldukları için
-
12:34 - 12:35yazmak daha uzun sürüyor
-
12:35 - 12:38ve insanlar onu yazarken
daha çok hata yapıyorlar. -
12:38 - 12:41Yani anahtar kelimeler
rahatlıkla kazandı denemez. -
12:41 - 12:45Üzgünüm xkcd taraftarları.
-
12:45 - 12:46Diğer taraftan, telaffuz edilebilir
-
12:46 - 12:48şifreler sürpriz şekilde
-
12:48 - 12:50iyi çıktı,
-
12:50 - 12:52dolayısıyla bu yaklaşımı
daha iyi hale getirince -
12:52 - 12:55ne olacağını görmek için
biraz daha araştırma yaptık. -
12:55 - 12:57Yaptığımız bazı araştırmalardaki
-
12:57 - 12:59sorunlardan biri,
-
12:59 - 13:00şifrelerin hepsinin
-
13:00 - 13:02Mechanical Turk
kullanarak yapılması. -
13:02 - 13:04Gerçekten kullanılan şifreler değil,
-
13:04 - 13:06bizim çalışmamız için insanlar
-
13:06 - 13:09ya da bilgisayar tarafından
oluşturulan şifrelerdir. -
13:09 - 13:10Biz de insanların
-
13:10 - 13:12gerçek şifrelerinde de aynı yolu
-
13:12 - 13:15kullanıp kullanmayacaklarını
bilmek istedik. -
13:15 - 13:18Carnegie Mellon'daki bilgi güvenliği
ofisiyle görüştük -
13:18 - 13:22ve gerçek şifreleri
alabilir miyiz diye sorduk. -
13:22 - 13:24Haliyle şifreleri bizle paylaşmaya
-
13:24 - 13:25birazcık gönülsüzlerdi
-
13:25 - 13:27ancak 25000 CMU öğrencisinin,
-
13:27 - 13:28öğretim üyelerinin
-
13:28 - 13:30ve personellerin şifrelerini sakladıkları
-
13:30 - 13:33kilitli bir odadaki, internete
bağlı olmayan şifreli bilgisayarda -
13:33 - 13:36onlarla bir sistem geliştirme
-
13:36 - 13:37imkanı elde ettik,
-
13:37 - 13:39bilgisayarda şifreleri
analiz etmek için -
13:39 - 13:41yazdığımız kodu çalıştırdılar.
-
13:41 - 13:43Kodu denetlediler.
-
13:43 - 13:44Kodu çalıştırdılar.
-
13:44 - 13:46Yani aslında kimsenin
-
13:46 - 13:48şifresini görmedik.
-
13:48 - 13:51Bazı ilginç sonuçlar elde ettik,
-
13:51 - 13:52arka taraftaki
Tepper öğrencilerinin -
13:52 - 13:55oldukça ilgisini çekecek.
-
13:55 - 13:58Bilgisayar bilimi bölümüne
kayıtlı kişiler tarafından -
13:58 - 14:00oluşturulan şifreleri,
-
14:00 - 14:03ticaret okulundakilerin şifrelerine
-
14:03 - 14:07oranla 1.8 kat daha güçlü olduğunu bulduk.
-
14:07 - 14:09Birçok ilginç demografik
-
14:09 - 14:11bilgiler de elde ettik.
-
14:11 - 14:13Bulduğumuz diğer ilginç şey,
-
14:13 - 14:15CMU'daki şifrelerle Mechanical Turk-kaynaklı
-
14:15 - 14:17şifreleri karşılaştırdığımızda
-
14:17 - 14:20çok fazla benzerlik gördük
-
14:20 - 14:22ve bu araştırma yöntemlerimizi
-
14:22 - 14:24doğrulamaya yardımcı oldu ve Mekanik Türk
-
14:24 - 14:26kullanarak şifre toplamanın
-
14:26 - 14:29çalışma yapmak için
geçerli bir yol olduğunu gösterdi. -
14:29 - 14:31Bunlar iyi haberdi.
-
14:31 - 14:34Evet, geçen sene Carnegie Mellon
sanat okulunda -
14:34 - 14:36tatildeyken kazandığım bazı izlenimleri
-
14:36 - 14:39anlatarak bitirmek istiyorum.
-
14:39 - 14:40Yaptığım şeylerden biri
-
14:40 - 14:42çeşit çeşit yorganlar.
-
14:42 - 14:43ve bu yorganı burada yaptım.
-
14:43 - 14:45Buna "Güvenlik Battaniyesi" deniliyor.
-
14:45 - 14:48(Gülüşmeler)
-
14:48 - 14:51Bu yorganda RockYou sitesinden çalınmış
-
14:51 - 14:53şifreler arasında en çok görülen
-
14:53 - 14:561000 şifre bulunuyor.
-
14:56 - 14:58Şifrelerin boyutu çalınmış veri setinde
-
14:58 - 15:00ne kadar sık görüldüğüyle
-
15:00 - 15:02doğru orantılı.
-
15:02 - 15:05Ben de bu kelime bulutunu oluşturdum,
-
15:05 - 15:071000 kelimenin hepsini tarayıp
-
15:07 - 15:09onları dağınık tematik kategorilere
-
15:09 - 15:11sınıflandırdım.
-
15:11 - 15:13Ve bu, bazı açıdan,
-
15:13 - 15:15kelimelerin hangi kategoriye ait olduğunu
-
15:15 - 15:17çözmek biraz zordu,
-
15:17 - 15:18ardından kategorileri
renklerle kodladım. -
15:18 - 15:21İşte bu zorluklardan bazıları:
-
15:21 - 15:22Mesela "justin".
-
15:22 - 15:24Acaba kullanıcının adı mı,
-
15:24 - 15:25erkek arkadaşı mı, oğlu mu?
-
15:25 - 15:28Belki de Justin Bieber hayranıdır.
-
15:28 - 15:30Veya "prenses".
-
15:30 - 15:32Bir takma ad mı?
-
15:32 - 15:34Disney prenses hayranları mı?
-
15:34 - 15:37Belki de kedilerinin adıdır.
-
15:37 - 15:39"seniseviyorum", farklı dillerde
-
15:39 - 15:41birçok defa görülüyor.
-
15:41 - 15:44Bu şifrelerde oldukça fazla aşk var.
-
15:44 - 15:46Dikkatli bakarsanız,
birkaç küfür de -
15:46 - 15:48görebilirsiniz
-
15:48 - 15:50ama şifrelerde nefret ifadelerinden çok
-
15:50 - 15:53aşk kelimelerinin olması bana oldukça
-
15:53 - 15:55ilginç geldi.
-
15:55 - 15:56Evet hayvanlar,
-
15:56 - 15:58birçok hayvan,
-
15:58 - 16:00"maymun" en yaygını
-
16:00 - 16:04ve toplamda 14. popüler şifre.
-
16:04 - 16:06Bana oldukça tuhaf göründü ve
-
16:06 - 16:08"neden maymunlar bu kadar popüler"
diye merak ettim. -
16:08 - 16:12Bu da bizim son çalışmamız,
-
16:12 - 16:13birisinin "maymun" kelimesini
-
16:13 - 16:16kullandığını tespit ettiğimiz her seferde
-
16:16 - 16:19neden şifrelerinde
onu kullandıklarını sorduk. -
16:19 - 16:21Ortaya çıkardık ki
-
16:21 - 16:23-şu ana kadar "maymun" kelimesini kullanan
-
16:23 - 16:2417 kişi bulduk sanırım-
-
16:24 - 16:26bunlardan üçte biri,
-
16:26 - 16:28"maymun" isimli evcil hayvanları olduğunu
-
16:28 - 16:30ya da arkadaşının lakabının
maymun olduğunu söyledi -
16:30 - 16:32yine üçte biri,
maymun gibi olduklarını -
16:32 - 16:33ve maymunların
-
16:33 - 16:35çok tatlı olduğunu söyledi.
-
16:35 - 16:39Bu da oldukça tatlı.
-
16:39 - 16:42Sonuçta görülüyor ki
-
16:42 - 16:44şifreleri oluştururken,
-
16:44 - 16:46ya yazılması kolay şeyler,
-
16:46 - 16:49yaygın bir şablon,
-
16:49 - 16:51veya şifre kelimesini hatırlatan şeyler
-
16:51 - 16:55veya şifre oluşturduğumuz hesap hakkında
-
16:55 - 16:57şeylerden birini seçiyoruz.
-
16:57 - 17:00Veya bizi mutlu eden şeyler
hakkında düşünüp -
17:00 - 17:01şifre oluştururken
-
17:01 - 17:04onun üzerinden hareket ediyoruz.
-
17:04 - 17:06Ama bu şifrenizi yazmanızı
-
17:06 - 17:09ve hatırlamanızı kolaylaştırdığı gibi
-
17:09 - 17:11onun tahmin edilmesini de
-
17:11 - 17:13kolaylaştırıyor.
-
17:13 - 17:14Biliyorum birçok TED konuşması
-
17:14 - 17:16ilham verici
-
17:16 - 17:18ve güzel, mutlu şeyleri
düşünmenizi sağlıyor -
17:18 - 17:20ama şifrelerinizi oluştururken
-
17:20 - 17:22başka şeyler düşünmeye çalışın.
-
17:22 - 17:23Teşekkürler
-
17:23 - 17:24(Alkış)
- Title:
- $ifrenizde yanlış olan ne?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor, gerçek şifrelerle çalışma yaparak bir çok kullanıcının - ve güvenli sitelerin - güvenliği tehlikeye sokacak yaygın hatalar yaptığını ortaya çıkarttı. Peki sorabilirsiniz; hiçbir kullanıcının güvenliğini riske atmadan gerçek şifrelerle nasıl çalıştı? Bu ayrı bir hikaye. Bu öğrenmeye değer bir bilgi, özellikle de şifreniz 12356 ise ...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Meric Aydonat approved Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl accepted Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd? | ||
Enes Kutuk edited Turkish subtitles for What’s wrong with your pa$$w0rd? |
Ramazan Şen
Çeviri orjinaline sadık kalınmadan yapılmış. Tekrar kontrol edilmesi gerekiyor.