$ifrenizde yanlış olan ne?

0:01 - 0:04

Burada Carneige Mellon'da bilgisayar
bilimi ve mühendisliği profesörüyüm
0:04 - 0:08

ve çalışmalarım ağırlıkla "kullanılabilir
mahremiyet ve güvenlik" üzerine.
0:08 - 0:11

Bu yüzden arkadaşlarım bana,
0:11 - 0:13

bilişim sistemlerindeki sıkıntılarından,
0:13 - 0:17

özellikle de kullanışsız
0:17 - 0:21

mahremiyet ve güvenlikle ilgili
sıkıntılarından örnekler vermeyi sever.
0:21 - 0:24

Hâliyle şifreler, hakkında çok
konuşulduğunu duyduğum bir şey.
0:24 - 0:26

Çok kişi şifrelerle sıkıntı yaşıyor,
0:26 - 0:28

ve bu durum, hatırlayabileceğiniz
0:28 - 0:31

ancak başkasının tahmin edemeyeceği,
0:31 - 0:32

gerçekten iyi bir şifreniz
0:32 - 0:35

olduğunda yeterince kötüdür.
0:35 - 0:37

Yüz farklı sistem üzerinde
0:37 - 0:39

hesaplarınız olsa
0:39 - 0:41

ve her bir sistem için
0:41 - 0:44

benzersiz bir şifreniz
olması gerekse ne yaparsınız?
0:44 - 0:46

Çok zor.
0:46 - 0:48

Carnegie Mellon'da
0:48 - 0:49

şifreleri hatırlamamız için
0:49 - 0:51

çok kolay
bir yöntem uyguluyorlardı.
0:51 - 0:53

2009 yılına kadar şifre koşulu
0:53 - 0:56

şifrenizin sadece
0:56 - 0:58

en az bir karakterli olmasıydı.
0:58 - 1:01

Oldukça kolay.
Fakat sonra bazı şeyleri değiştirdiler.
1:01 - 1:04

2009 yılının sonunda yeni bir şifre
1:04 - 1:06

politikasının uygulamasına geçileceğini
1:06 - 1:08

ve yeni şifre politikasında
1:08 - 1:11

şifrelerin en az sekiz karakter
uzunluğunda olacağını,
1:11 - 1:12

en az bir büyük harf ve küçük harf,
1:12 - 1:14

bir rakam ve sembol içermesi,
1:14 - 1:16

aynı karakterin üç defadan
fazla kullanılmaması gerektiği
1:16 - 1:19

ve sözlükte yer alan bir kelimeye
izin verilmeyeceğini duyurdular.
1:19 - 1:21

Şu anda yeni şifre politikasını uygulamaya başladıklarında,
1:21 - 1:23

birçok kişi,
meslektaşlarım ve arkadaşlarım
1:23 - 1:25

bana gelip: "Of,
1:25 - 1:26

gerçekten kullanışsız.
1:26 - 1:28

Bunu bize neden yapıyorlar?
1:28 - 1:29

Ve sen neden onları engellemedin?"
demişlerdi.
1:29 - 1:31

Ve ben dedim ki: "Bak ne diyeceğim?
1:31 - 1:32

Bana sormadılar."
1:32 - 1:36

Fakat merak ettim ve gidip
1:36 - 1:38

bilişim sistemlerinden sorumlu kişilerle
1:38 - 1:41

konuşmaya ve yeni sisteme
geçmelerine neyin sebep olduğunu
1:41 - 1:42

öğrenmeye karar verdim.
1:42 - 1:44

Bana üniversitenin
1:44 - 1:46

Üniversiteler Birliği'ne üye olduğunu
1:46 - 1:49

ve üyelik şartlarından birinin, bazı yeni
1:49 - 1:51

gereksinimlere uyumlu,
güçlü şifrelerimizin
1:51 - 1:53

olmasını gerektirdiğini
ve bu gereksinimlerin
1:53 - 1:56

şifrelerimizin daha entropik olması
1:56 - 1:57

anlamına geldiğini söylediler.
1:57 - 1:59

Entropi karmaşık bir terim
1:59 - 2:02

fakat temelde entropi,
şifrelerin gücünü ölçer.
2:02 - 2:04

Fakat mesele şu ki; aslında
2:04 - 2:06

entropinin standart bir ölçüsü yok.
2:06 - 2:09

Ulusal Standartlar
ve Teknoloji Enstitüsü'nün
2:09 - 2:10

entropiyi ölçmek üzere
2:10 - 2:13

kabul görmüş bir takım
2:13 - 2:14

pratik kılavuzları var.
2:14 - 2:17

Fakat bunlar çok detaylı değiller
2:17 - 2:19

ve sadece pratik kılavuzlarının
olmasının sebebi
2:19 - 2:23

aslında şifreler üzerine yeterli veriye
2:23 - 2:24

sahip olmamalarıdır.
2:24 - 2:26

Aslında raporlarında
2:26 - 2:29

"Maalesef, kullanıcıların
belirli kurallarla
2:29 - 2:32

oluşturdukları şifrelerle ilgili
elimizde çok veri yok.
2:32 - 2:34

NIST, kullanıcıların gerçekten seçtikleri
2:34 - 2:36

şifrelerden daha fazla veri
edinmek istiyor,
2:36 - 2:39

fakat sistem yöneticileri,
şifre bilgilerini
2:39 - 2:42

başkalarıyla paylaşmaya
doğal olarak isteksizler."
2:42 - 2:45

Bu bir problem fakat araştırma ekibimiz
2:45 - 2:47

bunu bir fırsat olarak gördü.
2:47 - 2:50

Dedik ki: "Evet iyi bir şifre verisine
ihtiyacımız var.
2:50 - 2:52

Belki bunu toplayabilir ve gerçekten
2:52 - 2:55

daha ileriye taşıyabiliriz.
2:55 - 2:57

Böylece yaptığımız ilk şey,
2:57 - 2:58

bir paket dolusu çikolata aldık
2:58 - 2:59

ve kampüsün içinde dolaştık.
2:59 - 3:02

Öğrencilerle, hocalarla,
çalışanlarla konuştuk,
3:02 - 3:04

onlardan şifreleri
3:04 - 3:05

hakkında bilgi istedik.
3:05 - 3:08

Pekala "Bize şifrenizi verin" demedik.
3:08 - 3:11

Sadece şifreleri hakkında soru sorduk.
3:11 - 3:12

Ne kadar uzun? Bir rakam,
3:12 - 3:13

bir sembol içeriyor mu?
3:13 - 3:15

Ve son bir hafta içerisinde yeni bir şifre
3:15 - 3:18

oluştururken sinir oldunuz mu?
3:18 - 3:21

470 öğrenci, öğretmen ve çalışandan
3:21 - 3:22

verileri topladık
3:22 - 3:25

ve teyit ettik ki yeni şifre politikası
3:25 - 3:26

oldukça can sıkıcı
3:26 - 3:28

fakat insanların bu şifrelerle
3:28 - 3:31

kendilerini daha güvende
hissettiklerini de gördük.
3:31 - 3:33

Gördük ki; çoğu kişi şifrelerini
3:33 - 3:36

bir yere yazmamaları gerektiğini biliyordu
3:36 - 3:38

ve sadece yüzde 13'ü yazıyordu.
3:38 - 3:40

Fakat endişelendiren husus yüzde 80'inin
3:40 - 3:43

eski şifrelerini
tekrar kullandığını söylemesiydi.
3:43 - 3:44

Aslında bu, şifreleri
3:44 - 3:46

bir yere yazmaktan daha tehlikeli.
3:46 - 3:50

Çünkü bu durum sizi saldırganlara karşı
açık duruma getirecektir.
3:50 - 3:53

Yani eğer zorundaysan,
şifreleri bir yere yaz
3:53 - 3:55

ama onları tekrar kullanma.
3:55 - 3:57

Ayrıca insanların şifrelerinde
3:57 - 4:00

kullandıkları sembollerle ilgili
ilginç şeyler de gördük.
4:00 - 4:02

Şimdi, CMU 32 farklı sembole izin veriyor
4:02 - 4:05

ancak görüldüğü üzere,
çoğu kişinin kullandığı
4:05 - 4:07

sadece bir küçük numara var.
4:07 - 4:10

Yani aslında, şifremizdeki sembollerden
4:10 - 4:12

çok fazla güç elde edemiyoruz.
4:12 - 4:15

Evet, bu çok ilginç bir çalışma
4:15 - 4:17

ve şu anda 470 kişiden bilgi aldık,
4:17 - 4:18

ama bunların düzeninde,
4:18 - 4:21

aslında çok fazla şifre verisi yok
4:21 - 4:22

dolayısıyla biz de daha fazla
4:22 - 4:25

veriyi nerden bulabileceğimize baktık.
4:25 - 4:27

Sonra ortaya çıktı ki birçok kişi
4:27 - 4:29

etraftan şifreleri çalıyor,
4:29 - 4:32

ve ekserisi bunları internete
4:32 - 4:33

yolluyor.
4:33 - 4:35

Tabii biz de çalınmış şifrelerden
4:35 - 4:39

bazılarına erişebildik.
4:39 - 4:41

Yine de ideal bir araştırma değil gerçi
4:41 - 4:43

çünkü şifrenin nereden geldiği
4:43 - 4:45

veya kullanıcıların
bu şifreleri oluştururken
4:45 - 4:48

hangi kurallardan etkilendiği
4:48 - 4:50

tamamen açık değil.
4:50 - 4:53

Bu yüzden daha iyi veri kaynağı
bulmak istedik.
4:53 - 4:55

Ve bir çalışma oluşturup,
4:55 - 4:57

insanların çalışmamız için
şifre oluşturmalarını
4:57 - 5:00

sağlayabileceğimize
karar verdik.
5:00 - 5:03

Bunun için, bir dakika, birkaç dakika
ya da bir saatlik
5:03 - 5:05

online, küçük işler yollanabilen,
5:05 - 5:08

her görev karşılığında bir sent, on sent,
5:08 - 5:09

ya da birkaç dolar verilen,
5:09 - 5:12

ve ödemenin Amazon.com üzerinden yapıldığı
5:12 - 5:14

"Amazon Mechanical Turk" denilen
5:14 - 5:15

servisi kulllandık.
5:15 - 5:18

Ve kurallarımıza göre şifreler oluşturup
5:18 - 5:20

bir anketi cevaplayan kişilere
5:20 - 5:22

yaklaşık 50 sent ödedik.
5:22 - 5:24

Ardından 2 gün sonra geri dönüp
5:24 - 5:26

şifreleriyle giriş yapan ve farklı bir
5:26 - 5:29

anketi cevaplayan kişilere
tekrar ödeme yaptık.
5:29 - 5:33

Ve bunu yaparak 5000 şifre topladık,
5:33 - 5:36

insanlara, şifrelerini oluşturmak için
5:36 - 5:37

bir takım kurallar verdik.
5:37 - 5:39

Bazı kişiler Basic8 dediğimiz
5:39 - 5:41

basit bir kurala sahipti.
5:41 - 5:43

görüldüğü gibi bundaki tek kural
5:43 - 5:47

şifrelerinin en az sekiz karakterden
oluşmasıydı.
5:47 - 5:49

Bazılarına da CMU'daki kurallara benzer
5:49 - 5:51

daha zor kurallar verdik:
5:51 - 5:53

en az sekiz karakterli,
5:53 - 5:56

büyük - küçük harf, sayı ve sembol içeren,
5:56 - 5:58

sözlüklerde bulunmayan şifreler gibi.
5:58 - 5:59

Denediğimiz kurallardan biri
5:59 - 6:01

-daha birçok kural vardı-
6:01 - 6:03

ama bunlardan Basic 16 denen kuralda
6:03 - 6:05

aranan tek şart
6:05 - 6:09

şifrenin en az 16 karakterden
oluşmasıydı.
6:09 - 6:11

Evet, artık 5000 şifremiz
6:11 - 6:15

ve çok daha detaylı bilgiye sahibiz.
6:15 - 6:17

İnsanların şifrelerinde sembollerden
6:17 - 6:19

sadece bir tanesini kullandıklarını
6:19 - 6:21

tekrar gördük.
6:21 - 6:24

Aynı zamanda
oluşturulan şifrelerin ne kadar
6:24 - 6:26

güçlü oldukları hakkında
bilgi sahibi olmak da istedik,
6:26 - 6:29

Hatırlayacağınız üzere, şifrelerin gücünün
6:29 - 6:31

iyi bir ölçüsü yok.
6:31 - 6:33

Bu yüzden, kötü insanların kullandığı
6:33 - 6:35

veya araştırma literatüründe
6:35 - 6:37

bilgi bulabildiğimiz
6:37 - 6:39

en iyi şifre kırma yöntemleriyle
6:39 - 6:41

şifreleri kırmanın ne kadar süreceğine
6:41 - 6:42

bakmaya karar verdik.
6:42 - 6:45

Kötü insanların şifreleri nasıl kırdığı
6:45 - 6:47

hakkında bilgi sahibi olmanız adına,
6:47 - 6:49

hash (kargaşa) denilen
karmaşık form benzeri
6:49 - 6:51

bütün şifreleri içeren
6:51 - 6:54

şifre dosyalarını çalıyorlar,
6:54 - 6:57

ardından şifreyi bulmak için
6:57 - 6:58

hashing fonksiyonu üzerinden
6:58 - 7:00

tahmin yapıyorlar
7:00 - 7:02

ve şifrenin, kendilerinde bulunan
7:02 - 7:06

çalınmış şifre listesindekilerle
eşleşip eşleşmediğine bakıyorlar.
7:06 - 7:09

Evet, ahmak bir saldırgan
bütün olasılıkları sırayla dener.
7:09 - 7:13

AAAAA ile başlar ve AAAAB ile devam eder,
7:13 - 7:15

ve insanların aslında kullandıkları
7:15 - 7:17

şifrelere benzer şifrelere
7:17 - 7:19

ulaşmak çok uzun zaman alır.
7:19 - 7:22

Diğer taraftan akıllı bir saldırgan
7:22 - 7:23

çok daha zekice bir şey yapar.
7:23 - 7:25

Çalınmış şifre setlerinden
7:25 - 7:27

popüler olarak
7:27 - 7:28

bilinen şifrelere bakar ve
7:28 - 7:29

önce onları tahmin eder.
7:29 - 7:32

Yani "şifre" ile tahmine başlar,
7:32 - 7:35

"seni seviyorum", "maymun" ve "12345678"
7:35 - 7:37

ile devam eder
7:37 - 7:38

çünkü bunlar insanların
7:38 - 7:40

kullandıkları şifreler olması çok olası.
7:40 - 7:43

Hatta sizlerden bazıları
bunları kullanıyor olabilir.
7:45 - 7:46

Böylece, topladığımız
7:46 - 7:50

5000 şifreden hepsini,
ne kadar güçlü olduklarını
7:50 - 7:53

görmek için bu testlerden
7:53 - 7:56

geçirdiğimizde gördüğümüz
7:56 - 7:59

uzun şifrelerin aslında
bayağı güçlü olduğudur,
7:59 - 8:01

karmaşık şifreler de oldukça güçlü,
8:01 - 8:04

ancak anket verilerine baktığımızda,
8:04 - 8:07

insanların karmaşık şifrelerden
8:07 - 8:09

epeyce bıktıklarını,
8:09 - 8:12

uzun şifrelerin çok daha kullanışlı,
8:12 - 8:13

hatta bazı durumlarda
8:13 - 8:16

karmaşık şifrelerden
daha güçlü olduklarını gördük.
8:16 - 8:17

Bu durum insanlara
8:17 - 8:19

şifrelerinde sembol, numara
8:19 - 8:20

ve çılgınca şeyler kullanmalarını
8:20 - 8:22

söylemek yerine
8:22 - 8:25

uzun şifre kullanmalarına
teşvik etmenin
8:25 - 8:28

daha iyi olabileceğini gösteriyor.
8:28 - 8:30

Gerçi buradaki problem:
8:30 - 8:32

bazı insanların çok güçlü olmayan
8:32 - 8:33

uzun şifrelere sahip olması.
8:33 - 8:35

Sonuçta saldırganın
8:35 - 8:37

kolayca tahmin edebileceği türden
8:37 - 8:39

uzun şifreler oluşturabilirsiniz.
8:39 - 8:42

O zaman uzun şifreden daha
fazlasına ihtiyacımız var.
8:42 - 8:44

Bazı ek şartlar gerekiyor ki,
8:44 - 8:47

devam eden araştırmalarımızdan bazıları,
8:47 - 8:49

daha güçlü ve aynı zamanda
8:49 - 8:52

insanların kolayca hatırlayıp yazacakları
8:52 - 8:54

şifreler için ne gibi şartlar
8:54 - 8:57

eklememiz gerektiğine bakıyor.
8:57 - 8:59

İnsanların daha güçlü şifre kullanmalarına
8:59 - 9:01

diğer yaklaşım, şifre ölçer kullanmaktır.
9:01 - 9:02

İşte bazı örnekler.
9:02 - 9:04

Şifre oluştururken
9:04 - 9:07

bunları internette görmüş olabilirsiniz.
9:07 - 9:10

Bu şifre ölçerlerin gerçekten
çalışıp çalışmadığını
9:10 - 9:12

anlamak için bir çalışma
yapmaya karar verdik.
9:12 - 9:13

Acaba insanlara gerçekten
9:13 - 9:15

yardımcı oluyorlar mı,
9:15 - 9:17

oluyorlarsa hangisi daha iyi?
9:17 - 9:19

Farklı uzunluk, şekil ve renkteki
şifre ölçerleri,
9:19 - 9:22

yanlarında farklı kelimeler yazanları
9:22 - 9:23

test ettik,
9:23 - 9:26

hatta bu dans eden
tavşanı bile test ettik.
9:26 - 9:28

Daha iyi şifre yazdıkça
9:28 - 9:30

tavşan daha hızlı dans ediyor.
9:30 - 9:33

Oldukça eğlenceli aslında.
9:33 - 9:34

Şifre ölçerlerin
9:34 - 9:38

işe yaradığını gördük,
9:38 - 9:40

(Gülüşmeler)
9:40 - 9:43

Şifre ölçerlerin çoğu gerçekten etkili,
9:43 - 9:46

danseden tavşan da oldukça etkili
9:46 - 9:49

ama bunlardan en etkilileri, onay verip
9:49 - 9:51

"iyi işti" demeden önce kullanıcıların
9:51 - 9:53

gerçekten çabalamalarını
9:53 - 9:54

sağlayanlardır.
9:54 - 9:56

Aslında şu an internetteki
9:56 - 9:58

şifre ölçerlerin çoğunu oldukça
9:58 - 9:59

zayıf bulduk.
9:59 - 10:01

İyi iş yaptığınızı çok erken söylüyorlar,
10:01 - 10:03

halbuki pozitif dönüş yapmadan önce
10:03 - 10:05

biraz daha bekleseler
10:05 - 10:08

daha iyi şifreleriniz olabilir.
10:08 - 10:12

Şimdi, daha iyi bir şifre için
diğer bir yaklaşım,
10:12 - 10:15

belki de şifre yerine
anahtar parolası kullanmaktır.
10:15 - 10:18

Bu birkaç yıl önceden xkcd karikatürü,
10:18 - 10:20

ve karikatürist hepimizin
10:20 - 10:22

anahtar parolası kullanmamızı
tavsiye ediyor,
10:22 - 10:26

ve karikatürün ikinci satırına
bakarsanız karikatürist,
10:26 - 10:28

oldukça güçlü ve kolayca hatırlanabilecek
10:28 - 10:30

bir anahtar parolası olduğundan
10:30 - 10:33

"doğru at batarya teli" kelimelerini
10:33 - 10:35

tavsiye ettiğini görebilirsiniz.
10:35 - 10:38

Diyor ki, aslında
siz onu zaten hatırlıyorsunuz.
10:38 - 10:40

Bİz de bunun doğru olup olmadığına dair
10:40 - 10:43

bir çalışma yapmaya karar verdik.
10:43 - 10:45

Aslında, şifre araştırması
10:45 - 10:47

yaptığımdan bahsettiğim herkes
10:47 - 10:48

bu karikatürden bahsetti.
10:48 - 10:50

"Şu xkcd karikatürünü gördün mü?
10:50 - 10:51

Doğru at batarya teli."
10:51 - 10:53

Gerçekten ne olacağını görmek için
10:53 - 10:55

araştırma yaptık.
10:55 - 10:58

Araştırmada yine Mechanical Turk'ü kullandık
10:58 - 11:03

ve anahtar paroladan
kelimeleri rastgele seçen
11:03 - 11:04

bilgisayar kullandık,
11:04 - 11:05

çünkü insanlar
11:05 - 11:06

rastgele kelime seçmekte
11:06 - 11:08

çok iyi değil.
11:08 - 11:09

Seçimi insanlara bıraksaydık
11:09 - 11:12

pek de rastgele seçim yapmazlardı.
11:12 - 11:14

Birkaç farklı durum denedik.
11:14 - 11:16

Birisinde bilgisayar, ingilizcedeki
11:16 - 11:18

oldukça yaygın kelimeler sözlüğünden
11:18 - 11:20

seçim yaptı,
11:20 - 11:21

bu durumda "dene orada üç gel" gibi
11:21 - 11:23

anahtar kelimeler alırdınız.
11:23 - 11:25

Biz de buna bakıp
11:25 - 11:28

"Eh, bu hatırlanacak bir şeye
benzemiyor pek" dedik,
11:28 - 11:30

ardından kelimeleri,
cümlenin belirli kısmından
11:30 - 11:33

seçmeyi denedik,
11:33 - 11:35

isim-fiil-sıfat-isim mesela.
11:35 - 11:38

Sonra karşımıza cümleye
benzer türden şeyler çıktı.
11:38 - 11:40

Bu durumda da
"Plan mutlaka güç oluşturur",
11:40 - 11:42

"son kırmızı uyuşturucuya neden olur"
11:42 - 11:44

gibi anahtar kelimeler alırdınız.
11:44 - 11:47

Bunlar daha akılda kalıcı gibi
11:47 - 11:49

ve insanlar bunlardan
biraz daha hoşlanırlardı belki.
11:49 - 11:52

Bunları şifrelerle
karşılaştırmayı denedik,
11:52 - 11:55

rastgele şifreler seçecek
bilgisayarımız vardı
11:55 - 11:57

ve bunlar güzel ve kısa şifrelerdi,
11:57 - 12:00

ama gördüğünüz gibi
pek akılda kalıcı değiller.
12:00 - 12:01

Bu yüzden telaffuz edilebilir şifre
12:01 - 12:03

denilen şeyi
denemeye karar verdik.
12:03 - 12:05

İşte bilgisayarın
rastgele hecelerden seçip
12:05 - 12:06

birleştirdiği kelimeler:
12:06 - 12:09

"tufritvi" ve"vadasabi" gibi
12:09 - 12:11

telaffuz edilir türden kelimeler oluştu.
12:11 - 12:14

Tekerlemenin bir türü gibi.
12:14 - 12:16

Bunlar bilgisayarımız
tarafından oluşturulan
12:16 - 12:19

rastgele şifreler.
12:19 - 12:22

Bu çalışmada gördüğümüz, şaşırtıcı biçimde
12:22 - 12:25

anahtar parolaların
o kadar da iyi olmamalarıdır.
12:25 - 12:28

İnsanlar onları rastgele şifreler
12:28 - 12:31

kadar iyi hatırlayamıyor,
12:31 - 12:34

ve daha uzun oldukları için
12:34 - 12:35

yazmak daha uzun sürüyor
12:35 - 12:38

ve insanlar onu yazarken
daha çok hata yapıyorlar.
12:38 - 12:41

Yani anahtar kelimeler
rahatlıkla kazandı denemez.
12:41 - 12:45

Üzgünüm xkcd taraftarları.
12:45 - 12:46

Diğer taraftan, telaffuz edilebilir
12:46 - 12:48

şifreler sürpriz şekilde
12:48 - 12:50

iyi çıktı,
12:50 - 12:52

dolayısıyla bu yaklaşımı
daha iyi hale getirince
12:52 - 12:55

ne olacağını görmek için
biraz daha araştırma yaptık.
12:55 - 12:57

Yaptığımız bazı araştırmalardaki
12:57 - 12:59

sorunlardan biri,
12:59 - 13:00

şifrelerin hepsinin
13:00 - 13:02

Mechanical Turk
kullanarak yapılması.
13:02 - 13:04

Gerçekten kullanılan şifreler değil,
13:04 - 13:06

bizim çalışmamız için insanlar
13:06 - 13:09

ya da bilgisayar tarafından
oluşturulan şifrelerdir.
13:09 - 13:10

Biz de insanların
13:10 - 13:12

gerçek şifrelerinde de aynı yolu
13:12 - 13:15

kullanıp kullanmayacaklarını
bilmek istedik.
13:15 - 13:18

Carnegie Mellon'daki bilgi güvenliği
ofisiyle görüştük
13:18 - 13:22

ve gerçek şifreleri
alabilir miyiz diye sorduk.
13:22 - 13:24

Haliyle şifreleri bizle paylaşmaya
13:24 - 13:25

birazcık gönülsüzlerdi
13:25 - 13:27

ancak 25000 CMU öğrencisinin,
13:27 - 13:28

öğretim üyelerinin
13:28 - 13:30

ve personellerin şifrelerini sakladıkları
13:30 - 13:33

kilitli bir odadaki, internete
bağlı olmayan şifreli bilgisayarda
13:33 - 13:36

onlarla bir sistem geliştirme
13:36 - 13:37

imkanı elde ettik,
13:37 - 13:39

bilgisayarda şifreleri
analiz etmek için
13:39 - 13:41

yazdığımız kodu çalıştırdılar.
13:41 - 13:43

Kodu denetlediler.
13:43 - 13:44

Kodu çalıştırdılar.
13:44 - 13:46

Yani aslında kimsenin
13:46 - 13:48

şifresini görmedik.
13:48 - 13:51

Bazı ilginç sonuçlar elde ettik,
13:51 - 13:52

arka taraftaki
Tepper öğrencilerinin
13:52 - 13:55

oldukça ilgisini çekecek.
13:55 - 13:58

Bilgisayar bilimi bölümüne
kayıtlı kişiler tarafından
13:58 - 14:00

oluşturulan şifreleri,
14:00 - 14:03

ticaret okulundakilerin şifrelerine
14:03 - 14:07

oranla 1.8 kat daha güçlü olduğunu bulduk.
14:07 - 14:09

Birçok ilginç demografik
14:09 - 14:11

bilgiler de elde ettik.
14:11 - 14:13

Bulduğumuz diğer ilginç şey,
14:13 - 14:15

CMU'daki şifrelerle Mechanical Turk-kaynaklı
14:15 - 14:17

şifreleri karşılaştırdığımızda
14:17 - 14:20

çok fazla benzerlik gördük
14:20 - 14:22

ve bu araştırma yöntemlerimizi
14:22 - 14:24

doğrulamaya yardımcı oldu ve Mekanik Türk
14:24 - 14:26

kullanarak şifre toplamanın
14:26 - 14:29

çalışma yapmak için
geçerli bir yol olduğunu gösterdi.
14:29 - 14:31

Bunlar iyi haberdi.
14:31 - 14:34

Evet, geçen sene Carnegie Mellon
sanat okulunda
14:34 - 14:36

tatildeyken kazandığım bazı izlenimleri
14:36 - 14:39

anlatarak bitirmek istiyorum.
14:39 - 14:40

Yaptığım şeylerden biri
14:40 - 14:42

çeşit çeşit yorganlar.
14:42 - 14:43

ve bu yorganı burada yaptım.
14:43 - 14:45

Buna "Güvenlik Battaniyesi" deniliyor.
14:45 - 14:48

(Gülüşmeler)
14:48 - 14:51

Bu yorganda RockYou sitesinden çalınmış
14:51 - 14:53

şifreler arasında en çok görülen
14:53 - 14:56

1000 şifre bulunuyor.
14:56 - 14:58

Şifrelerin boyutu çalınmış veri setinde
14:58 - 15:00

ne kadar sık görüldüğüyle
15:00 - 15:02

doğru orantılı.
15:02 - 15:05

Ben de bu kelime bulutunu oluşturdum,
15:05 - 15:07

1000 kelimenin hepsini tarayıp
15:07 - 15:09

onları dağınık tematik kategorilere
15:09 - 15:11

sınıflandırdım.
15:11 - 15:13

Ve bu, bazı açıdan,
15:13 - 15:15

kelimelerin hangi kategoriye ait olduğunu
15:15 - 15:17

çözmek biraz zordu,
15:17 - 15:18

ardından kategorileri
renklerle kodladım.
15:18 - 15:21

İşte bu zorluklardan bazıları:
15:21 - 15:22

Mesela "justin".
15:22 - 15:24

Acaba kullanıcının adı mı,
15:24 - 15:25

erkek arkadaşı mı, oğlu mu?
15:25 - 15:28

Belki de Justin Bieber hayranıdır.
15:28 - 15:30

Veya "prenses".
15:30 - 15:32

Bir takma ad mı?
15:32 - 15:34

Disney prenses hayranları mı?
15:34 - 15:37

Belki de kedilerinin adıdır.
15:37 - 15:39

"seniseviyorum", farklı dillerde
15:39 - 15:41

birçok defa görülüyor.
15:41 - 15:44

Bu şifrelerde oldukça fazla aşk var.
15:44 - 15:46

Dikkatli bakarsanız,
birkaç küfür de
15:46 - 15:48

görebilirsiniz
15:48 - 15:50

ama şifrelerde nefret ifadelerinden çok
15:50 - 15:53

aşk kelimelerinin olması bana oldukça
15:53 - 15:55

ilginç geldi.
15:55 - 15:56

Evet hayvanlar,
15:56 - 15:58

birçok hayvan,
15:58 - 16:00

"maymun" en yaygını
16:00 - 16:04

ve toplamda 14. popüler şifre.
16:04 - 16:06

Bana oldukça tuhaf göründü ve
16:06 - 16:08

"neden maymunlar bu kadar popüler"
diye merak ettim.
16:08 - 16:12

Bu da bizim son çalışmamız,
16:12 - 16:13

birisinin "maymun" kelimesini
16:13 - 16:16

kullandığını tespit ettiğimiz her seferde
16:16 - 16:19

neden şifrelerinde
onu kullandıklarını sorduk.
16:19 - 16:21

Ortaya çıkardık ki
16:21 - 16:23

-şu ana kadar "maymun" kelimesini kullanan
16:23 - 16:24

17 kişi bulduk sanırım-
16:24 - 16:26

bunlardan üçte biri,
16:26 - 16:28

"maymun" isimli evcil hayvanları olduğunu
16:28 - 16:30

ya da arkadaşının lakabının
maymun olduğunu söyledi
16:30 - 16:32

yine üçte biri,
maymun gibi olduklarını
16:32 - 16:33

ve maymunların
16:33 - 16:35

çok tatlı olduğunu söyledi.
16:35 - 16:39

Bu da oldukça tatlı.
16:39 - 16:42

Sonuçta görülüyor ki
16:42 - 16:44

şifreleri oluştururken,
16:44 - 16:46

ya yazılması kolay şeyler,
16:46 - 16:49

yaygın bir şablon,
16:49 - 16:51

veya şifre kelimesini hatırlatan şeyler
16:51 - 16:55

veya şifre oluşturduğumuz hesap hakkında
16:55 - 16:57

şeylerden birini seçiyoruz.
16:57 - 17:00

Veya bizi mutlu eden şeyler
hakkında düşünüp
17:00 - 17:01

şifre oluştururken
17:01 - 17:04

onun üzerinden hareket ediyoruz.
17:04 - 17:06

Ama bu şifrenizi yazmanızı
17:06 - 17:09

ve hatırlamanızı kolaylaştırdığı gibi
17:09 - 17:11

onun tahmin edilmesini de
17:11 - 17:13

kolaylaştırıyor.
17:13 - 17:14

Biliyorum birçok TED konuşması
17:14 - 17:16

ilham verici
17:16 - 17:18

ve güzel, mutlu şeyleri
düşünmenizi sağlıyor
17:18 - 17:20

ama şifrelerinizi oluştururken
17:20 - 17:22

başka şeyler düşünmeye çalışın.
17:22 - 17:23

Teşekkürler
17:23 - 17:24

(Alkış)

Title:: $ifrenizde yanlış olan ne?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor, gerçek şifrelerle çalışma yaparak bir çok kullanıcının - ve güvenli sitelerin - güvenliği tehlikeye sokacak yaygın hatalar yaptığını ortaya çıkarttı. Peki sorabilirsiniz; hiçbir kullanıcının güvenliğini riske atmadan gerçek şifrelerle nasıl çalıştı? Bu ayrı bir hikaye. Bu öğrenmeye değer bir bilgi, özellikle de şifreniz 12356 ise ...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Meric Aydonat approved Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl accepted Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd?
	Serap Çakıl edited Turkish subtitles for What’s wrong with your pa$$w0rd?
	Enes Kutuk edited Turkish subtitles for What’s wrong with your pa$$w0rd?

Show all

Ramazan Şen

Çeviri orjinaline sadık kalınmadan yapılmış. Tekrar kontrol edilmesi gerekiyor.

Turkish subtitles

Revisions

Revision 44 Edited

Serap Çakıl

$ifrenizde yanlış olan ne?

Revisions

Our website uses cookies

Operating cookies (Required)