Zayıf Şifreleriniz Tehlikede: Hacker’lar Artık Çok Daha Hızlı
Kötü bir haberim var, zayıf şifre kullanan herkes için. Bir hacker, en tembel rastgele şifrelerinizi bir film izleme süresi kadar kısa bir sürede tahmin edebilir. Evet, yanlış duymadınız. Siber güvenlik firması Hive Systems’in yaptığı bir araştırmaya göre, piyasadaki en hızlı tüketici sınıfı ekran kartını 8 karakterli şifreleri kırmaya yönelik "kaba kuvvet" saldırısına tabi tuttuğunuzda, sadece sayılardan oluşan bir şifreyi 3 saat içinde çözebiliyor.
Bu sonuç, Hive Systems’in 2025 şifre tablosuna yönelik araştırmasının bir parçası olarak ortaya çıktı. Tablo, "kısıtlı bütçeye sahip" bir hacker’ın farklı uzunluklardaki (4 ila 18 karakter) ve kompozisyonlardaki (örneğin, sadece sayılar, küçük harfler, büyük ve küçük harfler vb.) şifreleri ne kadar sürede kırabileceğini gösteriyor.
Aslında, "kısıtlı bütçe" derken, şifrenizi çözmek için yarışan on iki adet RTX 5090’dan bahsediyoruz, sadece bir tanesinden değil. Ancak tek bir ekran kartının neler yapabileceğine bakmak bile yeterince ürkütücü.
Günümüzde, çoğu web sitesinde 8 karakterli bir şifre, varsayılan minimum uzunluk olarak kabul ediliyor. Bu temel kurala bağlı kalan ve klavyenin sayı tuş takımına gelişigüzel basan herkes, hack’lenmeye karşı yüksek risk altında.
Şifrenin karmaşıklığı durumu iyileştirse de, saatler aylara, yıllara ve hatta bin yıla çıktıkça sizi tehlikeden tamamen kurtarmıyor. Çünkü, yaklaşık 30.000 dolarlık bir ekran kartı gücünü (varsayımsal hacker’ımızın seçtiği RTX 5090 modeline bağlı olarak değişebilir) rastgele kullandığınızda ortaya çıkan sonuç bu:
Sadece sayılardan oluşan 8 karakterli bir şifre anında kırılabilirken, sadece küçük harflerden oluşan bir şifrenin kırılması 3 hafta sürüyor. Ve unutmayın, bu rastgele küçük harfler, bir kelime değil. Eğer sözlükte bulunabilen veya bir veri ihlalinde çalınan kelimeleri seçerseniz, oyun anında biter.
Genellikle, bir şifre yöneticisi kullanmıyorsanız, şifrelerinizi mümkün olduğunca basit tutuyorsunuz, hatta bazılarını tekrar kullanıyorsunuz. Umarım bu şifreler, finansal hesaplarınızla bağlantılı değildir; çünkü bu tür bir saldırı için 30.000 doların üzerindeki bir yatırım, bir hacker için hiçbir şey ifade etmiyor.
12 adet RTX 5090’ın çalışmasını gösteren tabloya bakıp, "Tamam, bir şifreyi kırmak için kim yıllarca bekler ki?" diye düşünüyorsanız, aslında bir hacker’ın hiç beklemesine gerek kalmayabilir. Hive Systems, bu işin yapay zekaya verilmesi durumunda kaba kuvvet saldırısının ne kadar hızlı olabileceğine dair bir analiz de yaptı.
(Sonuçlar iyi değil.)
Kurumsal sınıf donanım işe dahil edildiğinde, ChatGPT-3’ü eğiten ekran kartları, sadece küçük harflerden oluşan 8 karakterli bir şifreyi bir saat içinde tahmin edebiliyor. ChatGPT-4’ü eğiten donanım mı? 43 dakika. Ve ChatGPT’yi çalıştıran donanım? 30 dakika.
Daha karmaşık bir 8 karakterli şifre (sayılar, büyük ve küçük harfler ve özel karakterler içeren) söz konusu olduğunda, ChatGPT gibi bir yapay zeka aracı bunu sadece 2 ay içinde tahmin edebilir. Eğer bu, kararlı bir hacker ve bir kripto cüzdanı arasında duran tek şeyse, vay halinize.
Hive Systems de aynı şeyi düşündü. Evde kendi kendine hackerlık yapan biri, 5090’lardan oluşan bir filoyu 2022 LastPass veri ihlalinden elde edilen şifre verilerine yönlendirirse, yan hasarın nasıl görünebileceğine dair bir analiz yaptılar:
Bu analizde, ilk görüntü, ChatGPT-3’ün donanımının şifreleri kırmak için kullanılması durumunda ne olacağına dair bir tahmini gösteriyor. İkinci görüntü, ChatGPT-4’ün donanımına ait tahmini, son görüntü ise ChatGPT’yi çalıştıran donanımın muhtemel sonucunu gösteriyor.
Peki neden bu kadar hızlı? İhlal sırasında, LastPass şifreleri yeterince sayıda hashing (iterasyon) işleminden geçirmemişti. Bu işlem, şifrenin şifrelenmesini güçlendirir. Bazı eski hesaplar için varsayılan değer hala sadece 5.000 iterasyondu; bu da o zamanlar önerilen yüz binlerce iterasyonun çok altındaydı. Başka bir deyişle, güçlü donanım için daha az iş anlamına geliyordu.
Eğer 8 karakterli bir şifre kullanıyorsanız, bu tabloları okumak korkutucu olabilir; ancak daha uzun, daha karmaşık şifrelere güveniyorsanız, rahatlatıcı olabilir. Şu anda, sayılar, büyük ve küçük harfler ve özel karakterler içeren 16 karakterli bir şifre kullanan herkes, sadece küçük bir 5090 koleksiyonundan değil, aynı zamanda ChatGPT’den de güvende demektir.
Bilgi işlem gücü artmaya devam ettikçe (ve kuantum bilgisayarlarının olasılığı yaklaştıkça), bu yönergeler değişecektir. Şimdiden daha uzun, daha karmaşık rastgele şifreler seçerek bunun önüne geçebilirsiniz. Bir şifre yöneticisi, hem şifre oluşturma hem de hatırlama konusundaki zor işi halledecektir. Verilerinizi bulutta saklamaktan rahatsızsanız, verileri yerel olarak bir cihazda saklayan yazılımları kullanabilirsiniz.
Ayrıca, izin veren tüm hesaplarda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Şifreniz bir gün kırma yazılımına yakalanırsa, yetkisiz erişime karşı ikinci bir savunma hattıdır. Donanım anahtarı (örneğin, Yubikey) gibi bir yöntem, kimlik avına karşı dirençli olduğu için en güçlü formdur. Ancak tek kullanımlık şifreler (OTP) üreten bir uygulama kullanmak, hiçbir şey kullanmamaktan daha iyidir.
En iyi seçeneğiniz mi? Hesaplarınıza giriş yapmanın birincil yolu olarak geçiş anahtarlarına geçmek. Bunlar, şifreler gibi kaba kuvvetle kırılamazlar ve ayrıca kimlik avına karşı dirençlidirler; bu da iki kat kazanç demektir. Geçiş anahtarlarıyla ilgili tek gerçek tehlike, bunları sakladığınız cihazı (örneğin, telefonunuzu) kaybetmektir.
Ancak geçiş anahtarlarını saklamak için çok sayıda kolay yol varken, birden çok yedek anahtar oluşturmak basittir. Ve hiçbir şey olmasa bile, bir hesapta süper uzun, karmaşık ve rastgele bir şifre + 2FA’yı etkin bırakabilir, ardından bu bilgileri tamamen kontrol ettiğiniz bir şifre yöneticisine ve 2FA uygulamasına kaydedebilirsiniz. Daha sonra, hesaplarınıza acil erişime ihtiyacınız olmadığı sürece bu bilgileri olduğu gibi bırakın.
14 yıllık bir teknoloji ve video oyunları gazetecisi olan Alaina Yee, PCWorld için çeşitli konuları ele alıyor. 2016’da ekibe katıldığından beri CPU’lar, Windows, PC toplama, Chrome, Raspberry Pi ve çok daha fazlası hakkında yazılar yazdı ve aynı zamanda PCWorld’ün yerleşik indirim avcısı (#slickdeals) olarak görev yaptı. Şu anda odağı güvenlik üzerine ve insanların kendilerini çevrimiçi ortamda nasıl en iyi şekilde koruyacaklarını anlamalarına yardımcı oluyor. Çalışmaları daha önce PC Gamer, IGN, Maximum PC ve Official Xbox Magazine’de yayınlandı.
