Geçtiğimiz yıllarda çoğu sitede kullanıcı bilgilerinin hack’lenmesiyle bir şeyin farkına vardık: Parolalarımıza özen göstermiyoruz. ‘LeylamKarıcım34’, ‘12345678’, ‘cimbomulan’ gibi parolalar dolu. Hatta evdeki Wi-Fi parolam da buna benzediğinden evime ilk kez gelen misafirler (erkeklerse) gülmüşlerdir… Kadınlarsa durun ben yazayım diyorum, zira yönlendiriciyi ayarlayamayıp kudurmuş ve parolayı ona göre sinirli yazmıştım…
Bu tarz parolalar çok kolay kırılabiliyor. Ama şimdi bir de Android ekran kilidi motifleri çıktı başımıza. Şekil çizin dediği yere girip, bir afallayınca, “ne yapsam yaa” beyin donması yaşıyorsun ve aklına gelen çok da kompleks olmayan o motifi çiziyorsun ya, onları genelde çoğu insan benzer şekilde çiziyor.
Norveç Bilim ve Teknoloji Üniversites mezunu Marte Løge, 4 bin kadar motifi yüksek lisans tezi için inceledi. Sonuçların %44’ü sol üst köşede, %77’si herhangi bir köşede başlarken, toplam kat edilen nokta sayısı beşti. Yani ortalmaa 9 binden az kombinasyon vardı. Motiflerin çok yüsek bir bölümü sadece dört noktadan oluşuyordu. Bu da toplam kombinasyonları 1624’e düşürüyor. Ek olarak, motiflerin genelde yukarıdan aşağı ve soldan sağa gittiğini belirteyim.
Marte, “insanlar tahmin edilebilir” diyor. “Standart parola üretirken izlediğimiz yolları motif üretirken de izliyoruz” diye ekliyor. Bu motifler en az dört, en fazla dokuz adımlı olabiliyor. Bu da toplamda 389.112 kombinasyon demek… Tablodan kaç noktada kaç kombinasyon var görebilirsin:
4 | 1624 |
5 | 7152 |
6 | 26.016 |
7 | 72.912 |
8 | 140.704 |
9 | 140.704 |
Marte, tezi için deneklere bir alışveriş, bir banka, bir de telefonu açmak için üç adet motif yaratmalarını söyledi. Ne yazık ki dört adımlı motif, en çok üretilendi. Hatta sekiz noktalı motifler, dokuz noktalılardan toplam kombinasyon sayısı aynı olmasına rağmen azdı.
Aşağıdaki görselde uzun noktalı motif seçen erkekler ve kısa motif seçen kadınları ve seçilen tüm noktaların oranlarını görebilirsin:
Karıştır, iyice karıştır dibi tutmasın
Løge, motiflerin tahmin saldırısıyla kırılmasındaki en önemli etkenin noktalar olmadığını söylüyor. Örneğin 1, 2, 3, 6 motifinde izlenen yol 2, 1, 3, 6 motifinden daha kolay, zira 2’yle başlayan da yön değişikliği oluyor.
Asgarî skor 6,6 iken azamî skor 46,8’di, ortalama ise 44,4’tü. Motiflerin skoru yükseldikçe, insanların hatırlaması zorlaşıyor. Erkekler 2, 3, 1 gibi kompleks motifler seçerken, kadınlar seçmedi.
Bir zümrenin zekası nasıl en aptal üyesinin zekası kadarsa, bir güvenlik sisteminin güvenliği de en zayıf halkası kadar oluyor. Adobe’nin parolaları döküldüğünde ‘letmein’ (bırak da gireyim), 1234567 gibi parolalar vardı. Bu motiflerde de benzer şekilde, %10 kadar motif alfabedeki bir harfden esinlenilmişti. Genelde bu harfler de çocuğun ya da eşin adının ilk harfiydi. Bu yüzden de saldırgan birisi, 100’ün altında kombinasyonla bir insanın telefon kilidini açabilir. Hatta saldırgan, eşin ya da çocuğun adını biliyorsa, işi daha da kolay:
Hack’lemesi en kolay sistem, insan…
Garibime giden şeyse iki cinsin de sekiz noktalı motiflerden uzak durması; dokuzlu ve sekizli aynı kombinasyonu sayısını veriyor ama dokuzlular neredeyse dört kat fazla kullanılmış. Garibime giden ikinci şeyse solak insanlar da sağlaklar gibi aynı köşelerden başlamışlar. Acaba Aramca kökenli, sağdan yazılan dillerin olduğu ülkelerde bu değişir miydi?
Ekran kilidi şeklini kompleks yapmalısın, fazla noktalı olmalı, çapraz, geriye dönen geçişler olmalı, parmaklarında çok yağ varsa, kullandıktan sonra ekranı temizlemeli ve kilidi açarken gözlerden kaçınmalısın. Android ayarlarında, motifin olduğu bölgede ‘çizilen şekli görünür kıl’ı kapatman da işe yarayacaktır. Biri omzunun üzerinden seni dikizliyorsa, çizimin olmaması takip etmesini zorlaştırır.
Fun fact: Parmak yağı dedik, bir gün boyunca kullanılmış 450 adet 4 inçlik telefon ekranında bir hamburger kadar kalori olduğunu biliyor muydun? Ayrıca buluğ çağına girmemiş insanların parmakizleri, vücutlarındaki yağ eksikliğinden dolayı buharlaşıyor. Telefonunu küçük bir çocuğa açtırabilirsin. Ya da cinayet işletebilirsin, orası sana kalmış. Tabii cinayeti önermiyorum 🙂