Şifre Güvenliğini Sağlamak İçin Bir Yöntem

Internet'te şifre güvenliği her zaman önemli bir sorun oldu. Bu sorunun  çözümü için çeşitli yöntemler önerildi. Pek çoğu ya başka güvenlik açıklarına  neden olduklarından (bütün şifreleri yöneten tek bir şifre bulunması ve bu  şifrenin lokal olarak depolanması) ya da kullanıcı konforunu önemli ölçüde  azalttıklarından rağbet görmediler. Dolayısıyla yeni yöntemler  geliştirilmeye, yeni öneriler getirilmeye devam ediyor. Ele almak istediğimiz  Password Composer da bunlardan bir tanesi. Yukarıda değindiğimiz iki sorunu  önemli ölçüde çözmüş olduğundan vurgulanmayı hak ettiğini düşünüyorum.

Nasıl çalışıyor?
İşin teknik altyapısıyla ilgilenmeyenler bu kısmı geçebilirler. Ama söz  konusu güvenlik olunca işin teknik kısmı da önemli oluyor elbette. Password  Composer, kullanıcıya herbir alan adı (domain) için ayrı bir güvenli şifre  oluşturuyor. Kullanıcının kendi belirlediği bir ana şifresi oluyor (master  password). Password Composer bu ana şifreyi ve sitenin alan adını (domain  name) alıp bunları MD5 algoritmasından geçirerek size o alan adı için  kullanabileceğiniz bir şifre oluşturuyor. Şifre hiçbir yerde depolanmıyor,  her seferinde alan adı ve ana şifre kullanılarak yeniden hesaplanıyor. Bu  nedenle bilgisayarınıza sizden habersiz yüklenmiş yazılımların şifrenizi  bulup başkalarına göndermesi gibi bir risk bulunmuyor. Algoritma açık  olduğundan ve hep aynı sonucu vereceğinden bilgisayar değiştirdiğinizde ya da  bilgisayarınıza format attığınızda şifrelerin kaybolması gibi bir sorun da  bulunmuyor. Ana şifreyi hatırladığınız sürece her alan adı için şifrenizi  yeniden oluşturabilirsiniz. Hatta şuradaki formu kullanarak şifrenizi genel bir bilgisayardan da (Internet  Cafe, arkadaşınızın bilgisayarı, vb.) hesaplayabilirsiniz.

Kullanım kolaylığı
Bütün şifre güvenliği sistemlerinde olduğu gibi Password Composer için de  kullanım kolaylığı sorununun bir biçimde çözülmesi gerekiyor. Bunun çeşitli  yolları var. Ancak Internet şifrelerimizi kullanmamız gereken program bir web  tarayıcısı (browser) olduğu için, en rahat çözümün bir Internet tarayıcısına  entegrasyonu içermesi gerektiği aşikar. Bu nedenle önce Firefox'un  kullanılabileceği iki çözümden söz edelim.

Greasemonkey Kullanıcı Betiği (Script)
Eğer Firefox için Greasemonkey eklentisini yüklemişseniz hayatınız çok kolaylaşıyor. Bu eklentinin  kullanması için tarayıcınıza pwdcomposer.user.js scriptini yüklediğinizde tarayıcınızla gezdiğiniz sayfalardaki bütün  şifre alanları bulunup işaretleniyor. İşaretlenmiş şifre alanına çift  tıkladığınızda script tarayıcının bulunduğu alan adını otomatik olarak lıyor  ve ana şifrenizi girmenizi istiyor. Ana şifreyi girdiğinizde de hesaplanan  şifrenizi şifre alanına yapıştırıyor. Şifreyi siz dahil hiçkimsenin görmesine  meydan vermeden gerekli alana yapıştırarak maksimum güvenlik sağlıyor.
Eklentilerle ilgili sayfada bu scriptin Safari ve Internet Explorer 6 ile de kullanılabileceği  ancak Internet Explorer versiyonunun daha az özelliği ve daha fazla hatası  bulunduğu belirtilmiş.

Firefox Eklentisi
Ne yazık ki aynı amaçla hazırlanmış olan Password Composer eklentisini yalnızca Firefox'un eski sürümlerinde çalışıyor. Eklenti sayfasında eklentinin geliştirilmeye devam edip etmeyeceğine ilişkin ayrıntılı bir bilgi de bulunmadığı için bu konuda daha geniş bir açıklama yapamıyoruz.

Bookmarklet
Password Composer'ı kullanmak için tarayıcı merkezli bir başka çözüm de bir bookmarklet. Bu sayfadaki bookmarkleti tarayıcınızın Yer İmi (Favoriler) araç çubuğuna sürükleyip bırakarak da hayatınızı kolaylaştırabilirsiniz. (Javascript'in uzunluğu nedeniyle Internet Explorer versiyonlarında sorun olabileceği belirtilmiş). Bu bookmarklet'in yüklü olduğu tarayıcınızla şifre gerektiren bir sayfayı ziyaret ettiğinizde bookmarklet'e tıkladığınızda formaki şifre alanı bulunup ana şifrenizi girmeniz isteniyor. Ana şifreyi girdiğinizde asıl şifreniz alana kopyalanıyor. Bu bookmarklet, daha önce değindiğimiz Greasemonkey Kullanıcı Betiği kadar çok özellik sunmadığından kullanıcılar söz konusu betiği kullanmak konusunda özendiriliyorlar.

Web Formu
Eğer hiçbir şey yükleyemeyeceğiniz bir bilgisayardan Internet'e giriyorsanız ve şifre girmeniz gerektiyse bu sefer yardımınıza bu iş için tasarlanmış bir web formu yetişiyor. Bu web formuna şifresine ihtiyaç duyduğunuz alan adını ve ana şifrenizi girdiğinizde form size o alan adı için oluşturulan şifreyi veriyor. Böylelikle şifrelerin taşınırlığı bir sorun olmaktan çıkmış oluyor.

MIDlet
Güvenlik konusunda aşırı hassassanız ve kullandığınız bazı bilgisayarlarda statik bir web formuna ana şifrenizi girmenin bile güvenlik riskleri barındırdığına inanıyorsanız, henüz Password Composer web sayfasında tanıtılmayan bir MIDlet'i buradan tanıtalım. Bu MIDlet'i java destekli telefonunuza yüklediğinizde web foruma benzer bir formla karşılaşıyorsunuz. Forma alan adını ve ana şifrenizi girdiğinizde şifreniz açık biçimde gösteriliyor (bu nedenle cep telefonu ekranınızın görülebileceği ortamlarda kullanmaktan kaçınmanızı öneriyoruz). Böylelikle bütün şifrelerinizi her zaman yanınızda taşımış oluyorsunuz, üstelik hiçbir yere kaydetmeden, depolamadan. Çünkü şifreniz her seferinde yeniden hesaplanıyor. MIDlet'i bu adresten indirebilirsiniz.
Son olarak *nix kullanıcıları için yazılmış küçük bir script de olduğunu belirtip bu faslı kapatalım.

Ana şifre
Bu yöntemle yeni tanışan kullanıcıların sorma eğiliminde olduğu iki soru var. Bir tanesi ana şifreyi nerede depolayacakları sorusu. Sorunun cevabı basit: hiçbir yerde. Şifreyi yalnızca aklınızda tutmanız yeterli. Çünkü ayrı sayfalar için belirlediğiniz şifreler her sayfa için her seferinde baştan hesaplanıyor. Ana şifreyi hiçbir yerde depolamanız gerekmiyor, hatta bilgisayarınızda bir yerde depolamamanız öneriliyor. Tab,, bu soruya bu cevap verilince şu soru kaçınılmaz oluyor: Peki ana şifremi unutursam ne olacak? Ana şifrenizi unutmanız/ kaybetmeniz demek bütün siteler için oluşturmuş olduğunuz bütün şifreleri kaybetmeniz demek. Ama bu sorunun da cevabı basit: Ana şifrenizi unutmayın. Bütün şifrelerinizi kontrol edeceğiniz tek bir şifre olacağı için bu şifreyi aklınızca tutmanızın çok zor olmadığı varsayılıyor. Ancak yine de bu soru bir ucuyla bütün şifre güvenliği sorularının gelip dayandığı yere dayanıyor: şifrenizi bir kağıda yazıp kağıdı güvenli olduğunu düşündüğünüz bir yerde saklayın. Bu yer klavyenizin altı bile olabilir. Evinize giren hırsız eğer şifrenizi çalmak için giriyorsa zaten ortada bir sorun var demektir :)

Bu yeni yöntemin Internet güvenliği konusunda size yardımcı olup olamayacağı konusundaki yorumlarınızı meak ediyorum.