Internet'te şifre güvenliği her zaman önemli bir sorun oldu. Bu sorunun çözümü için çeşitli yöntemler önerildi. Pek çoğu ya başka güvenlik açıklarına neden olduklarından (bütün şifreleri yöneten tek bir şifre bulunması ve bu şifrenin lokal olarak depolanması) ya da kullanıcı konforunu önemli ölçüde azalttıklarından rağbet görmediler. Dolayısıyla yeni yöntemler geliştirilmeye, yeni öneriler getirilmeye devam ediyor. Ele almak istediğimiz Password Composer da bunlardan bir tanesi. Yukarıda değindiğimiz iki sorunu önemli ölçüde çözmüş olduğundan vurgulanmayı hak ettiğini düşünüyorum.
Nasıl çalışıyor?
İşin teknik altyapısıyla ilgilenmeyenler bu kısmı geçebilirler. Ama söz konusu güvenlik olunca işin teknik kısmı da önemli oluyor elbette. Password Composer, kullanıcıya herbir alan adı (domain) için ayrı bir güvenli şifre oluşturuyor. Kullanıcının kendi belirlediği bir ana şifresi oluyor (master password). Password Composer bu ana şifreyi ve sitenin alan adını (domain name) alıp bunları MD5 algoritmasından geçirerek size o alan adı için kullanabileceğiniz bir şifre oluşturuyor. Şifre hiçbir yerde depolanmıyor, her seferinde alan adı ve ana şifre kullanılarak yeniden hesaplanıyor. Bu nedenle bilgisayarınıza sizden habersiz yüklenmiş yazılımların şifrenizi bulup başkalarına göndermesi gibi bir risk bulunmuyor. Algoritma açık olduğundan ve hep aynı sonucu vereceğinden bilgisayar değiştirdiğinizde ya da bilgisayarınıza format attığınızda şifrelerin kaybolması gibi bir sorun da bulunmuyor. Ana şifreyi hatırladığınız sürece her alan adı için şifrenizi yeniden oluşturabilirsiniz. Hatta şuradaki formu kullanarak şifrenizi genel bir bilgisayardan da (Internet Cafe, arkadaşınızın bilgisayarı, vb.) hesaplayabilirsiniz.
Kullanım kolaylığı
Bütün şifre güvenliği sistemlerinde olduğu gibi Password Composer için de kullanım kolaylığı sorununun bir biçimde çözülmesi gerekiyor. Bunun çeşitli yolları var. Ancak Internet şifrelerimizi kullanmamız gereken program bir web tarayıcısı (browser) olduğu için, en rahat çözümün bir Internet tarayıcısına entegrasyonu içermesi gerektiği aşikar. Bu nedenle önce Firefox'un kullanılabileceği iki çözümden söz edelim.
Greasemonkey Kullanıcı Betiği (Script)
Eğer Firefox için Greasemonkey eklentisini yüklemişseniz hayatınız çok kolaylaşıyor. Bu eklentinin kullanması için tarayıcınıza pwdcomposer.user.js scriptini yüklediğinizde tarayıcınızla gezdiğiniz sayfalardaki bütün şifre alanları bulunup işaretleniyor. İşaretlenmiş şifre alanına çift tıkladığınızda script tarayıcının bulunduğu alan adını otomatik olarak lıyor ve ana şifrenizi girmenizi istiyor. Ana şifreyi girdiğinizde de hesaplanan şifrenizi şifre alanına yapıştırıyor. Şifreyi siz dahil hiçkimsenin görmesine meydan vermeden gerekli alana yapıştırarak maksimum güvenlik sağlıyor.
Eklentilerle ilgili sayfada bu scriptin Safari ve Internet Explorer 6 ile de kullanılabileceği ancak Internet Explorer versiyonunun daha az özelliği ve daha fazla hatası bulunduğu belirtilmiş.
Firefox Eklentisi
Ne yazık ki aynı amaçla hazırlanmış olan Password Composer eklentisini yalnızca Firefox'un eski sürümlerinde çalışıyor. Eklenti sayfasında eklentinin geliştirilmeye devam edip etmeyeceğine ilişkin ayrıntılı bir bilgi de bulunmadığı için bu konuda daha geniş bir açıklama yapamıyoruz.
Bookmarklet
Password Composer'ı kullanmak için tarayıcı merkezli bir başka çözüm de bir bookmarklet. Bu sayfadaki bookmarkleti tarayıcınızın Yer İmi (Favoriler) araç çubuğuna sürükleyip bırakarak da hayatınızı kolaylaştırabilirsiniz. (Javascript'in uzunluğu nedeniyle Internet Explorer versiyonlarında sorun olabileceği belirtilmiş). Bu bookmarklet'in yüklü olduğu tarayıcınızla şifre gerektiren bir sayfayı ziyaret ettiğinizde bookmarklet'e tıkladığınızda formaki şifre alanı bulunup ana şifrenizi girmeniz isteniyor. Ana şifreyi girdiğinizde asıl şifreniz alana kopyalanıyor. Bu bookmarklet, daha önce değindiğimiz Greasemonkey Kullanıcı Betiği kadar çok özellik sunmadığından kullanıcılar söz konusu betiği kullanmak konusunda özendiriliyorlar.
Web Formu
Eğer hiçbir şey yükleyemeyeceğiniz bir bilgisayardan Internet'e giriyorsanız ve şifre girmeniz gerektiyse bu sefer yardımınıza bu iş için tasarlanmış bir web formu yetişiyor. Bu web formuna şifresine ihtiyaç duyduğunuz alan adını ve ana şifrenizi girdiğinizde form size o alan adı için oluşturulan şifreyi veriyor. Böylelikle şifrelerin taşınırlığı bir sorun olmaktan çıkmış oluyor.
MIDlet
Güvenlik konusunda aşırı hassassanız ve kullandığınız bazı bilgisayarlarda statik bir web formuna ana şifrenizi girmenin bile güvenlik riskleri barındırdığına inanıyorsanız, henüz Password Composer web sayfasında tanıtılmayan bir MIDlet'i buradan tanıtalım. Bu MIDlet'i java destekli telefonunuza yüklediğinizde web foruma benzer bir formla karşılaşıyorsunuz. Forma alan adını ve ana şifrenizi girdiğinizde şifreniz açık biçimde gösteriliyor (bu nedenle cep telefonu ekranınızın görülebileceği ortamlarda kullanmaktan kaçınmanızı öneriyoruz). Böylelikle bütün şifrelerinizi her zaman yanınızda taşımış oluyorsunuz, üstelik hiçbir yere kaydetmeden, depolamadan. Çünkü şifreniz her seferinde yeniden hesaplanıyor. MIDlet'i bu adresten indirebilirsiniz.
Son olarak *nix kullanıcıları için yazılmış küçük bir script de olduğunu belirtip bu faslı kapatalım.
Ana şifre
Bu yöntemle yeni tanışan kullanıcıların sorma eğiliminde olduğu iki soru var. Bir tanesi ana şifreyi nerede depolayacakları sorusu. Sorunun cevabı basit: hiçbir yerde. Şifreyi yalnızca aklınızda tutmanız yeterli. Çünkü ayrı sayfalar için belirlediğiniz şifreler her sayfa için her seferinde baştan hesaplanıyor. Ana şifreyi hiçbir yerde depolamanız gerekmiyor, hatta bilgisayarınızda bir yerde depolamamanız öneriliyor. Tab,, bu soruya bu cevap verilince şu soru kaçınılmaz oluyor: Peki ana şifremi unutursam ne olacak? Ana şifrenizi unutmanız/ kaybetmeniz demek bütün siteler için oluşturmuş olduğunuz bütün şifreleri kaybetmeniz demek. Ama bu sorunun da cevabı basit: Ana şifrenizi unutmayın. Bütün şifrelerinizi kontrol edeceğiniz tek bir şifre olacağı için bu şifreyi aklınızca tutmanızın çok zor olmadığı varsayılıyor. Ancak yine de bu soru bir ucuyla bütün şifre güvenliği sorularının gelip dayandığı yere dayanıyor: şifrenizi bir kağıda yazıp kağıdı güvenli olduğunu düşündüğünüz bir yerde saklayın. Bu yer klavyenizin altı bile olabilir. Evinize giren hırsız eğer şifrenizi çalmak için giriyorsa zaten ortada bir sorun var demektir :)
Bu yeni yöntemin Internet güvenliği konusunda size yardımcı olup olamayacağı konusundaki yorumlarınızı meak ediyorum.
