Online al??veri? sistemlerinde kullan?c?larda memnuniyet izleri b?rakmak ile ilgili yazd???m bir yaz?mda sistem olarak be?enilerimi dile getirdi?im bir site, GittiGidiyor.com, bu defa farkl? bir özellikle yaz?n?n konusu haline geldi.
Kullan?c? bilgilerimi düzenleme esnas?nda ola?an ?ifre güncellemelerimi yapmak istedi?imde eski ?ifremi hat?rlayamad???m? ya da yanl?? yazd???m? varsay?n, mant?kl? olarak kulland???n?z servisin e-posta yolu ya da güvenlik sorusu /bilgileri üzerinden ?ifrenizi temin etmek, de?i?tirmek, otomatik de?i?tirmek istersiniz.
?ifre hat?rlatma i?leminde farketti?im bir kaç eksiklik/hatay? payla?mak istedim.
?ifre Hat?rlatma
Üyelik bilgilerinizi belirledi?inizde sisteme tan?tt???n?z kullan?c? ad?n?z? ya da e-posta adresinizi yazarak ?ifrenizin e-posta adresinize gönderilmesini sa?layabilirsiniz. Böyle bir durumda ya sistem size otomatik bir ?ifre olu?turacakt?r ya da sizden bir e-posta do?rulu?u mesaj?ndan sonra ?ifrenizi de?i?tirmenizi isteyecektir. Bu a?amada yap?labilecek do?rulama yine üyelik bilgileriniz üzerinden yap?labilece?i gibi sadece bir link ve aktiasyon kodu ile de sa?lanabilir.
Gittigidiyor.com burada aktivasyon kodlu bir e-postay? tercih etmi?, ancak yap?lan ya da sonradan olu?an bir hata var ki o da ?ifre hat?rlatmas? esnas?nda Kullan?c? ad?n?z? veya e-mail adresinizi girdi?inizde, ?ifrenizi de?i?tirebilmeniz için link e-mail adresinize yollanacakt?r. ibaresi üzerine e?er üyelik kimli?iniz ( Kullan?c? ad?n?z )`i kullanarak e?er hat?rlatma i?lemi yapacaksan?z, e-posta adresinize aktivasyon mesaj?n?n ula?m?yor olmas?.
Test etmek amac? ile yakla??k 20 dk. kadar bekledi?im mesaj elime ula?abilmi? de?il.
?imdi ise di?er form giri?ini kullarak e-posta adresi k?sm?na üyelik alan?nda tan?tt???m e-postam? yazay?m.
?ifre de?i?tirebilece?iniz link, email adresinize gönderildi!
Lütfen Email adresinizi kontrol ediniz!
Kullan?c? ad? girerek gönderdi?im form alan?n?n ard?ndan ald???m mesaj ç?kt?, bu kez kulland???m e-posta adresime bir kaç saniye içinde aktivasyon mesaj? geldi. bir kaç bilginin ve linkin ard?ndan ?ifre hat?rlatma ekran? ile kar??la??yorsunuz.
Bu a?amadan sonra yeniden ?ifrelerinizi belirliyorsunuz. Bu i?lemin ard?ndan size e-posta de?i?ikli?inin onayland???na dair bir mesaj al?yorsunuz.
?ifre Hat?rlatmada Olmas? Gerekenler
Üyelik sistemlerinin gereksinimi olan ki?isel bilgilerin güvenli?i ve sistem kontrolünde olmazsa olmaz olan bölüm olan ?ifrelerde bir çok önemli husus göz önünde bulundurulmal?d?r.
- Kullan?lacak Karakter Türleri
- Kullan?lacak Karakter Say?s?
- ?ifrelerin Saklanmas?
- ?ifre Kullan?m?
Üyelik sistemlerinde ço?unlukla kullan?lan rakamlar ve harfler ?ifreleme mant??? olarak dü?ünüldü?ünde tahmin edilmesi en muhtemel varyasyonlard?r.
En çok kullan?lan do?rum tarihi gibi özel günler, ki?i isimleri, yer/mekan isimleri gibi seçimler bunlardan en çok kullan?lanlar?d?r. Rastlant?sal tahminlerle de bulunabilen bu tür seçimlere alternatif olarak içerisinde farkl? karakterler yer alan ?ifreler daha güvenli bir yap? sergilemektedirler.
Baz uygulamalarda da görebilece?iniz ?ifrenin tahmin edilebilirlik derecesi grafikleri bu amaçla haz?rlanm?? uygulamalard?r. Buna örnek olarak gmail üyeli?inde yer alan form alan?n? gösterebiliriz.
Bu alanlarda kriter kulland???n?z karakterlerden, karakter say?s?na göre de?i?mektedir. Örnek ?ifreleme tekniklerinde kullan?lacak karakter varyasyonlar? ile ilgili yandaki görseli inceleyebilirsiniz.
Ço?u web sisteminde baz? karakterlerin program bünyesinde filtrelenmesi ve kullan?m?n?n engellenmesi sizi alternetif seçimlere yönlendirebilir. Ancak bu gibi durumda yine sabitlikten ve tahmin edilebilirlikten uzak durulmas? gerekmektedir. Böyle bir durumda web sitesi sahiplerine de mümkün oldu?unca geni? karakter setlerine izin verilmeli, engellenen karakterler ise form bünyesinde ayr?ca belirtilmelidir.
Genel olarak sistemde tercih edilen bir standart bulunmamakta, ancak benim ki?isel görü?üm karakter aral???n?n minimum 5 karakter olarak belirlenmedi. Bu ?ekilde sadece y?l kullan?lan ?ifrelerin kullan?m?n?n da önüne geçilmi? olunmaktad?r.
Bu konuda Google`?n bahsetti?i kriterleri payla?mak istiyorum.
?ifreniz ne kadar güvenli?
Çevrimiçi gizlili?inizi koruman?n ilk ad?m? güvenli bir ?ifre yaratmakt?r - yani bir bilgisayar program?n?n veya inatç? bir ki?inin k?sa bir sürede kolayca bulamayaca?? bir ?ifre. Güvenli bir ?ifre yaratman?za yard?mc? olmak için, ?ifrenizi yaratt???n?zda ?ifrenizin ne kadar güvenli oldu?unu size gösteren bir araç yaratt?k.
Güvenli bir ?ifre yaratman?n ipuçlar?:
* Noktalama i?aretleri ve/veya say?lar kullan?n.
* Büyük ve küçük harfleri kar??t?r?n.
* Birbirine benzeyen karakter de?i?imleri yap?n, s?f?r yerine bir harf olan ‘O’, veya harf ‘S’ yerine dolar i?areti olan ‘$’ kullan?n.
* Özel bir k?saltma yarat?n.
* Fonetik yer de?i?tirmeler yap?n, ‘Ayran içtim’ yerine ‘I run each team’ gibi.Kaç?n?lacak ?eyler:
* Güzel ?ifre seçimi anlat?l?rken iyi oldu?u söylenen bir ?ifreyi kullanmay?n.
* Ki?isel bilgiler içeren bir ?ifre kullanmay?n (isim, do?um tarihi, vb.)
* Bir sözlükte bulunabilecek kelimeler ve k?saltmalar kullanmay?n.
* Klavyede yanyana duran harfler (asdf) veya ard???k say?lar (1234) kullanmay?n.
* ?ifrenizi tamamen say?lardan, küçük veya büyük kelimelerden olu?turmay?n.
* Tekrar eden karakterler kullanmay?n (aa11).?ifrenizi güvende tutmak için öneriler:
* ?ifrenizi asla kimseye söylemeyin (buna sevgiliniz, oda arkada??n?z, papa?anlar vs. de dahildir).
* ?ifrenizi asla bir yerlere yazmay?n.
* ?ifrenizi asla e-posta ile göndermeyin.
* Periyodik olarak mevcut ?ifrenizi test edin ve yenisiyle de?i?tirin.
Kullan?c?lar?n belirledikleri ?ifrelerin saklanmas? hususunda yine bir çok algoritmik özellik tercih edilebilir. Bunlar haz?r fonksiyonlar oldu?u gibi, geli?tirilebilir yap?da da sunulan fonksiyonlar olabilir. Bu ?ekilde kullan?c?lar?n belirledikleri ?ifreler güvenle sa?lanm?? olacakt?r.
Bu sistemin bir art?s? da, herhangi bir ?ekilde görüntülendiklerinde kullan?labilir olmad?klar? için -fonksiyonun bilinmedi?i, çözümlenemedi?i varsay?ld???nda- ?ifremi unuttum gibi ?ifre hat?rlatma servislerinde talep edilen ?ifre de?i?ikli?inde kullan?c?ya e-posta üzerinden varolan ?ifre yerine yeni bir ?ifre gönderilmi? ya da yeni bir ?ifre talep edilmi? olmas?d?r. Bu ?ekilde varolan eski ?ifrenin ba?kas?n?n eline geçmi? olmas? bir tehlike meydana getirmemi? olmaktad?r.
Bizlerin ihmal etti?i ?ifre güncelleme/düzenli ?ifre de?i?tirme en az?ndan bu ?ekilde sa?lanm?? olmaktad?r.
Benim tavsiyem her sistemde farkl? ?ifreler kullanman?z yönünde olacakt?r. Böylelikle bir alanda ba?ka birinin eline geçen ?ifreniz di?er servislerde kullan?lmad???ndan kolayl?kla sorunsuz bir ?ekilde tekrar size geri dönebilir. Ancak kulland???n?z ortak ?ifrelerin güncellenmesi/de?i?tirilmesi gibi durumlar göz önüne al?nd???nda bir çok sorun da beraberinde kar??n?za ç?kacakt?r.
Bu gibi durumlarda Password Safe programlar? ya da daha geleneksel olan ka??da yazma methodu kullan?labilir. Bu konuda yazd???m bir yaz?y? buradan inceleyebilirsiniz.
