6 Temmuz 2015 Pazartesi

Şifremiz Telefon Numaramız

Şifre seçimiyle ilgili analizleri medyada sık sık görüyoruz. Özellikle en çok seçilen şifrenin yine 123456 olduğuna dair haberler en az 6 ayda bir boy gösteriyor haber sitelerinde.  Pastebin sitesinde anonim bir Türk websitesine ait 11 bin adet şifreye rastlayınca ben de aynı analizi yapma ihtiyacı hissettim. Ancak yazıp yazmama konusunda tereddütlerim vardı. Çünkü bir nevi tekrar olacaktı. Kullanılan şifreleri biraz daha incelediğimde ilgimi çeken bir nokta oldu. Şifrelerin önemli bir çoğunluğunda telefon numaraları kullanılmıştı. Bu yüzden analiz edip yazmaya karar verdim.

Şifrelerin bir diğer özelliği de web sayfasının herhangi bir şifre politikası olmamasıydı. Yani kullanıcıyı şifre seçiminde karakter ve uzunluk seçimine zorlamamasıydı. Bu yüzden 1, 0 gibi bir çok şifrenin yer aldığını da söylemeliyim.

Öncelikle analizimize en çok kullanılan şifre istatistikleriyle başlayalım. Şifre belirlerken en çok dikkat ettiğimiz şey kolay hatırlanabilir olması. Bu konuda kendimizi hiç yormamışız anlaşılan.

  • Meşhur 123456 yine açık ara önde. Yaklaşık 800 adet yani %7,2.
  • Daha sonra 123123, 123321 gibi hatırlaması son derece kolay şifreler görüyoruz.
  • Seriyi bozan şifre sizin de dikkatinizi çekmiştir. Evet 1453. Sadece bu şifre bile listenin bir Türk web sitesine ait olduğunun kanıtı olabilir. J


Analizimizi kullanım oranlarından sonra şifre desenlerine doğru yavaş yavaş ilerletelim.
  • Şifre deseni seçiminde 8000 civarında sadece rakam tercih edilmiş. Milletçe sayıları çok mu seviyoruz ne?
  • Kalan 3000’de sadece harf ve harf + rakam olacak şekilde ayrılmış.
Şimdi gelelim yazıyı asıl yazma amacım olan şifrelerin birçoğunun telefon numarası olmasına.

Öncelikle şifrelerin telefon numarası olduğunu nasıl anladım bundan bahsedeyim. Öyle ya, her 10 basamaklı veya 7 basamaklı sayı telefon numarası olacak diye bir zorunluluk yok. Bu arada hepsini tek tek aramadım tabiki. :)

10 basamaklı sadece rakamlardan oluşan şifrelerin telefon numarası olduğunu anlamak zor olmadı. Çünkü neredeyse tamamı 212, 312, 505, 536, 543, 532, 555 gibi sayılarla başlıyor. Bu sayıların telefon numaralarının alan kodları olması beni doğrudan bu fikre itti. Tesadüf olamayacağını düşünerek bu şekilde olduğundan neredeyse eminim. Sonuç olarak 10 haneli, telefon numarası olabilecek 602 adet şifre bulunuyor.


Alan kodu olmayan 7 basamaklı telefon numaralarının da olduğunu düşünerek 7 basamaklı, sadece rakamdan oluşan şifreleri incelemeye başladım. Bu kısımda şifrenin telefon numarası olup olmadığını anlamak kolay olmadı. Öncelikle sadece rakamdan oluşan tüm şifreleri incelemeye başladım ve hepsinin kendi içinde mantıklı bir sıralanışının olduğunu gördüm.


  • 4 basamaklılar genelde kendini tekrar eden veya doğum günü gibi tarihler. Bu desene uymayan şifreler de var ve bunlar da telefon numarasının son 4 hanesi olabilir. Ama 4 haneli bir çok başka şeyde olacağı için bu ihtimali hiç değerlendirmedim.
Örnek: 1111, 1234, 1960, 1907  

  • 5 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş.
Örnek: 12345, 70707, 10203

  • 6 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş.
Örnek: 110011, 111222, 123123, 123456

  • 8 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş. İlk 4 basamak ile son 4 basamak kendi içinde bir bütün olarak görünüyor.
Örnek: 12031984, 19031903, 19031976

  • 9 basamaklıların neredeyse tamamı bir desene göre verilmiş.
Örnek:
123698745 – Klavye sırası
123996633
147258369 – Klavye sırası
123456789


  • 7 basamaklılarda ise kendi içinde anlamlı olabilecek desenlere rastladıysam da bu oran çok düşük kaldı. Bu yüzden 7 basamaklı, sadece rakamdan oluşan şifrelerin birçoğunun telefon numarası olduğunu düşündüm. Tüm 7 basamaklıların %80’ini telefon numarasıdır diye belirleyerek başka amaçlı verilmiş şifreleri kapsam dışı bırakmaya çalıştım. Toplam 1203 adet adet 7 haneli şifreden 962 adetinin telefon numarası olduğu çıkarımında bulunuyorum.

Örnek: 7605934, 3437610, 5661309, 5286182

Sonuç olarak 10 ve 7 basamaklı şifrelerin telefon numarası olabilme ihtimalleri göz önünde bulundurulduğunda 11 bin şifrenin 1564 tanesinin telefon numarası olduğunu söyleyebiliriz. Yani yaklaşık %14 oranında şifre olarak telefon numaramızı kullanmayı tercih ediyoruz.

Analizde kullanılan şifre listesinin şifre politikası olmayan bir web sitesine ait olması kullanıcıların davranışlarını çok daha doğru analiz etmemizi sağladı. Şifre politikasının tüm uygulamalar için ne kadar gerekli olduğunu bir kez daha görmüş olduk. Zira şifrelerin %21'i telefon numarasından ve 123456’dan oluşmakta.