Carnegie Mellon Üniversitesi’nde bilişim alanında dersler veren Prof. Lorrie F. Cranor, TEDTalks’taki konuşmasında şifreler ve şifre güvenliği hakkında yaptığı araştırmasını dinleyicilerle paylaşıyor. Cranor, ilk defa üniversite bilişim departmanının şifre politikalarında ayrıntılı değişikliğe gitmesi ile şifreler konusunda araştırma yapma fikri ediniyor. Fakat şifrelerin mahremiyeti dolayısıyla NIST’in bile elinde yeterince şifre verisi bulunmaması üzerine, bu araştırmayı ekibiyle birlikte kendisi yürütüyor.
Üniversite kampüsünde yapılan anketler ile, online kullanıcılara, şifrelerini açıkça yazmadan şifreleri hakkında sorular soruluyor. Şifrelerde rakam kullanılıp kullanılmadığı, hangi tür karakterlerin hangi sıralarda kullanıldığı gibi sorular yoluyla şifreler hakkında oldukça fazla veri elde ediliyor. Ayrıca Carnegie Mellon Üniversitesi’nde üniversite bünyesindeki tüm şifreleri (şifreleri birebir görmeden) inceleyen Cranor, işletme ve finans gibi bölümlerin mensuplarının, şifre güvenliğine en fazla dikkat eden grup olduğunu farkediyor. Şifre güvenliği açısından en zayıf ve dikkatsiz olan üniversite mensupları ise, bilgisayar ve yazılım bölümü öğrencileri.
Cranor ve ekibi, araştırmalarını derinleştirerek, kullanıcıların şifrelerini nasıl oluşturduklarını ve bu şifreleri oluştururken nasıl bir mantıkla hareket ettiklerini araştırmaya başlıyor. amazon.com’un Mechanical Turk uygulaması üzerinden, 50¢ karşılığında kullanıcılardan şifre üretmeleri bekleniyor. Bu yöntemle yaklaşık 5000 hayali şifre toplayan Cranor ve ekibi, şifrelerde en fazla kullanılan trendleri ortaya çıkarıyor. Örneğin şifrelerde belli başlı bazı hayvan isimleri (maymun, kedi, vb), bazı karakterler (@, ., ! vb.) sıklıkla tercih ediliyor. Fakat yine de kullanıcıların halen şifre güvenliğinin önemini idrak edememiş olmaları, 123456, qwerty, iloveyou gibi şifrelerin sıklıkla tercih ediliyor olması ve bunun siber suçluların işlerini kolaylaştırması, Cranor tarafından altı çizilen noktalardan.
Günümüzde bir kullanıcının çok fazla sayıda şifresi bulunduğu ve bunların hepsinin hatırlanmasının zor olduğunu kabul eden Cranor, internet kullanıcılarının şifre güvenliği konusunda nelere dikkat etmeleri gerektiği konusunda da önerilerde bulunuyor. Hem güvenli hem de hatırlanması kolay şifre seçimi için en etkili yöntemin “hecelenebilir şifreler” (pronouncable passwords) olduğunu belirtiyor. Bu şifreler, herhangi bir sözlükte bulunmayan, fakat dil ile söylenmesi herhangi bir kelimeyi söylemek kadar kolay olan şifreler.
Cranor, şifre konusunun siber suçlar ve siber güvenlik açısından önemini yineleyerek konuşmasını tamamlıyor.