2024 ile 2025’in başları arasında sızdırılan yaklaşık 19 milyar şifrenin yeni analizi, kullanıcılar arasındaki şifre güvenliğinin son derece zayıf olduğunu gösteriyor. Araştırmacılar, veri kümesindeki şifrelerin yaklaşık yüzde 94’ünün ya yeniden kullanıldığını ya da birden fazla hesapta çoğaltıldığını buldu. Sadece yaklaşık yüzde altısı benzersizdi.
Kullanıcıların study basit kalıplara, kısa uzunluklara ve öngörülebilir dizilere güvenmeye devam ettiğini ortaya çıkardı. En yaygın parolalar arasında “123456”, “123456789”, “parola” ve “qwerty” yer alıyor ve bunların tümü on yıldan fazla bir süredir sürekli olarak küresel parola ihlali listelerinin başında yer alıyor. Uzmanlar, bu tür şifrelerin otomatik araçlarla saniyeler içinde kırılabileceğini belirtiyor.
Rapora göre, analiz edilen tüm şifrelerin yaklaşık yüzde 42’si sekiz ila on karakter uzunluğundaydı ve sekiz en yaygın uzunluktu. Kabaca yüzde 27’si yalnızca küçük harfler ve rakamlar içeriyordu ve bu da otomatik tahmin saldırılarına karşı çok az direnç gösteriyordu. Yıllarca süren kamuoyu bilinçlendirme kampanyalarına rağmen, kullanıcılar güvenlik gücünden ziyade rahatlık ve akılda kalıcılığa öncelik vermeye devam ediyor.
Araştırmacılar ayrıca birçok şifrenin isimler, doğum günleri veya spor takımları gibi kişisel bilgileri birleştirdiğini buldu. Saldırganlar genellikle önce ortak adları ve sayısal kombinasyonları test eden sözlük tabanlı yöntemler kullandığından, bu kalıplar hesapları daha da savunmasız hale getirir. Kişisel bilgileri içeren şifreler genellikle kaba kuvvet girişimlerinin ilk aşamalarında ele geçirilir ve hesaplar açıkta kalır.
Zayıf parolalar devam ediyor
Analistler, zayıf parolalara güvenmeye devam etmeyi cehaletten ziyade alışkanlık ve yorgunluğa bağlıyor. Birçok kullanıcı, saldırganların yalnızca büyük kuruluşlara odaklandığını varsayarak doğrudan hedef alınma olasılığını hafife alıyor. Diğerleri, unutmaktan korktukları için hizmetler arasında benzer parolalara güvenirler. Bununla birlikte, kimlik bilgilerinin yeniden kullanımı en zararlı siber güvenlik risklerinden biri olmaya devam ediyor, çünkü ihlal edilen bir hesap diğer birçok hesabın kilidini açabilir.
Çalışma, bu modelin saldırganların, bir ihlalden gelen şifrelerin birden fazla web sitesinde otomatik olarak test edildiği “kimlik bilgisi doldurma” kampanyaları başlatmasına olanak tanıdığı konusunda uyarıyor. Bu teknik, e-posta, bankacılık ve sosyal medya hesaplarını tehlikeye atmak için yaygın olarak kullanılmaktadır. Zayıf veya yeniden kullanılan parolalar, suçluların daha gelişmiş güvenlik kontrollerini atlamaya gerek kalmadan başarılı olmalarını çok daha kolay hale getirir.
Uzmanlar, kullanıcılar için birkaç pratik adım önermektedir. İlk olarak, her hesabın uzun ve karmaşık, ideal olarak en az on iki karakterden oluşan benzersiz bir şifresi olmalıdır. Şifreler büyük ve küçük harfler, sayılar ve özel karakterler içermelidir. İkinci olarak, kullanıcılar mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirmeli ve parola çalınsa bile ekstra bir koruma katmanı eklemelidir.
Güvenli kimlik bilgileri oluşturmak ve saklamak için parola yöneticileri de şiddetle tavsiye edilir. Bu araçlar, tahmin edilmesi neredeyse imkansız olan rastgele kombinasyonlar üretir ve birden fazla uzun diziyi hatırlama ihtiyacını ortadan kaldırır. Ayrıca, verileri bilinen bir ihlalde göründüğünde kullanıcıları bilgilendiren hizmetler, zamanında parola değişiklikleri yapılmasını isteyerek maruz kalmanın azaltılmasına yardımcı olabilir.
Araştırmacılar, birçok ihlalin sistem kusurlarından ziyade insan davranışlarından kaynaklandığını belirtiyor. Basit ve tekrarlayan şifreler her yıl veri kümelerinde görünmeye devam ediyor ve bu da farkındalığın tek başına alışkanlıkları değiştirmek için yeterli olmadığını gösteriyor. Uzmanlar, tutarlı eğitimin, parola yöneticilerinin ve otomatik güvenlik uyarılarının daha iyi entegrasyonuyla birleştiğinde, uzun süredir devam eden kullanıcı kalıplarının değiştirilmesine yardımcı olabileceğini savunuyor.
2025 verileri, şifrelerin yeniden kullanımının ve basitliğinin çevrimiçi güvenlikte önemli zayıflıklar olmaya devam ettiğini gösteriyor. Şirketler daha güçlü kimlik doğrulama sistemlerine yatırım yapmaya devam etse de bireylerin kendi hesaplarını koruma konusunda daha fazla sorumluluk alması gerekiyor. Anlamlı bir davranış değişikliği olmadan, aynı zayıf parolaların gelecekteki ihlal raporlarına da hakim olması muhtemeldir.