Bangladeş Hükümet Web Sitelerinde Parola Güvenlik Faktörleri Üzerine Bir Çalışma

1. Giriş

'Dijital Bangladeş' girişimi kapsamında kamu hizmetlerinin hızla dijitalleşmesiyle birlikte, Bangladeş Hükümeti çevrimiçi hizmetler sunmak için çok sayıda web sitesi başlatmıştır. Ancak, bu platformların güvenliği, özellikle de parola mekanizmaları, kritik bir endişe kaynağı olmaya devam etmektedir. Bu çalışma, 36 Bangladeş hükümet web sitesini altı parola güvenliği sezgisel yöntemine göre analiz ederek siber tehditlere karşı hazırlık düzeylerini değerlendirmektedir.

2. İçindekiler

• 1. Giriş
• 3. Arka Plan ve İlgili Çalışmalar
• 4. Yöntem
• 5. Sonuçlar ve Analiz
  • 5.1 Parola Oluşturma Yönergeleri
  • 5.2 Parola Kurtarma Mekanizması
  • 5.3 CAPTCHA Kullanımı
  • 5.4 Güvenlik Soruları
  • 5.5 HTTPS Benimseme
  • 5.6 Parola Güç Göstergesi
• 6. İstatistiksel Genel Bakış
• 7. Temel Çıkarımlar
• 8. Teknik Detaylar ve Matematiksel Formülasyon
• 9. Deneysel Sonuçlar ve Grafik Açıklaması
• 10. Analiz Çerçevesi Örneği
• 11. Özgün Analiz
• 12. Gelecekteki Uygulamalar ve Yönelimler
• 13. Kaynakça
• 14. Uzman Yorumu

3. Arka Plan ve İlgili Çalışmalar

Parolalar, bilinen güvenlik açıklarına rağmen en yaygın kullanılan kimlik doğrulama mekanizması olmaya devam etmektedir. Önceki çalışmalar, zayıf parola politikaları ve HTTPS şifreleme eksikliğinin küresel çapta hükümet portallarında yaygın sorunlar olduğunu vurgulamıştır. Bu çalışma, özellikle Bangladeş hükümet web sitelerine odaklanan türünün ilk örneğidir.

4. Yöntem

Kayıt ve giriş hizmeti sunan 36 Bangladeş hükümet web sitesini seçtik. Her web sitesi altı sezgisel yönteme göre değerlendirildi: parola oluşturma yönergeleri, parola kurtarma mekanizması, CAPTCHA kullanımı, güvenlik soruları, HTTPS benimseme ve parola güç göstergesi. Veriler manuel olarak toplandı ve çapraz doğrulama yapıldı.

5. Sonuçlar ve Analiz

5.1 Parola Oluşturma Yönergeleri

36 web sitesinden yalnızca 12'si (%33,3) açık parola oluşturma yönergeleri sağlamıştır. Kalan 24 web sitesi (%66,7) herhangi bir rehberlik sunmamış, bu da zayıf parola seçimlerine yol açmıştır.

5.2 Parola Kurtarma Mekanizması

28 web sitesi (%77,8) e-posta yoluyla parola kurtarma imkanı sunarken, 8 web sitesinin (%22,2) herhangi bir kurtarma mekanizması bulunmamakta veya manuel müdahaleye dayanmaktadır.

5.3 CAPTCHA Kullanımı

CAPTCHA, 20 web sitesinde (%55,6) uygulanmıştır. Kalan 16 web sitesinde (%44,4) herhangi bir bot algılama mekanizması bulunmamakta olup, bu durum otomatik saldırılara karşı güvenlik açığını artırmaktadır.

5.4 Güvenlik Soruları

Yalnızca 9 web sitesi (%25) parola kurtarma için güvenlik soruları kullanmıştır. Soruların çoğu tahmin edilebilirdi (örneğin, 'Evcil hayvanınızın adı nedir?') ve minimum düzeyde güvenlik sağlıyordu.

5.5 HTTPS Benimseme

30 web sitesi (%83,3) HTTPS kullanırken, 6 web sitesi (%16,7) hâlâ HTTP üzerinden çalışmakta ve kimlik bilgilerini düz metin olarak iletmektedir.

5.6 Parola Güç Göstergesi

Yalnızca 10 web sitesi (%27,8) gerçek zamanlı bir parola güç göstergesi sağlamıştır. Bu tür bir geri bildirimin olmaması, zayıf parola seçimine katkıda bulunmaktadır.

6. İstatistiksel Genel Bakış

7. Temel Çıkarımlar

• Web sitelerinin çoğunluğu parola oluşturma yönergelerinden yoksundur, bu da zayıf parolalara yol açmaktadır.
• CAPTCHA benimsemesi yetersizdir ve web sitelerini kaba kuvvet ve otomatik saldırılara maruz bırakmaktadır.
• HTTPS benimsemesi nispeten yüksektir ancak evrensel değildir ve veri ele geçirme riskleri oluşturmaktadır.
• Parola güç göstergeleri yeterince kullanılmamakta, kullanıcıları yönlendirme fırsatı kaçırılmaktadır.

8. Teknik Detaylar ve Matematiksel Formülasyon

Parola entropisi $H$, $H = L \cdot \log_2(N)$ olarak hesaplanır; burada $L$ parola uzunluğu ve $N$ olası karakter sayısıdır. 62 karakter (a-z, A-Z, 0-9) kullanan 8 uzunluğundaki bir parola için entropi $H = 8 \cdot \log_2(62) \approx 47,6$ bittir. Düşük riskli sistemler için minimum 30 bit entropi önerilirken, hassas veriler için 50+ bit önerilmektedir.

9. Deneysel Sonuçlar ve Grafik Açıklaması

Grafik 1: Sezgisel Yöntem Benimseme Oranı - Her bir sezgisel yöntemi uygulayan web sitelerinin yüzdesini gösteren bir çubuk grafik. HTTPS benimsemesi %83,3 ile başı çekerken, güvenlik soruları %25 ile geride kalmaktadır. Grafik, güvenlik uygulamalarındaki eşitsizliği açıkça görselleştirmektedir.

Grafik 2: Parola Gücü Dağılımı - Web sitelerinin %60'ının 8 karakterden daha az parola kabul ettiğini, %30'unun 8-12 karakter gerektirdiğini ve yalnızca %10'unun 12+ karakter zorunluluğu getirdiğini gösteren bir pasta grafiği.

10. Analiz Çerçevesi Örneği

Vaka Çalışması: Web Sitesi X (Anonim)

• Parola Yönergeleri: Hiçbiri sağlanmamış.
• Kurtarma: E-posta tabanlı, güvenlik sorusu yok.
• CAPTCHA: Uygulanmamış.
• HTTPS: Evet.
• Güç Göstergesi: Hayır.
• Risk Seviyesi: Yüksek - kaba kuvvet ve kimlik avı saldırılarına karşı savunmasız.

11. Özgün Analiz

Bu çalışma, Bangladeş'in e-Devlet güvenliğinde politika ile uygulama arasında endişe verici bir boşluk olduğunu ortaya koymaktadır. Hükümet hizmetleri dijitalleştirme konusunda ilerleme kaydetmiş olsa da, temel parola güvenlik önlemlerinin (yönergeler, CAPTCHA ve güç göstergeleri gibi) eksikliği, siber risklerin sistematik olarak hafife alındığını göstermektedir. Hâlâ HTTP kullanan %16,7'lik web sitesi oranı özellikle endişe vericidir; çünkü bu durum, kullanıcı kimlik bilgilerini ortadaki adam saldırıları yoluyla ele geçirilmeye açık hale getirmektedir. Dünya Bankası'nın 2021 tarihli bir raporuna göre, gelişmekte olan ülkeler her yıl GSYİH'lerinin tahmini %0,5'ini siber suçlar nedeniyle kaybetmektedir ve bu rakam müdahale edilmezse artabilir. Bulgular, Herley ve van Oorschot'un (2012) parola güvenliğinin ekonomisi üzerine yaptığı ve kullanıcı davranışının sistem tasarımından büyük ölçüde etkilendiğini savunan geniş kapsamlı araştırmayla örtüşmektedir. Güç göstergelerinin ve yönergelerin olmaması, güvenlik yükünü etkili bir şekilde, genellikle uzmanlıktan yoksun olan kullanıcılara kaydırmaktadır. Hindistan ve Pakistan'daki benzer çalışmalarla yapılan karşılaştırmalı bir analiz, Bangladeş'in CAPTCHA benimsemesinde (%55,6'ya karşı Hindistan'da %70) geride kaldığını ancak HTTPS kullanımında (%83,3'e karşı Pakistan'da %65) önde olduğunu göstermektedir. Bu durum, altyapı yatırımının yapıldığını ancak kullanıcıya yönelik güvenlik özelliklerinin ihmal edildiğini göstermektedir. İyileştirme için hükümetin asgari parola standartlarını zorunlu kılması, tüm alan adlarında HTTPS'yi uygulaması ve CAPTCHA'yı temel bir gereklilik olarak entegre etmesi gerekmektedir. Uygulama maliyeti, olası bir ihlalden kaynaklanacak potansiyel kayıplarla karşılaştırıldığında ihmal edilebilir düzeydedir.

12. Gelecekteki Uygulamalar ve Yönelimler

Gelecekteki çalışmalar, sezgisel yöntem setini çok faktörlü kimlik doğrulama (MFA) benimsemesi, parola karma algoritmaları ve oturum yönetimi uygulamalarını içerecek şekilde genişletmelidir. Zaman içindeki değişiklikleri izleyen boylamsal çalışmalar, politika müdahalelerinin etkisini ölçmeye yardımcı olacaktır. Ayrıca, Bangladeşli vatandaşlar arasında parola davranışına ilişkin kullanıcı merkezli çalışmalar, daha iyi tasarım yönergeleri oluşturulmasına bilgi sağlayabilir. Biyometrik kimlik doğrulama ve parolasız sistemlerin (örneğin, WebAuthn) entegrasyonu, kullanılabilirlikten ödün vermeden güvenliği artırmak için umut verici bir yönü temsil etmektedir.

13. Kaynakça

1. Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
2. World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
3. Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
4. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
5. Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. Uzman Yorumu