12 Eylül 2015

Parolalar kırılırken

İsmail Gökhan Bayram

bilisim@evrensel.net igbayram

DİĞER YAZILARI

Link vergisi hangi medyayı kurtarır? 15 Mart 2025

Google’ın yapay zeka destekli kaçışı 8 Mart 2025

GPT-4.5: Maksimum fiyat, minimum ilerleme 1 Mart 2025

Yapay zekada fiyat savaşları 8 Şubat 2025

Stargate, OpenAI’ı kurtarabilir mi? 25 Ocak 2025

Yapay Zekanın arkasındaki görünmez maliyet 4 Ocak 2025

Geniş dil modellerinde yeni rakip: DeepSeek V3 28 Aralık 2024

Çocukları çevrimiçi tehlikelerden kim koruyacak? 14 Aralık 2024

Sosyal medyaya yaş sınırlaması çocukları koruyabilir mi? 30 Kasım 2024

Medyanın arama tekeli ile imtihanı 23 Kasım 2024

YAZI ARŞİVİ

Güvenli bir şifre ne kadar zor olabilir ki? Peki bir parola ne kadar güvenli olabilir ki? Peki ya parolanızı girdiğiniz siteler? Sıklıkla tartışılan şifre güvenliği sorunu bu kez de AshleyMadison kullanıcılarının parolalarını içeren dosyanın şifrelemesinin kırılması ile yeniden gündeme geldi.
Normal şartlarda siteler kullanıcıların şifrelerini hash fonksiyonları adı verilen algoritmalar ile dönüştürerek saklar. Şifreye hash fonksiyonunun uygulanması ile elde edilen sonuç kötü amaçlı kişilerin eline geçse dahi buradan yola çıkarak şifreyi elde etmek ya mümkün değildir ya da astronomik düzeyde zaman almaktadır. AshleyMadison hacklendiğinde kullanıcıların parolalarını içeren şifreli dosya da yayımlanan dosyalar arasındaydı. Hemen herkes şifrelerin güvende olduğunu düşünüyordu. Sonuçta AshleyMadison’ın kullandığı bcrypt algoritması nedeni ile parolaların ufacık bir kısmına ulaşmak bile süperbilgisayarlardan oluşan ciddi bir hesaplama gücü ile yıllar alacaktı. Ta ki CynoSure Prime adlı bir grup çıkıp da bcrypt’te yer alan bir programlama hatası sayesinde 11 milyon AshleyMadison kullanıcısının parolalarına eriştiklerini ve bir iki hafta içinde 4 milyon kadar parolaya erişeceklerini açıklayana kadar.
CynoSure Prime eriştikleri parolaları açıklamamış olsa da aynı yöntemi izleyecek farklı kişilerin parolaya erişebilmesi neredeyse kesin. Üstelik pek çok kullanıcı aynı parolayı birden fazla sitede kullanıyor. Yani 36 milyon AshleyMadison kullanıcısının parolaları yakında açık olarak dolaşmaya başlar.
Ancak bu durum sadece AshleyMadison kullanıcılarını etkilemiyor. Kırılmaz sistem yoktur. En güvenilir bulduğumuz sitelerin bile kırılması gibi bir olasılık var. Üstelik bcrypt gibi hash fonksiyonlarının da çeşitli açıklara sahip olabileceği ve bunun da parolalarımıza ulaşılmasını kolaylaştırabileceğini CynoSure Prime kanıtladı. Öyleyse kullandığımız her hangi bir sitenin ya da hesaplarımızdan birinin hacklenmesi ihtimaline karşı biraz paranoyak olup belli güvenlik tedbirleri almakta yarar var:
- Her site için ayrı bir parola kullanmak parolalardan biri ortaya çıksa dahi diğer hesapların ele geçirilmesini engelleyecektir.
- Büyük ve küçük harfler ile sayı ve işaretler kullanan 12 karakterden kısa olmayan parolalar kaba güç yöntemleri ile hesaplarımızın kırılma olasılığını düşürür.
- Parolamızın anlamlı kelimeler içermemesi, kendi hayatımızla ilgili doğum tarihi vb. bilgi içermemesi araştırma ve tahmine dayalı saldırıları zorlaştıracaktır.
- Parolalarımızı şifrelenmemiş bir dosyada saklamaktan kaçınmak cihaza sızabilecek kişilerin tüm hesaplara kolayca ulaşabilmesini engeller.
- Güncel bir antivirüs ve düzenli virüs taramaları ile klavye girdilerimizi tespit edip raporlayan keyloggerlara karşı tedbir alınabilir.
Biraz dikkat ve özenle her hangi bir hacklenme durumunda dahi hasarı asgariye indirebilirsiniz.