Şifreleriniz Ne Kadar Güvende
Şifreler (parolalar) modern yaşamın bir gerçeği. Kullandığımız elektronik aletler, hesaplar, uygulamalar arttıkça (tabii devletimizi de unutmamak gerek; o da hakkımızdaki her türlü bilgiyi, SSK, kimlik, vatandaşlık numarası, vergi, vb toplayıp hizmetimize sunuyor), hatırlamamız gereken şifrelerin sayısı da artıyor. Ortalama bir vatandaşın, şöyle kabaca sayarsak, cep telefonu, bilgisayar, bankamatik ve kredi kartı, çevrimiçi banka, e-posta, facebook (bu da bir gerçek, ne yapalım) hesabı olmak üzere en az yedi şifresi var.
Jeff Atwood'un güncesinde rastladığım [ing.] hemen her işletim sisteminde çalışan şifre kırma programı Ophcrack, inanılmayacak kadar hızlı. "Gxcq098pRstzZ" gibi bir şifreyi yalnızca 160 (yazıyla yüzaltmış) saniyede kırıyor. Microsoft şifre sağlamlık ölçerinin yukarıda anılan ve kazayla bir kez kullanırsanız kimsenin, siz dahil ikinci kez hatırlayamayacağına emin olduğum şifreyi "sağlam" olarak verdiğini de ekleyelim.
Peki Ophcrack neden bu kadar hızlı? Sırrı Gökkuşağı Tabloları (Rainbow Tables, ing) kullanmasında.
Gökkuşağı tablolarının nasıl çalıştığını anlamak için yandaki resme bakmanız değil, şifrelerin bilgisayarlarda nasıl saklandığını kavramanız gerekiyor.
Şifreler hiç bir zaman düz metin olarak saklanmaz. En azından saklanmamalıdırlar; tabii ki dünyanın en saf yazılımcılarıyla, en güvenilmez uygulamasını yaratmak gibi bir amacınız yoksa. Onun yerine, tek yönlü olarak karıştırılıp (ing.: hash) öyle saklanırlar. Tek yönlüden kasıt, çıktıdan (hash), geriye dönüp girdinin (şifreniz) elde edilememesidir.
Fakat önceden hazırlanmış, karakterlerin her türlü kombinasyonunun hash değerlerini içeren gökkuşağı tablolarıyla tek yönlü olarak karıştırılmış şifrenize saldırmak mümkün. Şifre kırma çabalarında, bilgisayar şifre için hash'i o anda hesaplayıp deneyecektir, fakat önceden hesaplanmış hash değerleri gereken süreyi yüzlerce kat azaltır. İhtiyaç duyulan tek şey tabloyu içerecek büyüklükte bellektir (RAM) ki onun da fiyatları gün be gün düşüyor. Tabloyu kendiniz hazırlamak isterseniz gereken süre yarım ila bir kaç günü bulabilir, ya da önceden hazırlanmış bir tabloyu indirebilirsiniz.
Bu tip saldırılara karşı korunmak için en iyi yöntemse sanıldığı gibi anlamsız ve hatırlaması zor harf ve rakamları bir araya getirmek yerine, anlamlı, uzun ve hatırlaması kolay şifreler kullanmak. Bir kaç örnek vermek gerekirse:
Jeff Atwood'un güncesinde rastladığım [ing.] hemen her işletim sisteminde çalışan şifre kırma programı Ophcrack, inanılmayacak kadar hızlı. "Gxcq098pRstzZ" gibi bir şifreyi yalnızca 160 (yazıyla yüzaltmış) saniyede kırıyor. Microsoft şifre sağlamlık ölçerinin yukarıda anılan ve kazayla bir kez kullanırsanız kimsenin, siz dahil ikinci kez hatırlayamayacağına emin olduğum şifreyi "sağlam" olarak verdiğini de ekleyelim.
Peki Ophcrack neden bu kadar hızlı? Sırrı Gökkuşağı Tabloları (Rainbow Tables, ing) kullanmasında.
Şifreler hiç bir zaman düz metin olarak saklanmaz. En azından saklanmamalıdırlar; tabii ki dünyanın en saf yazılımcılarıyla, en güvenilmez uygulamasını yaratmak gibi bir amacınız yoksa. Onun yerine, tek yönlü olarak karıştırılıp (ing.: hash) öyle saklanırlar. Tek yönlüden kasıt, çıktıdan (hash), geriye dönüp girdinin (şifreniz) elde edilememesidir.
Fakat önceden hazırlanmış, karakterlerin her türlü kombinasyonunun hash değerlerini içeren gökkuşağı tablolarıyla tek yönlü olarak karıştırılmış şifrenize saldırmak mümkün. Şifre kırma çabalarında, bilgisayar şifre için hash'i o anda hesaplayıp deneyecektir, fakat önceden hesaplanmış hash değerleri gereken süreyi yüzlerce kat azaltır. İhtiyaç duyulan tek şey tabloyu içerecek büyüklükte bellektir (RAM) ki onun da fiyatları gün be gün düşüyor. Tabloyu kendiniz hazırlamak isterseniz gereken süre yarım ila bir kaç günü bulabilir, ya da önceden hazırlanmış bir tabloyu indirebilirsiniz.
Bu tip saldırılara karşı korunmak için en iyi yöntemse sanıldığı gibi anlamsız ve hatırlaması zor harf ve rakamları bir araya getirmek yerine, anlamlı, uzun ve hatırlaması kolay şifreler kullanmak. Bir kaç örnek vermek gerekirse:
- benbirselviboyluyardanayrildim,
- mademkigidiyorsunbirakipburdabeni,
- sansurbaskanligiistemezuk
Yorumlar
Yorum Gönder