Şifre ve Parola Güvenliği
- Parola Güvenliği
- Parola Kırma Saldırıları
- Parola Kırma Atak Yöntemleri
- Çok Faktörlü (2FA) Doğrulama
Parola Güvenliği
Bilgisayarınızı korumak, bilgisayar içinde sakladığınız bilgileri korumak adına çok önemlidir. Bilgisayarınıza uzaktan ya da fiziksel olarak erişilebilir.
· Herhangi bir şekilde paylaşılmamalıdır.
· Herhangi bir yere yazılmamalıdır.
· Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir.
· En az sekiz karakterli olmalıdır.
· Rakam ve özel karakterler (?!, @ vs.) içermelidir.
· Büyük ve küçük harf karakteri kullanılmalıdır.
En Sık Yapılan Hatalar;
· Basit parolalar kullanıyoruz!
· Her yerde aynı parolayı kullanıyoruz!
· Şifremizi aklımızda tutamadığımız için Kolaya kaçıyoruz…
Parola Kırma Saldırıları
Parolalar kimlik ve yetki denetimi sağlamak için oluşturulur ve birçok alanda kullanılır. Parolalar açık metin halinde saklanmak yerine şifrelenerek hash olarak saklanır. Bu çok daha güvenli bir yöntemdir.
Hash oluşturulurken değişken uzunluktaki metinler sabit uzunluğa çevrilir ve bu çevrim yapılırken tek yönlü matematiksel bir fonksiyon kullanılması sonucu karışık sayı ve rakamlardan oluşan eşsiz metinler üretilir.
Aynı şekilde kritik veriler veri tabanında saklanırken direk açık metin halinde saklanmaz. Birinin o bilgileri okuyabilme ihtimali göz önünde bulundurularak hash halinde tutulur. Bu saldırganların işini biraz daha zorlaştırmaktadır.
Hash'ine ulaşılan bir metni orijinal haline çevirmek genellikle zor bir iştir. Özellikle de askeri düzeyde kriptolama teknikleri kullanılırsa çözülmesi yıllarca sürebilir.
Hash'ler tek yönlü matematiksel fonksiyonlar olduğu için orijinal metni bulmak için yapılması gereken iş bir kelime /harf listesinden deneme yapmaktır. Metni hash'e çevirip kıyaslama yaparak doğru hash uyumu sağlanana kadar denemeler yapılabilir. Yani parola kelime listemiz içinde varsa bu deneme sonucunda parola bulunabilir.
Parola Kırma Atak Türleri
Dictionary Attack: Sözlük şeklinde oluşturulmuş kelime listesini deneyerek şifre bulmaya çalışılır. Rainbow Table: rainbow table içerisinde parolaların salt halini ve hash halini birlikte içerir. Bu sayede sistem her parola için hash işlemini tekrar yapmak ihtiyacı duymaz. Doğrudan hash’leri kontrol ederek parolaya erişebilir. Hybrid: Sözlük kelimeleri ile özel karakterler sayıların kombine edilerek elde edilen şifrelerin denenmesidir.
Brute Force: En verimsiz ve uzun süren yoldur. Tüm ihtimallerin denenmesi mantığına dayanır. Teoride yeterli zaman ve kaynak olduğu sürece bütün parolaların brute force ile kırılması mümkündür.
Brute Force Saldırısı Araçları
· Hydra Kaba kuvvet parola atakları için en iyi araçlardan biridir. Diğer araçlara göre daha hızlıdır.
· Medusa hedef sisteme yönelik parola kırma saldırısı düzenlenmesini sağlayan bir araçtır.
· Ncrack, gelişmiş bir aktif kaba kuvvet parola kırma aracıdır.
· John The Ripper birçok işletim sistemi için kullanılabilen Açık Kaynak güvenlik denetimi ve şifre kırma aracıdır
· Hashcat Birçok hash algoritması için kırma işlemi yapabilen özel bir araçtır
· Cain Microsoft Windows için bir şifre kırma, tespit etme aracıdır.
Çok Faktörlü (2FA) Doğrulama
İki Faktörlü Doğrulama (Two Factor Authentication), hesap veya veri sahipliğin kanıtlanması için kullanılan ikincil doğrulama yöntemidir. Bankacılık sistemlerinde yaygın olarak kullanılır.
Parolanız, e-posta adresiniz ele geçirilse bile saldırganın hesabına erişmesini ya da hesap bilgilerinizi değiştirmesini engellemek için telefon onay kodu ile hesabınızı koruyabilirsiniz.
· Gmail, Apple, Twitter, Facebook, Linkedin vb. platformlar destekler