Parolalar kırılırken
Fotoğraf: Envato
Güvenli bir şifre ne kadar zor olabilir ki? Peki bir parola ne kadar güvenli olabilir ki? Peki ya parolanızı girdiğiniz siteler? Sıklıkla tartışılan şifre güvenliği sorunu bu kez de AshleyMadison kullanıcılarının parolalarını içeren dosyanın şifrelemesinin kırılması ile yeniden gündeme geldi.
Normal şartlarda siteler kullanıcıların şifrelerini hash fonksiyonları adı verilen algoritmalar ile dönüştürerek saklar. Şifreye hash fonksiyonunun uygulanması ile elde edilen sonuç kötü amaçlı kişilerin eline geçse dahi buradan yola çıkarak şifreyi elde etmek ya mümkün değildir ya da astronomik düzeyde zaman almaktadır. AshleyMadison hacklendiğinde kullanıcıların parolalarını içeren şifreli dosya da yayımlanan dosyalar arasındaydı. Hemen herkes şifrelerin güvende olduğunu düşünüyordu. Sonuçta AshleyMadison’ın kullandığı bcrypt algoritması nedeni ile parolaların ufacık bir kısmına ulaşmak bile süperbilgisayarlardan oluşan ciddi bir hesaplama gücü ile yıllar alacaktı. Ta ki CynoSure Prime adlı bir grup çıkıp da bcrypt’te yer alan bir programlama hatası sayesinde 11 milyon AshleyMadison kullanıcısının parolalarına eriştiklerini ve bir iki hafta içinde 4 milyon kadar parolaya erişeceklerini açıklayana kadar.
CynoSure Prime eriştikleri parolaları açıklamamış olsa da aynı yöntemi izleyecek farklı kişilerin parolaya erişebilmesi neredeyse kesin. Üstelik pek çok kullanıcı aynı parolayı birden fazla sitede kullanıyor. Yani 36 milyon AshleyMadison kullanıcısının parolaları yakında açık olarak dolaşmaya başlar.
Ancak bu durum sadece AshleyMadison kullanıcılarını etkilemiyor. Kırılmaz sistem yoktur. En güvenilir bulduğumuz sitelerin bile kırılması gibi bir olasılık var. Üstelik bcrypt gibi hash fonksiyonlarının da çeşitli açıklara sahip olabileceği ve bunun da parolalarımıza ulaşılmasını kolaylaştırabileceğini CynoSure Prime kanıtladı. Öyleyse kullandığımız her hangi bir sitenin ya da hesaplarımızdan birinin hacklenmesi ihtimaline karşı biraz paranoyak olup belli güvenlik tedbirleri almakta yarar var:
- Her site için ayrı bir parola kullanmak parolalardan biri ortaya çıksa dahi diğer hesapların ele geçirilmesini engelleyecektir.
- Büyük ve küçük harfler ile sayı ve işaretler kullanan 12 karakterden kısa olmayan parolalar kaba güç yöntemleri ile hesaplarımızın kırılma olasılığını düşürür.
- Parolamızın anlamlı kelimeler içermemesi, kendi hayatımızla ilgili doğum tarihi vb. bilgi içermemesi araştırma ve tahmine dayalı saldırıları zorlaştıracaktır.
- Parolalarımızı şifrelenmemiş bir dosyada saklamaktan kaçınmak cihaza sızabilecek kişilerin tüm hesaplara kolayca ulaşabilmesini engeller.
- Güncel bir antivirüs ve düzenli virüs taramaları ile klavye girdilerimizi tespit edip raporlayan keyloggerlara karşı tedbir alınabilir.
Biraz dikkat ve özenle her hangi bir hacklenme durumunda dahi hasarı asgariye indirebilirsiniz.
YAZARIN DİĞER YAZILARI
- İşlevini arayan alet: Yapay zekâ 20 Nisan 2024 04:45
- Masaüstü işletim sistemlerinin geleceği ve Linux 13 Nisan 2024 04:35
- XZ arka kapısı ve açık kaynağın zaafları 06 Nisan 2024 04:53
- Veri yağmacıları 16 Mart 2024 04:34
- Yapay zeka ve sihirbazlar 09 Mart 2024 05:07
- Verileriniz sermayeye feda olsun! 02 Mart 2024 05:40
- Geniş dil modelleri ve olağan hataları 24 Şubat 2024 04:09
- Apple’ın AB’ye misillemesi PWA’ların sonu mu? 17 Şubat 2024 04:43
- Disney, oyunlar ve at zırhı 10 Şubat 2024 04:19
- Open AI fikri mülkiyete karşı 13 Ocak 2024 04:44
- Yapay zekanın belirsiz geleceği 06 Ocak 2024 04:00
- Yapay zekada telif kavgası: Tekeller tekellere karşı 30 Aralık 2023 04:47
YAZARLAR
A. Cihan Soylu
‘Boş tencere’ iktidarın neresinde?
Şebnem Korur Fincancı
Tehlike nedir?
Sultan Özer
Yeni anayasa tartışmaları, AKP’ye can suyu olur mu?
Hediye Levent
Erdoğan'ın Irak ziyaretinin 3 sebebi ve değişim rüzgarı!
Arif Nacaroğlu
Özgürlükçü Anayasa
Erkan Aydoğanoğlu
1 Mayıs ve sonrası
Mehmet Özyazanlar
Galatasaray kaparak, Fenerbahçe kaptırmayarak…
EVRENSEL EGE
Ege'den daha fazla haber, röportaj, mektup, analiz ve köşe yazısı...
