Twitter’ın şifre ‘açığı’
Fotoğraf: Envato
Twitter, perşembe akşamı bir gönderi [0][1] yayınlayarak kullanıcıların şifrelerini sistem günlüklerine maskelenmemiş bir şekilde kaydeden bir “açık” keşfettiklerini ve bu açığı yamadıklarını duyurdu. “Açığın” kötüye kullanıldığına dair herhangi bir kanıt bulamadığını belirten Twitter, kullanıcılardan tedbir olarak aynı şifreyi kullandıkları bütün servislerde şifrelerini değiştirmelerini istedi.
Normal şartlar altında Twitter gibi bir web servisine üye olurken oluşturduğunuz şifre hash fonksiyonu adı verilen özel bir fonksiyondan geçirilerek her bir şifre için eşsiz sabit uzunluklu bir karakter dizisi oluşturulur. Hash fonksiyonları tek yönlü fonksiyonlardır ve geriye doğru yani fonksiyon sonucundan şifreyi üretebilecek şekilde çalıştırılamazlar. Ancak farklı hash algoritmalarının farklı şifreler için sonuçlarını içeren tablolar kullanılarak karakter dizisinden şifreye ulaşmak mümkün olduğundan hashleme işleminden önce şifreye bir de salt adı verilen gizli bir bileşen eklenir. Daha sonraki oturum açma işlemlerinizde girdiğiniz şifreye salt eklenerek haslenir ve sonuç önceden üretilmiş karakter dizisiyle karşılaştırılarak şifrenizi doğru girip girmediğiniz şifreyi bilmeden ayırt edilebilir. Veritabanlarına şifrenin kendisi değil de saltlanıp hashlenmiş hali kaydedildiğinden veri tabanına erişebilen birinin bile şifenize ulaşması mümkün değildir. Şifreleri bu şekilde kaydetme bugün standart sayılır ve bundan aşağısı güvensiz kabul edilir.
Twitter’ın “açık” olarak adlandırdığı şifrelerin hashlenmeden önce bazı sistem günlüklerine yazılması. Bu işin adını doğru koymak lazım, çünkü bunun adı “açık” değil. Şifreyi hashlenmeden önce kullanmaya en iyi ihtimalde kötü programcılık örneği ve ağır düzeyde ihmal diyebiliriz. Bunu birkaç yazılımcı ile çalışan ufak tefek siteler yapsa belki mazur görebiliriz. Ancak Twitter her yazılan kodu ikinci bir yazılımcıya gözden geçirtebilecek, kodların testlerini zorunlu tutabilecek ve o sistem günlüklerini düzenli olarak denetleyebilecek dolayısıyla da bu sorunu daha oluşmadan engelleyebilecek kadro sayısına sahip bir şirket. Bu nedenle sorumlulukları “Ufak tefek bir ‘açık’ bulduk, ama bildiğimiz kadarıyla etkilenen kimse yok” minvalinde açıklamalarla geçiştiremeyecekleri kadar büyük. Twitter bazı sorulara yanıt vermeli:
- Söz konusu sistem günlükleri şifreleri ne kadar süre boyunca maskelemeden kaydetmiştir?
- İhmalinizden kaç kullanıcı etkilenmiştir?
- Açığa yol açan ihmallerin yinelenmemesi için alınan tedbirler neler?
Kullanıcılar da şirketlerin şifrelerini koruyacağına güvenmek yerine bazı temel tedbirleri almalı:
- Büyük ve küçük harfler ile sayı ve işaretlerden oluşan, 10-12 karakterden kısa olmayan, anlamlı kelimeler ve hayatınızla ilgili doğum tarihi yeri vb. bilgi içermeyen şifreler kullanın
- Şifrelerinizi şifrelenmemiş metin dosyalarına kaydetmeyin.
- Her site ve her hesap için farklı şifre kullanın. Eğer bu kadar farklı -ve bir önceki madde gerekçesiyle karmaşık- şifreyi hatırlamakta zorlanıyorsanız başlı başına ayrı bir yazının konusu olabilecek bazı risklerini de göze alarak Keepass[2] gibi bir şifre yöneticisi kullanabilirsiniz.
- Destekleyen her sitede 2 faktörlü kimlik doğrulamayı etkinleştirin.
- Şifrenizi girdiğiniz sitenin SSL kullandığına (https://) emin olun.
[0] https://goo.gl/JsQpZS
[1] https://goo.gl/Tqd51u
[2] https://goo.gl/EH2MR2
- Veri yağmacıları 16 Mart 2024 04:34
- Yapay zeka ve sihirbazlar 09 Mart 2024 05:07
- Verileriniz sermayeye feda olsun! 02 Mart 2024 05:40
- Geniş dil modelleri ve olağan hataları 24 Şubat 2024 04:09
- Apple’ın AB’ye misillemesi PWA’ların sonu mu? 17 Şubat 2024 04:43
- Disney, oyunlar ve at zırhı 10 Şubat 2024 04:19
- Open AI fikri mülkiyete karşı 13 Ocak 2024 04:44
- Yapay zekanın belirsiz geleceği 06 Ocak 2024 04:00
- Yapay zekada telif kavgası: Tekeller tekellere karşı 30 Aralık 2023 04:47
- Oyunları var edenlerin sesini ödülle kısmak 09 Aralık 2023 04:19
- OpenAI krizi ve yapay zeka denetimi 25 Kasım 2023 04:00
- Geniş dil modellerinin halüsinasyonları 18 Kasım 2023 04:10