04 Mayıs 2018 20:03

Twitter’ın şifre ‘açığı’

Twitter’ın şifre ‘açığı’

Fotoğraf: Envato

Paylaş

Twitter, perşembe akşamı bir gönderi [0][1] yayınlayarak kullanıcıların şifrelerini sistem günlüklerine maskelenmemiş bir şekilde kaydeden bir “açık” keşfettiklerini ve bu açığı yamadıklarını duyurdu. “Açığın” kötüye kullanıldığına dair herhangi bir kanıt bulamadığını belirten Twitter, kullanıcılardan tedbir olarak aynı şifreyi kullandıkları bütün servislerde şifrelerini değiştirmelerini istedi. 

Normal şartlar altında Twitter gibi bir web servisine üye olurken oluşturduğunuz şifre hash fonksiyonu adı verilen özel bir fonksiyondan geçirilerek her bir şifre için eşsiz sabit uzunluklu bir karakter dizisi oluşturulur. Hash fonksiyonları tek yönlü fonksiyonlardır ve geriye doğru yani fonksiyon sonucundan şifreyi üretebilecek şekilde çalıştırılamazlar. Ancak farklı hash algoritmalarının farklı şifreler için sonuçlarını içeren tablolar kullanılarak karakter dizisinden şifreye ulaşmak mümkün olduğundan hashleme işleminden önce şifreye bir de salt adı verilen gizli bir bileşen eklenir.  Daha sonraki oturum açma işlemlerinizde girdiğiniz şifreye salt eklenerek haslenir ve sonuç önceden üretilmiş karakter dizisiyle karşılaştırılarak şifrenizi doğru girip girmediğiniz şifreyi bilmeden ayırt edilebilir. Veritabanlarına şifrenin kendisi değil de saltlanıp hashlenmiş hali kaydedildiğinden veri tabanına erişebilen birinin bile şifenize ulaşması mümkün değildir. Şifreleri bu şekilde kaydetme bugün standart sayılır ve bundan aşağısı güvensiz kabul edilir.  

Twitter’ın “açık” olarak adlandırdığı şifrelerin hashlenmeden önce bazı sistem günlüklerine yazılması. Bu işin adını doğru koymak lazım, çünkü bunun adı “açık” değil. Şifreyi hashlenmeden önce kullanmaya en iyi ihtimalde kötü programcılık örneği ve ağır düzeyde ihmal diyebiliriz. Bunu birkaç yazılımcı ile çalışan ufak tefek siteler yapsa belki mazur görebiliriz. Ancak Twitter her yazılan kodu ikinci bir yazılımcıya gözden geçirtebilecek, kodların testlerini zorunlu tutabilecek ve o sistem günlüklerini düzenli olarak denetleyebilecek dolayısıyla da bu sorunu daha oluşmadan engelleyebilecek kadro sayısına sahip bir şirket. Bu nedenle sorumlulukları “Ufak tefek bir ‘açık’ bulduk, ama bildiğimiz kadarıyla etkilenen kimse yok” minvalinde açıklamalarla geçiştiremeyecekleri kadar büyük. Twitter bazı sorulara yanıt vermeli:

- Söz konusu sistem günlükleri şifreleri ne kadar süre boyunca maskelemeden kaydetmiştir?

- İhmalinizden kaç kullanıcı etkilenmiştir?

- Açığa yol açan ihmallerin yinelenmemesi için alınan tedbirler neler?

Kullanıcılar da şirketlerin şifrelerini koruyacağına güvenmek yerine bazı temel tedbirleri almalı:

- Büyük ve küçük harfler ile sayı ve işaretlerden oluşan, 10-12 karakterden kısa olmayan, anlamlı kelimeler ve hayatınızla ilgili doğum tarihi yeri vb. bilgi içermeyen şifreler kullanın

- Şifrelerinizi şifrelenmemiş metin dosyalarına kaydetmeyin.

- Her site ve her hesap için farklı şifre kullanın. Eğer bu kadar farklı -ve bir önceki madde gerekçesiyle karmaşık- şifreyi hatırlamakta zorlanıyorsanız başlı başına ayrı bir yazının konusu olabilecek bazı risklerini de göze alarak Keepass[2] gibi bir şifre yöneticisi kullanabilirsiniz.

- Destekleyen her sitede 2 faktörlü kimlik doğrulamayı etkinleştirin.

- Şifrenizi girdiğiniz sitenin SSL kullandığına (https://) emin olun.

[0] https://goo.gl/JsQpZS         
[1] https://goo.gl/Tqd51u
[2] https://goo.gl/EH2MR2

YAZARIN DİĞER YAZILARI
Sefer Selvi Karikatürleri
Evrensel Gazetesi Birinci Sayfa
Evrensel Ege Sayfaları
EVRENSEL EGE

Ege'den daha fazla haber, röportaj, mektup, analiz ve köşe yazısı...