19 Ocak 2019 03:10

Koleksiyon #1: Şifrelerin ömrü dolarken

Paylaş

Güvenlik araştırmacısı Troy Hunt birkaç gün önce 773 milyon e-posta adresini içeren Koleksiyon #1 adlı bir şifre koleksiyonunun dolaşımda olduğunu duyurdu.  Bulut tabanlı dosya depolama servisi MEGA'da barındırılan ve 12 bini aşkın döküm dosyası içeren 87 Gigabytelık paket çok sayıda farklı kaynaktan 2 milyar 692 milyon kayıt içeriyordu.

21 milyon benzersiz şifre, 772 milyon benzersiz e-posta adresi ve 1 milyar 160 milyon benzersiz parola ve e-posta ikilisi içeren bu dev koleksiyonda ya da bir başka veri sızıntısında hesap bilgilerinizin sızıp sızmadığını Troy Hunt'ın Have I Been Pwned (HIBP) adlı sitesinden kontrol edebilirsiniz. HIBP sorguladığınız hesabınızın hangi sızıntılarda yer aldığını listeleyecektir. Adobe, Dropbox ya da Daily Motion gibi servisin belirgin olduğu sızıntıların aksine Koleksiyon #1 ve benzeri dökümlerde hangi hesabınızın hangi siteden sızdığını 87 Gigabytelık dosyayı indirmeden anlamanın bir yolu yok. Ancak HIBP'nin mevcut kullandığınız şifrelerin herhangi bir veri tabanında yer alıp almadığını kontrol etmek için de bir servisi var. HIBP'de yer alan Pwned Passwords sayfasından kullanmakta olduğunuz şifreleri sorgulayıp eğer bir veri tabanında yer alıyorsa ilgili şifreyi değiştirmenizde yarar var. Bu tip sızıntıların etkilerini en aza indirmek için destekleyen her serviste 2 faktörlü doğrulamayı devreye almak da ilk yapılması gerekenlerden.

Geçmişte oldukça yaygın bir uygulama olarak şifreler veri tabanlarında açık olarak tutulurdu. Sızılan her sunucuyla birlikte bir grup şifre de ayan beyan ortaya dökülürdü. Bunu engellemek üzere şifrelerin hash fonksiyonlarından geçirilmiş halleri kaydedilmeye başlandı. Hash fonksiyonları tek taraflı fonksiyonlardır ve bu fonksiyonlar aracılığıyla üretilen sonuçtan şifreyi bulmak o dönem için oldukça zordu. Ancak gelişen teknoloji ve yükselen hızlar hash fonksiyonlarından geri dönüşü değil ama bir şifrenin alabileceği çoğu değer için hash fonksiyonlarının sonuçlarını listeleyen tabloları mümkün kılarak şifrelerin tekrar çok zorlanmadan açığa dökülmesinin yolunu açtı. Hash tablolarına karşı geliştirilen çözüm hash fonksiyonuna salt adı verilen gizli bir parametre ekleyerek tabloları işlevsiz kılmaktı.

Günümüzde modern sistemlerin çoğu şifreleri hâlâ salt+hash prensibiyle saklıyor. Ancak bunun da artık işe yaramadığı ortada. Bu metodun artık işe yaramamasının sebebi ise oldukça basit. Moore Yasası'na göre her iki yılda bir birim alana verimli bir şekilde sığdırılabilen transistör sayısı dolayısıyla işlem gücü ikiye katlanır. Son kullanıcıların satın alabileceği RTX 2080 gibi en üst seviye ekran kartlarıyla bugün evinizde eski bir hashleme fonksiyonu olan MD5 için saniyede 37 milyar sonucu hesaplamanız mümkün. Daha güncel bir hash fonksiyonu olan SHA256 için saniyede 5 milyar 380 milyon, SHA512 için ise saniyede 1 milyar 556 milyon sonucu hesaplamanız mümkün. Bu hesaplama hızı ile en çok kullanılan şifrelerin listelerinin kullanıldığı sözlük tabanlı saldırıları birleştirdiğinizde salt+hash'in neden artık işe yaramadığını rahatça görebilirsiniz.  

Hesaplama hızlarının Moore Yasası ile uyumlu bir şekilde artmaya devam edecek. İki faktörlü doğrulama şimdilik büyük ölçekte güvenliğimizi sağlıyor. Ancak başta iki faktörlü doğrulamayı desteklemeyen servisler olmak üzere ya geçici bir çözüm olarak hesaplama maliyeti yüksek yeni hash fonksiyonlarına ya da şifrelerin yerine yeni bir mekanizmaya ihtiyacımız olduğu da ortada.

 

Reklam
Reklam
DİĞER YAZILARI
Sefer Selvi Karikatürleri
Evrensel Gazetesi Birinci Sayfa