Yani İnternet Şifrelerinizin Güvenli Olduğunu Düşünüyorsunuz?
Paul Haskell-Dowland
, Yazar sağlanan

Parolalar, kendimizi başkalarına ve daha yakın zamanlarda bilgisayarlara tanıtmanın bir yolu olarak binlerce yıldır kullanılmaktadır. Bu basit bir kavram - bireyler arasında gizli tutulan ve kimliği "kanıtlamak" için kullanılan paylaşılan bir bilgi parçası.

BT bağlamında parolalar 1960'larda ortaya çıktı ile mainframe bilgisayarlar - kullanıcı erişimi için uzak "terminallere" sahip merkezi olarak çalıştırılan büyük bilgisayarlar. Artık ATM'ye girdiğimiz PIN'den bilgisayarlarımıza ve çeşitli web sitelerine giriş yapmaya kadar her şey için kullanılıyorlar.

Peki neden kimliğimizi eriştiğimiz sistemlere "kanıtlamamız" gerekiyor? Ve şifreleri düzeltmek neden bu kadar zor?

İyi bir şifre ne yapar?

Nispeten yakın zamana kadar, iyi bir parola altı ila sekiz karakterden oluşan bir kelime veya kelime öbeği olabilirdi. Ancak artık minimum uzunluk kurallarımız var. Bunun nedeni "entropi" dir.

Şifrelerden bahsederken entropi öngörülebilirlik ölçüsü. Bunun arkasındaki matematik karmaşık değildir, ancak daha da basit bir ölçü ile inceleyelim: bazen "şifre alanı" olarak adlandırılan olası şifrelerin sayısı.


kendi kendine abone olma grafiği


Tek karakterlik bir parola yalnızca bir küçük harf içeriyorsa, yalnızca 26 olası parola vardır (“a” dan “z” ye). Büyük harfler ekleyerek şifre alanımızı 52 potansiyel şifreye çıkarıyoruz.

Uzunluk arttıkça ve diğer karakter türleri eklendikçe parola alanı genişlemeye devam eder.

Bir parolayı daha uzun veya daha karmaşık hale getirmek, potansiyel 'parola alanını' büyük ölçüde artırır. Daha fazla şifre alanı, daha güvenli bir şifre anlamına gelir.

Bir parolayı daha uzun veya daha karmaşık hale getirmek, potansiyel 'parola alanını' büyük ölçüde artırır. (yani internet şifrelerinizin güvenli olduğunu düşünüyorsunuz)

Yukarıdaki şekillere baktığımızda, neden büyük ve küçük harf, rakam ve semboller içeren uzun şifreler kullanmaya teşvik edildiğimizi anlamak kolaydır. Parola ne kadar karmaşıksa, onu tahmin etmek için o kadar çok deneme gerekir.

Bununla birlikte, parola karmaşıklığına bağlı olarak ortaya çıkan sorun, bilgisayarların, parolaları tahmin etme de dahil olmak üzere görevleri yinelemede oldukça verimli olmasıdır.

Geçen yıl, bir kayıt ayarlandı akla gelebilecek her parolayı oluşturmaya çalışan bir bilgisayar için. Saniyede 100,000,000,000 tahminden daha hızlı bir hıza ulaştı.

Bu bilgi işlem gücünden yararlanarak, siber suçlular sistemleri, mümkün olduğunca çok sayıda şifre kombinasyonuyla bombardıman ederek, adı verilen bir işlemle sistemlere girebilirler kaba kuvvet saldırıları.

Bulut tabanlı teknolojiyle, sekiz karakterli bir şifreyi tahmin etmek 12 dakika kadar kısa bir sürede elde edilebilir ve 25 ABD doları kadar düşük bir maliyete sahiptir.

Ayrıca, parolalar neredeyse her zaman hassas verilere veya önemli sistemlere erişim sağlamak için kullanıldığından, bu siber suçluları onları aktif olarak aramaya motive eder. Ayrıca, bazıları e-posta adresleri ve / veya kullanıcı adlarıyla birlikte gelen kazançlı bir çevrimiçi pazar satış şifrelerini de yönlendirir.

Çevrimiçi olarak yalnızca 600 Avustralya Doları karşılığında neredeyse 14 milyon şifre satın alabilirsiniz!

Şifreler web sitelerinde nasıl saklanır?

Web sitesi parolaları genellikle, adı verilen matematiksel bir algoritma kullanılarak korumalı bir şekilde saklanır. karma. Hashing uygulanmış bir parola tanınmaz ve parolaya geri döndürülemez (geri döndürülemez bir işlem).

Giriş yapmaya çalıştığınızda, girdiğiniz şifre aynı işlem kullanılarak karma hale getirilir ve sitede depolanan sürümle karşılaştırılır. Bu işlem her giriş yaptığınızda tekrarlanır.

Örneğin, "Pa $$ w0rd" şifresine, SHA02726 karma algoritması kullanılarak hesaplandığında "40d378f716981e4321c60d3ba325a6ed4a1c" değeri verilir. Dene kendiniz.

Karma parolalarla dolu bir dosyayla karşılaşıldığında, bir dizi parola uzunluğu için her karakter kombinasyonunu deneyen bir kaba kuvvet saldırısı kullanılabilir. Bu o kadar yaygın bir uygulama haline geldi ki, (hesaplanan) hashed değerlerinin yanında ortak şifreleri listeleyen web siteleri var. İlgili şifreyi ortaya çıkarmak için basitçe karma arama yapabilirsiniz.

Parola listelerinin çalınması ve satılması artık çok yaygın. özel web sitesi - haveibeenpwned.com - kullanıcıların hesaplarının "vahşi" olup olmadığını kontrol etmelerine yardımcı olmak için mevcuttur. Bu, 10 milyardan fazla hesap detayını içerecek şekilde büyüdü.

E-posta adresiniz bu sitede listelenmişse, tespit edilen şifreyi ve aynı kimlik bilgilerini kullandığınız diğer sitelerde kesinlikle değiştirmelisiniz.

Çözüm daha karmaşık mı?

Günlük olarak meydana gelen o kadar çok şifre ihlali olsaydı, şifre seçme uygulamalarımızı geliştirmiş olurduk. Maalesef geçen yılın yıllık SplashData şifre anketi beş yılda çok az değişiklik gösterdi.

2019 yıllık SplashData şifre anketi, 2015'ten 2019'a kadar en yaygın şifreleri ortaya çıkardı.2019 yıllık SplashData şifre anketi, 2015'ten 2019'a kadar en yaygın şifreleri ortaya çıkardı.

Bilgi işlem yetenekleri arttıkça, çözüm artan karmaşıklık gibi görünecektir. Ancak insanlar olarak, oldukça karmaşık şifreleri hatırlama konusunda yetenekli değiliz (ve motive değiliz).

Parola gerektiren yalnızca iki veya üç sistem kullandığımız noktayı da geçtik. Artık her biri bir parola gerektiren (genellikle değişen uzunluk ve karmaşıklıktaki) çok sayıda siteye erişmek yaygındır. Yakın zamanda yapılan bir anket, ortalama olarak, Kişi başına 70-80 şifre.

İyi haber şu ki, bu sorunları çözmek için araçlar var. Çoğu bilgisayar artık ya işletim sisteminde ya da web tarayıcısında parola depolamayı desteklemektedir ve genellikle depolanan bilgileri birden çok cihaz arasında paylaşma seçeneği bulunmaktadır.

Örnekler arasında Apple'ın iCloud Anahtarlık ve Internet Explorer, Chrome ve Firefox'ta şifreleri kaydetme yeteneği (ancak daha az güvenilir).

Şifre yöneticileri KeePassXC gibi, kullanıcıların uzun, karmaşık şifreler oluşturmasına ve bunları ihtiyaç duyulduğunda güvenli bir yerde saklamasına yardımcı olabilir.

Bu konumun yine de korunması gerekir (genellikle uzun bir "ana şifre" ile), bir şifre yöneticisi kullanmak, ziyaret ettiğiniz her web sitesi için benzersiz, karmaşık bir şifreye sahip olmanızı sağlar.

Bu, savunmasız bir web sitesinden bir parolanın çalınmasını engellemez. Ancak çalınırsa, diğer tüm sitelerinizde aynı parolayı değiştirme konusunda endişelenmenize gerek kalmaz.

Bu çözümlerde elbette güvenlik açıkları da var, ancak bu belki de başka bir günün hikayesi.

Yazarlar Hakkında

Paul Haskell-Dowland, Dekan Yardımcısı (Bilgi İşlem ve Güvenlik), Edith Cowan Üniversitesi ve Brianna O'Shea, Öğretim Görevlisi, Etik Hacking ve Savunma, Edith Cowan Üniversitesi

Bu makale şu adresten yeniden yayınlandı: Konuşma Creative Commons lisansı altında. Okumak Orijinal makale.