Paul Haskell-Dowland, Yazar sağlanan
Parolalar, kendimizi başkalarına ve daha yakın zamanlarda bilgisayarlara tanıtmanın bir yolu olarak binlerce yıldır kullanılmaktadır. Bu basit bir kavram - bireyler arasında gizli tutulan ve kimliği "kanıtlamak" için kullanılan paylaşılan bir bilgi parçası.
BT bağlamında parolalar 1960'larda ortaya çıktı ile mainframe bilgisayarlar - kullanıcı erişimi için uzak "terminallere" sahip merkezi olarak çalıştırılan büyük bilgisayarlar. Artık ATM'ye girdiğimiz PIN'den bilgisayarlarımıza ve çeşitli web sitelerine giriş yapmaya kadar her şey için kullanılıyorlar.
Peki neden kimliğimizi eriştiğimiz sistemlere "kanıtlamamız" gerekiyor? Ve şifreleri düzeltmek neden bu kadar zor?
İyi bir şifre ne yapar?
Nispeten yakın zamana kadar, iyi bir parola altı ila sekiz karakterden oluşan bir kelime veya kelime öbeği olabilirdi. Ancak artık minimum uzunluk kurallarımız var. Bunun nedeni "entropi" dir.
Şifrelerden bahsederken entropi öngörülebilirlik ölçüsü. Bunun arkasındaki matematik karmaşık değildir, ancak daha da basit bir ölçü ile inceleyelim: bazen "şifre alanı" olarak adlandırılan olası şifrelerin sayısı.
Tek karakterlik bir parola yalnızca bir küçük harf içeriyorsa, yalnızca 26 olası parola vardır (“a” dan “z” ye). Büyük harfler ekleyerek şifre alanımızı 52 potansiyel şifreye çıkarıyoruz.
Uzunluk arttıkça ve diğer karakter türleri eklendikçe parola alanı genişlemeye devam eder.
Yukarıdaki şekillere baktığımızda, neden büyük ve küçük harf, rakam ve semboller içeren uzun şifreler kullanmaya teşvik edildiğimizi anlamak kolaydır. Parola ne kadar karmaşıksa, onu tahmin etmek için o kadar çok deneme gerekir.
Bununla birlikte, parola karmaşıklığına bağlı olarak ortaya çıkan sorun, bilgisayarların, parolaları tahmin etme de dahil olmak üzere görevleri yinelemede oldukça verimli olmasıdır.
Geçen yıl, bir kayıt ayarlandı akla gelebilecek her parolayı oluşturmaya çalışan bir bilgisayar için. Saniyede 100,000,000,000 tahminden daha hızlı bir hıza ulaştı.
Bu bilgi işlem gücünden yararlanarak, siber suçlular sistemleri, mümkün olduğunca çok sayıda şifre kombinasyonuyla bombardıman ederek, adı verilen bir işlemle sistemlere girebilirler kaba kuvvet saldırıları.
Bulut tabanlı teknolojiyle, sekiz karakterli bir şifreyi tahmin etmek 12 dakika kadar kısa bir sürede elde edilebilir ve 25 ABD doları kadar düşük bir maliyete sahiptir.
Biraz matematik yaptım.
— TechByTom (@techbytom) Şubat 14, 2019
Maliyeti hesaplamak için AWS s.3 bulut sunucularının kullanılması ve saldırganın 25 ABD doları olduğunu varsayarak:
8 karakterlik şifreniz muhtemelen 12 dakika veya daha kısa sürede kırılacaktır.
Ayrıca, parolalar neredeyse her zaman hassas verilere veya önemli sistemlere erişim sağlamak için kullanıldığından, bu siber suçluları onları aktif olarak aramaya motive eder. Ayrıca, bazıları e-posta adresleri ve / veya kullanıcı adlarıyla birlikte gelen kazançlı bir çevrimiçi pazar satış şifrelerini de yönlendirir.
Şifreler web sitelerinde nasıl saklanır?
Web sitesi parolaları genellikle, adı verilen matematiksel bir algoritma kullanılarak korumalı bir şekilde saklanır. karma. Hashing uygulanmış bir parola tanınmaz ve parolaya geri döndürülemez (geri döndürülemez bir işlem).
Giriş yapmaya çalıştığınızda, girdiğiniz şifre aynı işlem kullanılarak karma hale getirilir ve sitede depolanan sürümle karşılaştırılır. Bu işlem her giriş yaptığınızda tekrarlanır.
Örneğin, "Pa $$ w0rd" şifresine, SHA02726 karma algoritması kullanılarak hesaplandığında "40d378f716981e4321c60d3ba325a6ed4a1c" değeri verilir. Dene kendiniz.
Karma parolalarla dolu bir dosyayla karşılaşıldığında, bir dizi parola uzunluğu için her karakter kombinasyonunu deneyen bir kaba kuvvet saldırısı kullanılabilir. Bu o kadar yaygın bir uygulama haline geldi ki, (hesaplanan) hashed değerlerinin yanında ortak şifreleri listeleyen web siteleri var. İlgili şifreyi ortaya çıkarmak için basitçe karma arama yapabilirsiniz.
Parola listelerinin çalınması ve satılması artık çok yaygın. özel web sitesi - haveibeenpwned.com - kullanıcıların hesaplarının "vahşi" olup olmadığını kontrol etmelerine yardımcı olmak için mevcuttur. Bu, 10 milyardan fazla hesap detayını içerecek şekilde büyüdü.
E-posta adresiniz bu sitede listelenmişse, tespit edilen şifreyi ve aynı kimlik bilgilerini kullandığınız diğer sitelerde kesinlikle değiştirmelisiniz.
Çözüm daha karmaşık mı?
Günlük olarak meydana gelen o kadar çok şifre ihlali olsaydı, şifre seçme uygulamalarımızı geliştirmiş olurduk. Maalesef geçen yılın yıllık SplashData şifre anketi beş yılda çok az değişiklik gösterdi.
Bilgi işlem yetenekleri arttıkça, çözüm artan karmaşıklık gibi görünecektir. Ancak insanlar olarak, oldukça karmaşık şifreleri hatırlama konusunda yetenekli değiliz (ve motive değiliz).
Parola gerektiren yalnızca iki veya üç sistem kullandığımız noktayı da geçtik. Artık her biri bir parola gerektiren (genellikle değişen uzunluk ve karmaşıklıktaki) çok sayıda siteye erişmek yaygındır. Yakın zamanda yapılan bir anket, ortalama olarak, Kişi başına 70-80 şifre.
İyi haber şu ki, bu sorunları çözmek için araçlar var. Çoğu bilgisayar artık ya işletim sisteminde ya da web tarayıcısında parola depolamayı desteklemektedir ve genellikle depolanan bilgileri birden çok cihaz arasında paylaşma seçeneği bulunmaktadır.
Örnekler arasında Apple'ın iCloud Anahtarlık ve Internet Explorer, Chrome ve Firefox'ta şifreleri kaydetme yeteneği (ancak daha az güvenilir).
Şifre yöneticileri KeePassXC gibi, kullanıcıların uzun, karmaşık şifreler oluşturmasına ve bunları ihtiyaç duyulduğunda güvenli bir yerde saklamasına yardımcı olabilir.
Bu konumun yine de korunması gerekir (genellikle uzun bir "ana şifre" ile), bir şifre yöneticisi kullanmak, ziyaret ettiğiniz her web sitesi için benzersiz, karmaşık bir şifreye sahip olmanızı sağlar.
Bu, savunmasız bir web sitesinden bir parolanın çalınmasını engellemez. Ancak çalınırsa, diğer tüm sitelerinizde aynı parolayı değiştirme konusunda endişelenmenize gerek kalmaz.
Bu çözümlerde elbette güvenlik açıkları da var, ancak bu belki de başka bir günün hikayesi.
Yazarlar Hakkında
Paul Haskell-Dowland, Dekan Yardımcısı (Bilgi İşlem ve Güvenlik), Edith Cowan Üniversitesi ve Brianna O'Shea, Öğretim Görevlisi, Etik Hacking ve Savunma, Edith Cowan Üniversitesi
Bu makale şu adresten yeniden yayınlandı: Konuşma Creative Commons lisansı altında. Okumak Orijinal makale.