Kaba Kuvvet ve Güvenilir Şifre Oluşturma

Fatih KOPUZ

29 Kasım 2013

Geçtiğimiz hafta İnternet’in ortaya çıkışı ve temel veri güvenliği konusunda bilgiler paylaşmıştım. Veri güvenliği konusundaki makalelere "Şifreler ve Şifre Kırma Yöntemleri" ile devam edeceğiz. Bu hafta "Kaba Kuvvet" yöntemi ve "Güvenilir Şifre Oluşturma" konularını inceleyeceğiz.

Günümüzde erişim sağladığımız web siteleri, uygulamalar, bankaların internet şubeleri, bir nevi kimlik doğrulama sistemi olarak şifreleri kullanmaktadır. Örneğin bir sosyal paylaşım sitesi olan Facebook’u kullanmak için e-posta ve daha önce bizim oluşturduğumuz şifreden oluşan bir dizi güvenlik tedbirini geçmek zorundayızdır. Bu ilk yazımızda değindiğimiz veri güvenliğinin sağlanması için gereklidir. Eğer hesaplarımız şifre ile korunuyor olmasaydı, dileyen herkes hesabımıza erişerek özel mesajlarımızı okuyabilir, kişisel verilerimize erişebilirdi.

Gelelim can alıcı soruya; Gerçekten güvenli mi?

İnternet’in ortaya çıktığı yıllarda şifre anlayışı, şu an cep telefonlarında kullanılan basit PİN kodu mantığıyla 4 karakter ve sadece rakamlardan oluşuyordu. Ancak ilerleyen teknoloji ve birazdan söz edeceğimiz şifre kırma yöntemlerinden bazıları olan "Deneme-Yanılma" diğer bir değişle bilgisayar dünyasında "Kaba Kuvvet" ve "Tahmin Yöntemi" ile bu yöntemleri destekleyen programların çoğalmasıyla şifre algoritmaları da değişerek gelişti.

KABA KUVVET ve TAHMİN YÖNTEMİ

Bilinen ilk şifre kırma yöntemi "Kaba Kuvvet" yöntemidir. Ben de ilk şifreyi bu yöntemle kırdım, rahmetli dedemin evraklarını içinde tuttuğu siyah bir bond çantası vardı. Çanta bizim evin sırlar odası gibi bir şeydi, ben 7 yaşındaydım ve gerçekten içinde ne olduğunu çok merak ediyordum. Bir gün dedem evde yokken çantayla baş başa kaldım, çantanın açma kapama kilidinin olduğu yerde 3 haneli bir şifre kilidi vardı. Hepimiz bu tür çantalar görmüşüzdür. Çantayı yere koyduğumda şifre aklıma hiç gelmedi, düğmeyi heyecanla çektim ama çanta açılmadı, dedem kodu değiştirmişti. Ben kilide baktım ve düşündüm henüz 7 yaşındayım ve birici sınıftaydım, ne "Olasılık Teorisi" hakkında birşey biliyordum, ne de matematik konusunda. Ama bunun o an için hiç önemi yoktu yapmam gereken 001’den başlayarak 999’a kadar bütün olasılıkları denemekti. Netice’de 53’üncü olasılığı denediğim sırada çantadan “klik” sesi geldi. Dedem akılda kalıcı bir numara seçmişti güzel memleketimiz Rize’nin plaka kodu, kod 053. Her iki kilidi de aynı kodla açarak sırlar odasının sırlarına vakıf oldum. Sosyal sigorta belgeleri, pasaportlar, evimize ait tapunun bir örneği, eski resimler gibi bir çok eski ve önemsiz ama benim gözümde büyük anlam ifade eden sırlarla dolu bond çantanın içerisinde ki evraklar.

Kaba kuvvet yönteminin, olasılık teorisine göre işe yaramaması imkansızdır. Er yada geç olasılık sayısı azalır ve sonunda tükenir. Anlattığım anımda şifremiz onluk sayı sisteminde 3 basamaklı olarak düzenlenmişti yani kısaca 999 olasılık bulunmaktaydı. Halen kullandığımız PIN sisteminde yine onluk sayı sistemi kullanılarak 4 basamaklı bir şifre oluşturulmaktadır, bu sistemde olasılık sayısı 9.999’dur.

10 Bin olasılık bir bilgisayar için komik bir rakamdır, 10 Bin olasılığı elle girmemiz günler alsa da bu işlem günümüzde kullanılan bilgisayarlarla saniyeler içerisinde yapılabilmektedir. Ama bu PIN sisteminin güvenilir olmadığı anlamına gelmez, çünkü sistem giriş sınırlaması kullanmaktadır. Yani 3’üncü yanlış denemede PIN Bloke olur. Facebook’ta benzer bir sistemle kullanıcıları korumaya çalışmaktadır ancak yinede sadece sayıdan oluşan şifreler kullanmanızı önermiyorum. "Kaba Kuvvet" yöntemini kullanan hackerler günümüzde kalmadı, ama facebook’un şifre bloke sistemini aldatmak imkânsız bir şey değildir.

Karmaşık bir şifre çok daha güvende olmanızı sağlayacaktır. Siz şifrenize bir harf eklediğinizde aslında farkında olmadan şifrenizin olasılık sayısına 29 çarpanını eklemiş olursunuz. Örneğin; 4 basamaklı sayıdan oluşan bir şife için 9.999 olasılık varsa, 5 basamaktan oluşan, bir harf ve 4 rakam kullanılan bir şifrenin olasılık teorisine göre olasılık sayısı 29 x 9999 = 289.971’dir. Büyük ve küçük harf duyarlılığı ve sembol kullanımı da işin içine katıldığında 6 basamaklı bir sayının olasılık sayısı 1 milyara ulaşmaktadır.

Tahmin yöntemi de işleyiş olarak "Kaba Kuvvet" yöntemine yakındır, hatta bir çok durumda kaba kuvvetten önce tahmin yöntemine baş vurulur. Tahmin yönteminde basit olarak şifrenizin ne olduğu tahmin edilmeye çalışılır. Bu nedenle 1234, 123456..9, doğum tarihi, Yaşadığınız yeri, Kızlık soyadınızı, adınız ve plaka numarası gibi türevleri kullanmamanızı öneririm bunlar ilk denenen sayı ve harf dizeleridir.

GÜVENİLİR ŞİFRE OLUŞTURMA

Şifreler karmaşık seçilmek zorundadır, şifrelerinizde doğum tarihi, arka arkaya sayılar (1234, 123456..9 gibi), doğum yeri, yaşadığınız yer, adınız veya soyadınıza eklenen sayı türevleri, oğlunuzun/kızınızın adı, eşinizin adı gibi türevler kullanmamalısınız. Bu tür şifrelerin tahmin edilmesi çok kolaydır.

Ayrıca yeri gelmişken söylemekte fayda görüyorum, 2007 yılında yapılan bir araştırmaya göre (hala değişen bir şeyler olmadığından eminim) internetteki kullanıcıların %87’si bütün internet işlemlerinde tek şifre kullanıyor. Bu unutma açısından risksiz ancak kullanım açısından çok riskli bir hareket şeklidir. Öyle ki düşük güvenlikli bir forum sitesine e-mail ve şifrenizle üye olursanız, bu forum sitesi de birkaç ay sonra maruz kalacağı bir saldırı sonucu veri tabanını korsanlara kaptırırsa, e-mail adresiniz ve şifreniz korsanların eline geçmiş olur, yapmaları gereken tek şey facebook hesabınıza girerek şifrenizi değiştirmek olacaktır, pek tabii e-mail şifreniz farklı değilse, ama endişe etmeyin nasıl olsa e-mail şifrenizde aynı ve korsanların saldırılarına tamamen açık durumdasınız. Bu aramızda kalsın hemen değiştirin. [:)]

Farklı sistemlere yapılacak saldırılar sonucu kişisel verilerinizin ele geçirilme riskini göz önünde bulundurarak, forum sitesi gibi düşük güvenlik önlemlerine tabii internet sitelerine kayıt olurken farklı, bankacılık, sosyal paylaşım siteleri gibi mecralarda farklı şifre kullanın. Böylece başkalarının hataları yüzünden saldırıya uğrama olasılığınızı azaltabilirsiniz.

Güvenilir bir şifrenin olmazsa olmaz unsuru fazla sayıda karakterdir, "Kaba Kuvvet ve Tahmin Yöntemi" bölümünde söz ettiğimiz matematiksel faktörler nedeni ile uzun şifre iyi bir şifredir. Bunun yanında şifrelerimizi oluştururken büyük harf, küçük harf, sembol ve anlam ifade etmeyen, ardışık olmayan kelimeler kullanmamız güvenliğimizi ciddi ölçüde etkiler.

Örnek: Kbx403[/52cPf)%&

Kısaca bu şifreyi inceleyelim, 16 bitlik bir şifre, hatırlamanız açısından çok riskli olduğu ortada ancak güvenlik bakımından milyarlarca olasılığa sahip oldukça güvenli bir şifre olduğunu söyleyebilirim. 8 Çekirdekli işlemciye sahip bir bilgisayar tarafından, en iyi tahmin ve tanı programları kullanılarak çözülmesi 10 yıldan uzun zaman alır.

Bu nedenle şifrelerinizi seçerken 8-16 karakter (daha fazla da olabilir, unutmadığınız sürece çok uzun bir şifrenin herhangi bir sakıncası yoktur) büyük ve küçük harf, sayı, sembol, içeren anlamsız bir şifre seçmeniz "Kaba Kuvvet ve Tahmin Yöntemi" kullanan saldırganlardan kesinlikle korunmanızı sağlayacaktır.

Yazımın sonlarına yaklaşırken, size bir iyi birde kötü haber vermek istiyorum...

İyi haber; "Kaba Kuvvet" kullanan hacker sayısı günümüzde yok denecek kadar azdır, gelişen teknolojiler, şifre sınırlama yöntemleri ve internet sitesi veritabanlarının şifreler için her türlü karakteri destekler hale getirilmiş olması bu yöntemin tedavülden kalkmasına neden olmuştur.

Kötü haber ise; Bu yöntemden çok daha kötü, tehlikeli, kurnazca düzenlenmiş, profesyonel yöntemler kullanarak hazırlanmış, fark edilmesi çok zor ve karanlık yöntemler hala yaygınlıkla kullanılmaya devam edilmektedir.

Önümüzde ki hafta bu karanlık yöntemlerden en yaygın olan Fake Mail (Sahte Mail) ve Fake Page (Sahte Sayfa) yöntemlerini inceleyeceğiz.

Gizli, güvenli ve sağlıcakla kalın.

Karanlığa ışık tutun.

İNTERNET ve GÜVENLİK YAZI DİZİSİ - FATİH KOPUZ

İnternet ve Veri Güvenliği - 21 Kasım 2013

Kaba Kuvvet ve Güvenilir Şifre Oluşturma - 29 Kasım 2013

Veri Güvenliği ve Fake Uygulamalar - 13 Aralık 2013

Virüsler ve Zararlı Yazılım - 22 Aralık 2013

Kaynak :

Yorum Ekleyin

Başlık	:	^*
Yorum	:
Güvenlik Kodu	:

Misafir

29 Kasım, 2013

teskkur

fatihim bilgilendirdigin için teşekkurler meslek hayatında basarılar

ÇOK OKUNANLAR

KÖŞE YAZARLARI

Gündem ve diğer konularla ilgili konular.

Güncel Makaleler

Query Error : (select yazarlar.Resim,yazarlar.Baslik as yazaradsoyad,yazarlar.Eposta as yazareposta,yazilar.*,yazarlar.Baslik as yazarbaslik,MAX(yazilar.Tarih) as yazitarih from yazilar,yazarlar where yazilar.Tarih = (SELECT MAX(Tarih) FROM yazilar where yazarID=yazarlar.ID) AND yazilar.onay=1 AND yazarID=yazarlar.ID group by yazarID order by yazilar.Tarih desc limit 0,3).Expression #4 of SELECT list is not in GROUP BY clause and contains nonaggregated column 'kma0002_sys.yazilar.ID' which is not functionally dependent on columns in GROUP BY clause; this is incompatible with sql_mode=only_full_group_by