Web Siteleri Şifrelerinizi Nasıl Güvende Tutar?
Arama Sonuçlarını Almak İçin Buraya Yazın!

Web Siteleri Şifrelerinizi Nasıl Güvende Tutar?

Çok çevrimiçi güvenlik ihlalleri bu gün, web siteleri şifreleri saklamak hakkında endişe edebilirsiniz.


Artık bir çeşit veri ihlali duymadan nadiren bir ay geçiyoruz. Gmail gibi popüler bir hizmet veya MySpace gibi çoğumuzun unuttuğu bir şey olabilir.

Bir bilgisayar korsanının öğrenebileceği en kötü şeylerden biri şifrenizdir. Bu, özellikle standart tavsiyelere karşı gelirseniz ve farklı platformlarda aynı giriş kimlik bilgilerini kullanırsanız geçerlidir. Ancak şifrenize bakmak sadece sizin sorumluluğunuzda değildir.

Peki web siteleri şifrelerinizi nasıl saklar? Giriş bilgilerinizi nasıl güvende tutarlar? Ve şifrenize bakmak için kullanabilecekleri en güvenli yöntem nedir?

En Kötü Durum Senaryosu: Düz Metin
Şunu düşünün: büyük bir web sitesi saldırıya uğradı. Siber suçlular, belki de mimarilerindeki bir kusurdan yararlanarak aldığı temel güvenlik önlemlerini kırdılar. Sen bir müşterisin. Bu site bilgilerinizi sakladı. Neyse ki, şifrenizin güvende olduğundan emin oldunuz.

Bunun dışında, site şifrenizi düz metin olarak saklar.
Düz metin şifreleri sadece yağmalanmayı bekliyor. Onları okunamaz hale getirmek için herhangi bir algoritma kullanmazlar. Hackerlar bu cümleyi okuduğunuz kadar basit bir şekilde okuyabilir.

Şifrenizin ne kadar karmaşık olduğu önemli değildir: düz metin veritabanı, kullandığınız herhangi bir ek sayı ve karakter de dahil olmak üzere herkesin şifrelerinin bir listesidir.

 Ve bilgisayar korsanları siteyi kırmasa bile, gerçekten meçhul bir web sitesi yöneticisinin gizli giriş bilgilerinizi görmesini ister misiniz?

Bunun çok nadir bir sorun olduğunu düşünebilirsiniz, ancak e—ticaret sitelerinin yaklaşık %30'u verilerinizi "korumak" için bu yöntemi kullanır-aslında, bu suçluları vurgulamaya adanmış bir site var!

Bir sitenin bunu kullanıp kullanmadığını öğrenmenin kolay bir yolu, kaydolduktan hemen sonra, giriş bilgilerinizi listeleyen bir e-posta almanızdır. Bu durumda, aynı şifreye sahip herhangi bir siteyi değiştirmek ve güvenliklerinin kötü olduğunu bildirmek için şirketle iletişime geçmek isteyebilirsiniz.

Bu, onları düz metin olarak sakladıkları anlamına gelmez, ancak bu iyi bir göstergedir.

Ve gerçekten de bu tür şeyleri e-postalarla göndermemeliler.  Siber suçlulara karşı korunmak için güvenlik duvarlarına ve diğer güvenlik önlemlerine sahip olduklarını iddia edebilirler, ancak onlara hiçbir sistemin kusursuz olmadığını ve müşterileri kaybetme ihtimalini önlerinde bıraktığını hatırlatabilirler. Yakında fikirlerini değiştirecekler. Umutla…

Göründüğü kadar iyi değil: şifreleme
Şifrenizi diş fırçanız gibi davranın, düzenli olarak değiştirin ve paylaşmayın!
   
Peki bu web sitelerinin çoğu şifrelerinizi korumak için ne yapar?
Birçoğu şifrelemeye yönelecek. Bu, bilgilerinizi karıştırır ve iki anahtar—biri sizin tarafınızdan tutulan (bu giriş bilgileriniz) ve diğeri söz konusu şirket tarafından—sunulana kadar okunamaz hale getirir.

Başka bir yerde de şifreleme kullanıyor olmalısınız. İphone'lardaki Face ID bir şifreleme şeklidir. Herhangi bir şifre. İnternet şifreleme ile çalışır: Url'lerde görebileceğiniz HTTPS, bulunduğunuz sitenin bağlantıları doğrulamak ve verileri karıştırmak için SSL veya TLS protokollerini kullandığı anlamına gelir.

Ancak duymuş olabileceğinize rağmen, şifreleme mükemmel değildir.
Güvenli olmalı, ancak anahtarların saklandığı yer kadar güvenlidir. Bir web sitesi anahtarınızı (yani şifrenizi) kendi başlarına koruyorsa, bir bilgisayar korsanı ilkini bulmak ve şifresini çözmek için ikincisini açığa çıkarabilir. Şifrenizi bulmak için bir hırsızdan nispeten az çaba gerektirir; bu yüzden anahtar veritabanları büyük bir hedeftir.

Anahtarları sizinkiyle aynı sunucuda saklanıyorsa, şifreniz düz metin olarak da olabilir. Bu nedenle yukarıda belirtilen PlainTextOffenders sitesi, geri dönüşümlü şifreleme kullanan hizmetleri de listeler.

Şaşırtıcı derecede basit( ama her zaman etkili değil): Karma
Şimdi bir yere varıyoruz. Şifreleri karma jargon gibi geliyor, ama sadece şifreleme daha güvenli bir şeklidir.

Parolanızı düz metin olarak saklamak yerine, bir site MD5, güvenli Karma algoritması (SHA)-1 veya SHA-256 gibi bir karma işlevle çalıştırır ve bu da onu tamamen farklı bir basamak kümesine dönüştürür. Bunlar sayılar, harfler veya başka karakterler olabilir.

Şifreniz İH3artMU0 olabilir. Bu 7dVq $ @iht'ye dönüşebilir ve eğer bir bilgisayar korsanı bir veritabanına girerse, görebilecekleri tek şey budur. Ve bu sadece bir şekilde çalışır. Tekrar çözemezsin.

Ne yazık ki, o kadar güvenli değil. Düz metinden daha iyidir, ancak siber suçlular için hala oldukça standarttır.

Önemli olan, belirli bir şifrenin belirli bir karma oluşturmasıdır. Bunun iyi bir nedeni var: IH3artMU0 şifresiyle her giriş yaptığınızda, otomatik olarak bu karma işlevden geçer ve web sitesi, bu karma ve sitenin veritabanındaki eşleşirse erişmenize izin verir.

Bu aynı zamanda bilgisayar korsanlarının gökkuşağı tabloları geliştirdiği anlamına gelir. Bunları hile sayfaları olarak düşünün: bunlar, başkaları tarafından parola olarak kullanılan, karmaşık bir sistemin kaba kuvvet saldırısı olarak hızlı bir şekilde çalışabileceği karma listeleridir.

Gerçekten kötü bir şifre seçtiyseniz, bu gökkuşağı masalarında yüksek olacak ve kolayca kırılabilir. Daha belirsiz olanlar (özellikle geniş kombinasyonlar) daha uzun sürecektir.

Şu anda olduğu kadar iyi: tuzlama ve yavaş Karmalar
Hiçbir şey zaptedilemez: hackerlar yeni güvenlik sistemlerini kırmak için çalışacaklar. Ancak en güvenli siteler tarafından uygulanan daha güçlü teknikler daha akıllı karmalardır.

Tuzlu Karmalar, her bir şifre için oluşturulan, genellikle çok uzun ve çok karmaşık olan rastgele bir veri kümesi olan kriptografik bir nonce uygulamasına dayanır.

Bu ek rakamlar, rainbow tabloları kullanılarak yapılan girişimlerle mücadele etmek için karma işlevinden geçmeden önce bir şifrenin (veya e-posta şifresi kombinasyonlarının) başına veya sonuna eklenir.

Tuzların karmalarla aynı sunucularda saklanıp saklanmadığı genellikle önemli değildir; bir dizi şifreyi kırmak, bilgisayar korsanları için çok zaman alıcı olabilir, şifreniz zaten karmaşıksa daha da zorlaşır.

Bu nedenle, bir sitenin güvenliğine ne kadar güvendiğiniz önemli değil, her zaman güçlü bir şifre kullanmalısınız.

Güvenliğinizi özellikle ciddiye alan ve genişleten web siteleri, yavaş karmaları ek bir önlem olarak da kullanır. En iyi bilinen karma işlevleri (MD5, SHA-1 ve Sha-256) bir süredir var olmuştur ve yaygın olarak kullanılmaktadır, çünkü uygulanması nispeten kolaydır ve hiçbir zaman karmaları uygulamazlar.

Hala tuzları uygularken, yavaş Karmalar hıza dayanan saldırılarla mücadelede daha da iyidir. Bilgisayar korsanlarını saniyede önemli ölçüde daha az girişimle sınırlayarak, çatlamaları daha uzun sürer, böylece daha düşük başarı oranı göz önüne alındığında girişimleri daha az değerli hale getirir.

Siber suçlular, nispeten "hızlı düzeltmeler" üzerinde zaman alıcı yavaş karma sistemlere saldırmaya değip değmeyeceğini tartmak zorundadır: örneğin, tıbbi kurumlar genellikle daha düşük güvenliğe sahiptir, bu nedenle oradan elde edilen veriler hala şaşırtıcı miktarlar için satılabilir.

Aynı zamanda çok uyarlanabilir: bir sistem belirli bir yük altındaysa, daha da yavaşlayabilir. Microsoft'un eski Principle yazılım geliştiricisi Coda Hale, MD5'İ belki de en dikkat çekici yavaş karma işlevi olan bcrypt ile karşılaştırır (Diğerleri PBKDF-2 ve scrypt içerir):

"Her 40 saniyede bir şifreyi kırmak yerine [MD5'TE olduğu gibi], her 12 yılda bir [bir sistem bcrypt kullandığında] onları kırıyor olurdum. Şifreleriniz bu tür bir güvenliğe ihtiyaç duymayabilir ve daha hızlı bir karşılaştırma algoritmasına ihtiyacınız olabilir, ancak bcrypt hız ve güvenlik dengenizi seçmenize izin verir."

Ve yavaş bir karma hala bir saniyeden daha kısa sürede uygulanabileceğinden, kullanıcılar etkilenmemelidir.

Şifre Depolama Neden Önemlidir?

Çevrimiçi bir hizmet kullandığımızda, bir güven sözleşmesi yaparız. Kişisel bilgilerinizin güvende tutulduğunu bilerek güvende olmalısınız.

Şifrenizi güvenli bir şekilde saklamak özellikle önemlidir. Çok sayıda uyarıya rağmen, birçoğu hala farklı siteler için aynı şifreyi kullanıyor, bu nedenle, örneğin Facebook'unuz ihlal edilirse, aynı şifreyi kullanan diğer sitelerin giriş bilgileri de siber suçlular için açık bir kitap olabilir. 

Yorum Gönder

0 Yorumlar
* Lütfen Burada Spam Yapmayın. Tüm Yorumlar Yönetici Tarafından İncelenir.

Reklam Alanı