Çok çevrimiçi güvenlik ihlalleri bu gün, web siteleri şifreleri saklamak hakkında endişe edebilirsiniz.
Artık
bir çeşit veri ihlali duymadan nadiren bir ay geçiyoruz. Gmail gibi
popüler bir hizmet veya MySpace gibi çoğumuzun unuttuğu bir şey
olabilir.
Bir bilgisayar korsanının öğrenebileceği en kötü
şeylerden biri şifrenizdir. Bu, özellikle standart tavsiyelere karşı
gelirseniz ve farklı platformlarda aynı giriş kimlik bilgilerini
kullanırsanız geçerlidir. Ancak şifrenize bakmak sadece sizin
sorumluluğunuzda değildir.
Peki web siteleri şifrelerinizi nasıl
saklar? Giriş bilgilerinizi nasıl güvende tutarlar? Ve şifrenize bakmak
için kullanabilecekleri en güvenli yöntem nedir?
En Kötü Durum Senaryosu: Düz Metin
Şunu
düşünün: büyük bir web sitesi saldırıya uğradı. Siber suçlular, belki
de mimarilerindeki bir kusurdan yararlanarak aldığı temel güvenlik
önlemlerini kırdılar. Sen bir müşterisin. Bu site bilgilerinizi sakladı.
Neyse ki, şifrenizin güvende olduğundan emin oldunuz.
Bunun dışında, site şifrenizi düz metin olarak saklar.
Düz
metin şifreleri sadece yağmalanmayı bekliyor. Onları okunamaz hale
getirmek için herhangi bir algoritma kullanmazlar. Hackerlar bu cümleyi
okuduğunuz kadar basit bir şekilde okuyabilir.
Şifrenizin ne
kadar karmaşık olduğu önemli değildir: düz metin veritabanı,
kullandığınız herhangi bir ek sayı ve karakter de dahil olmak üzere
herkesin şifrelerinin bir listesidir.
Ve bilgisayar korsanları
siteyi kırmasa bile, gerçekten meçhul bir web sitesi yöneticisinin gizli
giriş bilgilerinizi görmesini ister misiniz?
Bunun çok nadir
bir sorun olduğunu düşünebilirsiniz, ancak e—ticaret sitelerinin
yaklaşık %30'u verilerinizi "korumak" için bu yöntemi kullanır-aslında,
bu suçluları vurgulamaya adanmış bir site var!
Bir sitenin
bunu kullanıp kullanmadığını öğrenmenin kolay bir yolu, kaydolduktan
hemen sonra, giriş bilgilerinizi listeleyen bir e-posta almanızdır. Bu
durumda, aynı şifreye sahip herhangi bir siteyi değiştirmek ve
güvenliklerinin kötü olduğunu bildirmek için şirketle iletişime geçmek
isteyebilirsiniz.
Bu, onları düz metin olarak sakladıkları anlamına gelmez, ancak bu iyi bir göstergedir.
Ve
gerçekten de bu tür şeyleri e-postalarla göndermemeliler. Siber
suçlulara karşı korunmak için güvenlik duvarlarına ve diğer güvenlik
önlemlerine sahip olduklarını iddia edebilirler, ancak onlara hiçbir
sistemin kusursuz olmadığını ve müşterileri kaybetme ihtimalini
önlerinde bıraktığını hatırlatabilirler. Yakında fikirlerini
değiştirecekler. Umutla…
Göründüğü kadar iyi değil: şifreleme
Şifrenizi diş fırçanız gibi davranın, düzenli olarak değiştirin ve paylaşmayın!
Peki bu web sitelerinin çoğu şifrelerinizi korumak için ne yapar?
Birçoğu
şifrelemeye yönelecek. Bu, bilgilerinizi karıştırır ve iki anahtar—biri
sizin tarafınızdan tutulan (bu giriş bilgileriniz) ve diğeri söz konusu
şirket tarafından—sunulana kadar okunamaz hale getirir.
Başka
bir yerde de şifreleme kullanıyor olmalısınız. İphone'lardaki Face ID
bir şifreleme şeklidir. Herhangi bir şifre. İnternet şifreleme ile
çalışır: Url'lerde görebileceğiniz HTTPS, bulunduğunuz sitenin
bağlantıları doğrulamak ve verileri karıştırmak için SSL veya TLS
protokollerini kullandığı anlamına gelir.
Ancak duymuş olabileceğinize rağmen, şifreleme mükemmel değildir.
Güvenli
olmalı, ancak anahtarların saklandığı yer kadar güvenlidir. Bir web
sitesi anahtarınızı (yani şifrenizi) kendi başlarına koruyorsa, bir
bilgisayar korsanı ilkini bulmak ve şifresini çözmek için ikincisini
açığa çıkarabilir. Şifrenizi bulmak için bir hırsızdan nispeten az çaba
gerektirir; bu yüzden anahtar veritabanları büyük bir hedeftir.
Anahtarları
sizinkiyle aynı sunucuda saklanıyorsa, şifreniz düz metin olarak da
olabilir. Bu nedenle yukarıda belirtilen PlainTextOffenders sitesi, geri
dönüşümlü şifreleme kullanan hizmetleri de listeler.
Şaşırtıcı derecede basit( ama her zaman etkili değil): Karma
Şimdi bir yere varıyoruz. Şifreleri karma jargon gibi geliyor, ama sadece şifreleme daha güvenli bir şeklidir.
Parolanızı
düz metin olarak saklamak yerine, bir site MD5, güvenli Karma
algoritması (SHA)-1 veya SHA-256 gibi bir karma işlevle çalıştırır ve bu
da onu tamamen farklı bir basamak kümesine dönüştürür. Bunlar sayılar,
harfler veya başka karakterler olabilir.
Şifreniz İH3artMU0
olabilir. Bu 7dVq $ @iht'ye dönüşebilir ve eğer bir bilgisayar korsanı
bir veritabanına girerse, görebilecekleri tek şey budur. Ve bu sadece
bir şekilde çalışır. Tekrar çözemezsin.
Ne yazık ki, o kadar güvenli değil. Düz metinden daha iyidir, ancak siber suçlular için hala oldukça standarttır.
Önemli
olan, belirli bir şifrenin belirli bir karma oluşturmasıdır. Bunun iyi
bir nedeni var: IH3artMU0 şifresiyle her giriş yaptığınızda, otomatik
olarak bu karma işlevden geçer ve web sitesi, bu karma ve sitenin
veritabanındaki eşleşirse erişmenize izin verir.
Bu aynı zamanda
bilgisayar korsanlarının gökkuşağı tabloları geliştirdiği anlamına
gelir. Bunları hile sayfaları olarak düşünün: bunlar, başkaları
tarafından parola olarak kullanılan, karmaşık bir sistemin kaba kuvvet
saldırısı olarak hızlı bir şekilde çalışabileceği karma listeleridir.
Gerçekten
kötü bir şifre seçtiyseniz, bu gökkuşağı masalarında yüksek olacak ve
kolayca kırılabilir. Daha belirsiz olanlar (özellikle geniş
kombinasyonlar) daha uzun sürecektir.
Şu anda olduğu kadar iyi: tuzlama ve yavaş Karmalar
Hiçbir
şey zaptedilemez: hackerlar yeni güvenlik sistemlerini kırmak için
çalışacaklar. Ancak en güvenli siteler tarafından uygulanan daha güçlü
teknikler daha akıllı karmalardır.
Tuzlu Karmalar, her bir şifre
için oluşturulan, genellikle çok uzun ve çok karmaşık olan rastgele bir
veri kümesi olan kriptografik bir nonce uygulamasına dayanır.
Bu
ek rakamlar, rainbow tabloları kullanılarak yapılan girişimlerle
mücadele etmek için karma işlevinden geçmeden önce bir şifrenin (veya
e-posta şifresi kombinasyonlarının) başına veya sonuna eklenir.
Tuzların
karmalarla aynı sunucularda saklanıp saklanmadığı genellikle önemli
değildir; bir dizi şifreyi kırmak, bilgisayar korsanları için çok zaman
alıcı olabilir, şifreniz zaten karmaşıksa daha da zorlaşır.
Bu nedenle, bir sitenin güvenliğine ne kadar güvendiğiniz önemli değil, her zaman güçlü bir şifre kullanmalısınız.
Güvenliğinizi
özellikle ciddiye alan ve genişleten web siteleri, yavaş karmaları ek
bir önlem olarak da kullanır. En iyi bilinen karma işlevleri (MD5, SHA-1
ve Sha-256) bir süredir var olmuştur ve yaygın olarak kullanılmaktadır,
çünkü uygulanması nispeten kolaydır ve hiçbir zaman karmaları
uygulamazlar.
Hala tuzları uygularken, yavaş Karmalar hıza
dayanan saldırılarla mücadelede daha da iyidir. Bilgisayar korsanlarını
saniyede önemli ölçüde daha az girişimle sınırlayarak, çatlamaları daha
uzun sürer, böylece daha düşük başarı oranı göz önüne alındığında
girişimleri daha az değerli hale getirir.
Siber suçlular,
nispeten "hızlı düzeltmeler" üzerinde zaman alıcı yavaş karma sistemlere
saldırmaya değip değmeyeceğini tartmak zorundadır: örneğin, tıbbi
kurumlar genellikle daha düşük güvenliğe sahiptir, bu nedenle oradan
elde edilen veriler hala şaşırtıcı miktarlar için satılabilir.
Aynı
zamanda çok uyarlanabilir: bir sistem belirli bir yük altındaysa, daha
da yavaşlayabilir. Microsoft'un eski Principle yazılım geliştiricisi
Coda Hale, MD5'İ belki de en dikkat çekici yavaş karma işlevi olan
bcrypt ile karşılaştırır (Diğerleri PBKDF-2 ve scrypt içerir):
"Her
40 saniyede bir şifreyi kırmak yerine [MD5'TE olduğu gibi], her 12
yılda bir [bir sistem bcrypt kullandığında] onları kırıyor olurdum.
Şifreleriniz bu tür bir güvenliğe ihtiyaç duymayabilir ve daha hızlı bir
karşılaştırma algoritmasına ihtiyacınız olabilir, ancak bcrypt hız ve
güvenlik dengenizi seçmenize izin verir."
Ve yavaş bir karma hala bir saniyeden daha kısa sürede uygulanabileceğinden, kullanıcılar etkilenmemelidir.
Şifre Depolama Neden Önemlidir?
Çevrimiçi
bir hizmet kullandığımızda, bir güven sözleşmesi yaparız. Kişisel
bilgilerinizin güvende tutulduğunu bilerek güvende olmalısınız.
Şifrenizi
güvenli bir şekilde saklamak özellikle önemlidir. Çok sayıda uyarıya
rağmen, birçoğu hala farklı siteler için aynı şifreyi kullanıyor, bu
nedenle, örneğin Facebook'unuz ihlal edilirse, aynı şifreyi kullanan
diğer sitelerin giriş bilgileri de siber suçlular için açık bir kitap
olabilir.
