General Topics Hacking News Latest Vulnerabilities

Sisteminizi ve Hesaplarınızı Güçlü Şifreler ile Nasıl Korursunuz?

Murat Kaya

 |  Apr 26, 2012

Bir bilgi güvenliği uzmanının rutin işleri arasında genellikle ilk sırlarda yer alan test şifre dayanıklılık testleridir. Bu testler ile tüm çalışanların giriş şifreleri ciddi testlerden geçirilerek sonuçlar raporlanır. Genellikle çıkan sonuçlar çok vahimdir. 1000 kişinin çalıştığı bir yerde ( 1000 pc diyelim) yaklaşık 600 çalışanın şifresi kırılabilmektedir.

Güvenlik en zayıf halka mantığı ile oluşturulmuş bir konseptir. Bir kalenin en zayıf yanı kapısıdır. Bu nedenledir ki tüm savaşlarda ilk saldırı yapılan yer kapılardır. Bilgi güvenliğinde de en zayıf halka genellikle insanın kendisidir. Bu yüzdendir ki öncelikle kendimizi eğitmeli ve güvenlik konusunda bilinçlendirmeliyiz.

Sisteme sızmaya çalışan kişiler içinde bir sistemin en zayıf kapısı şifre girilen ve yetkili giriş isteyen bölümlerdir. Bu tür bölümler genellikle çok basit yapılandırılmış ve herhangi bir güvenlik politikası ile birlikte bir yazılım güvenliği stratejisi üzerine kurulmamıştır.

Örnek vermek gerekirse bir çok sistemde “hatalı giriş denemesi”, “captcha karakter koruması” veya “üç/dört faktör koruma” teknolojileri kullanılmamaktadır.

Örnek bir şifre kırma ve test programı ve ekran görüntüsü:

Hatalı Giriş Denemesi Koruması Nedir?

Bir kullanıcı hesabına 3 veya daha fazla kez hatalı bilgi girdiğinde sistemin otomatik olarak giriş yapmak isteyen kişinin hesabını, ip adresini veya benzeri giriş enstrumanlarını geçici olarak devre dışı bırakmasıdır.

Örneğin msn hesabınıza hatalı giriş denemesi yaptığnızda size captcha olarak adlandırılan karışık ve okunması güç karakterleri kutucuğa girmeniz gerektiğini söyleyecektir.

Bu şekilde şüpheli bir otomatik giriş denemesini devre dışı bırakabilmektedir.

Benzeri bir metot ise online bankacılık işlemlerinde meydana gelmektedir. Müşteri bilgilerinizi ve parolanızı doğru yazsanız bile şifrenizi 3 defa yanlışgirmeniz halinde sistem hesabınıza internet erişmini kapatacak ve banka şubesine gitmenizi söyleyecektir.

Şifre Kırma Yöntemleri

Bir çok saldırı yönteminde önceden bilinen bir hesap adına çeşitli deneme yanılma araçları ile şifre kırma girişimleri yapılır. Bu tür yöntemlerin en çok bilinen iki tanesinin genel adı Brute Force (Zorlama/Rastgele Deneme)  ve Dictionary Attack (Sözlük Saldırısı) olarak geçmektedir.

• Brute Force Yöntemi:Çeşitli karakter setleri ile bir algoritma oluşturulmak suretiyle hesap bilgilerinize bilgisayarın gücüne bağlı olarak saniyede binlerce veya yüzbinlerce algoritmik rastgele üretilmiş şifreler denenmektedir. Örneğin;1234567890 karakter setinden olşuan bir bir saldırıda eğer şifre sadece bu rakamların kombinasyonundan meydana gelmiş ise dakikalar içerisinde şifreniz kırılacaktır.Yazılım öncelikle 8 karakter uzunlukta bir şifre için; 00000001,00000002…..99999999’e kadar olan tüm sayıları deneyecektir. Bunu bir kronometre olarak düşünebilirsiniz ve ne kadar kolay kırılabileceğini tahmin edebilirsiniz.Eğer biz 1234567890 ve ABCD……XYZ karakter kümelerini kullanmış olsaydık şifremizin kırılması kat ve kat daha fazla zaman alacaktı. Çünkü olasılık artacak ve yazılım her türlü olasığı deneyecekti.
• Dictionary Attack Yöntemi : En çok bilinenen ve kullanılan yöntemlerin başında gelmektedir. Çok basittir. Sadece elinizdeki Türkçe, İngilizce vb sözlüklerin şifre olarak denenmesinden ibarettir. Yani şifreniz her iki sözlükten birinde mevcut ise kırılması saniyeler sürecektir. Bu yöntemde saldırganların elinde terabyte düzeyinde sözlük dosyaları bulunmaktadır.
• Mixed Mode Yöntemi:Her iki yöntemin birleşiminden oluşturaln yöntemdir. Hem sözlük hemde bu sözlükteki kelimelere birleştirilmiş karakterler kullanılanılır. Her iki yöntemde başarısızlık ile sonuçlanır ise bu yönteme başvurulmaktadır.Örneğin; security123456, sevgilim9999, evilhacker666, h4x0r1979, 1q2w3e4r, azsxdc1q2w3e vb..

Güçlü Şifre Belirleme Taktikleri ve Tavsiyeler

Basitçe şifre kırma yöntemlerini inceledikten sonra şimdi nasıl daha güvenli ve güçlü şifreler oluşturabilir ve kullanabiliriz bunlara bakalım.

1. Herhangi bir forum, kariyer sitesi, portal veya haber sitesine üye olmadan önce hiç kullanmadığınız bir mail adresiniz ile “12345678” gibi basit bir şifre ile üye olun. Daha sonra şifremi unuttum seçeneği ile şifre sıfırlama maili gelmesini bekleyin. Eğer gelen mail içerisinde verdiğiniz şifre ( örnekte 12345678) yazıyor ise üye olduğunuz site kesinlikle güvenli değildir. Unutmayın, şifrenizin size okunur biçimde gelmesi demek, o sistemi yöneten kişilerin veya ele geçirilmesi durumda saldırganın açık şekilde şifreneizi görebilmesi demektir. Bu şekilde sizin ile iligli tüm hesaplarınıza aynı şifreyi deneyebilirler. Güvenilir siteler size “Şifre Sıfırlama Formu” gönderecektir bu form ile sadece yeni şifrebelirleyebilirsiniz.Örnek : Kariyer.net sitesine üye olduktan sonra şifremi unuttum/kaybettim dediğinizde size aynı yazdığını şifreyi göndermektedir ki bu sitenin her ne kadar büyük bir kurulş olasa da güvenilir olmadığının ispatıdır. Bu siteyi yönetenlerin sizin parolanızı başka yerlerde denemeyeceğinin garantisi yoktur.
2. Aldığınız her hizmet, üyelik ve sistem  için mutlaka birbirinden fakrlı şifreler kullanın. Bu şifrelerin tamamını hatırlamanız zor olacak ise tek bir şifre ile tüm şifreleriniz koruyabilecek yazılımlar kullanabilirsiniz. Butür yazılımlar linux platformunda Kwallet, windows için ise Password Manager tarzı programlar olabilir. İsterseniz bir text dosyasında şifrelerinizi kayıt edebilir daha sonra mutlaka bu text dosyasını çok güçlü bir şifreleme programı ile şifreleyerek bu dosyadan şifrelerinizi takip edebilirsiniz.
3. Kesinlikle sözlükte yer alan şifreler kullanmayın, hangi dil olduğu önemli değildir. Şifrelerinizi sözlükten seçmek istiyorsanız bile mutlaka kelimlerin başına ve sonuna fazladan semboller ve rakamlar ekleyin.
4. Şifrenizi belirlerken içinde BÜYÜK HARF, küçük harf, rakam, $€mß0l ve matematiksel ifadeler (/*-+,.)  olmasına dikkat edin. BU şekilde şifrenizin kırılması gerçekten zorlaşacaktır.
5. Zaman zaman şifrelerinizi değiştirin. Bankacılık işlemlerinde zorunlu şifre değişikli süresi 72 günde bir, hotmail ve yahoo gibi servislerde ise standart 45 günde bir dir (seçimlik).
6. En az 8 karakter uzunlukta mümkün ise 12 karakterden aşağı şifre kullanmayın. Ne kadar uzun o kadar güvenli ( diğer maddelere uymak şartı ile)
7. Şifrenizi gerekmedikçe kimseyle paylaşmayın. Paylaşmak zorunda kaldıysanız iş bitiminde ve gereklilik sona erdiğinde mutlaka şifrenizi güncelleyin, değiştirin.
8. Bilgisayarınızdaki tüm otomatik giriş seçenekleirni kapatın, web siteleri ve internet tarayıcınızın otomatik kayıt ve hatırlama seçeneklerini iptal edin.
9. Bir önceki şifrenizin aynısını bir daha kullanmayın. Bankacılık işlemleri ve ciddi kurumlar zaten buna izin vermeyecektir. Aynı şifreyi kullanmanız şifrenizin kırılmasını kolaylaştıracaktır.
10. Size ait olmayan hiçbir bilgisayardan şifreleri işlem yapmayın. Arkadaşınız çok güvenilir olsa bile kullanıdığı bilgisayarın güvenlirliğinden emin olamazsınız. İnternet kafelerden kesinlikle parasal ve gizlilik gerektiren işlemler yapmayın. Neredeyse tüm internet kafelerde KeyLogger tabir edilen yazılımlar kurulmakta ve kullanılmaktadır. BU yazılımlar sizin tüm tuş vuruş ve mouse hareketlerinizi kayıt ederler.
11. Size e-posta adresiniz aracılığı ile gelen linklere güvenmeyin. Öncelikle gerçekten bahsi geçenn site mi kontrol edin. EMin oluncaya kadar keisnlikle şifrenizi ile giriş yapmayın. Mutlaka bir seferlik test edin mesela sahte bir isim ve şifre ile girmeyi deneyin ve neler oluyor bir gözlemleyin. Unutmayın bir çok banka kartı dolandırıcılığı Pishing dediğimiz e-mail oltacılık yöntemi ile yapılmıştır.
12. Bilmediğiniz hiç bir kablosuz ağa bağlanmayı denemeyin. Birçok kablosuz ağ bilerek şifresiz yayın yapar ve sizin o ağa bağlanmanızı bekler. Bağlandığınız andan itibaren tüm internet erişminiz izlenebilmektedir. Girdiğiniz şifreler çalınabilmektedir.