Parola,Şifre Nasıl Kırılır

0
110

 

Şifre Kırma nedir?

Parola kırma, parolaları tahmin eden yaygın parolalar veya algoritmalar kullanarak kısıtlanmış sistemlere Yetkisiz erişim sağlamaya çalışma sürecidir. Başka bir deyişle, kimlik doğrulama yöntemiyle korunan bir sisteme erişim sağlayan doğru şifreyi elde etme sanatıdır.

Parola kırma, hedeflerine ulaşmak için bir dizi teknik kullanır. Kırma işlemi, saklanan şifreleri kelime listesiyle karşılaştırmayı veya eşleşen şifreler oluşturmak için algoritmaları kullanmayı içerebilir. Bu Eğitimde, size yaygın şifre kırma tekniklerini ve sistemleri bu tür saldırılara karşı korumak için uygulayabileceğiniz karşı önlemleri tanıtacağız.

Parola gücü nedir?

Şifre gücü, bir şifrenin şifre kırma saldırılarına direnme etkinliğinin ölçüsüdür. Bir parolanın gücü şu şekilde belirlenir;

Uzunluk: Şifrenin içerdiği karakter sayısı.

Karmaşıklık: Harf, sayı ve sembol kombinasyonu kullanıyor mu?

Tahmin edilemezlik: Bir saldırgan tarafından kolayca tahmin edilebilecek bir şey mi?

Şimdi pratik bir örneğe bakalım. Üç şifre kullanacağız:

  1.  password Not: Kullanılan şifre , gücü 1’dir ve çok zayıftır.
  2.  password1 Not: kullanılan şifre password1’dir, gücü 28’dir ve hala zayıftır.
  3.  #password1$ Not: Kullanılan şifre # password1 $, gücü 60’tır ve güçlüdür.

Güç sayısı ne kadar yüksekse, şifre o kadar iyidir.

Yukarıdaki şifrelerimizi md5 şifrelemesi kullanarak saklamamız gerektiğini varsayalım. Şifrelerimizi md5 hash’lerine dönüştürmek için çevrimiçi bir md5 hash generator kullanacağız.

Aşağıdaki tablo şifre karmalarını göstermektedir

 

PasswordMD5 HashCpanel Strength Indicator
password5f4dcc3b5aa765d61d8327deb882cf991
password17c6a180b36896a0a8c02787eeafb0e4c28
#password1$29e08fb7103c327d68327f23d8d9256c60

 

Şimdi yukarıdaki karmaları kırmak için http://www.md5this.com/kullanacağız. Aşağıdaki resimler, yukarıdaki şifreler için şifre kırma sonuçlarını göstermektedir.

Yukarıdaki sonuçlardan da görebileceğiniz gibi, daha düşük güç numaralarına sahip birinci ve ikinci şifreleri kırmayı başardık. Daha uzun, karmaşık ve öngörülemeyen üçüncü şifreyi kırmayı başaramadık. Daha yüksek bir güç sayısına sahipti.

Şifre kırma teknikleri

Şifreleri kırmak için kullanılabilecek birkaç teknik vardır. En sık kullanılanları aşağıda açıklayacağız;

Dictionary attack Sözlük saldırısı – Bu yöntem, kullanıcı parolalarıyla karşılaştırmak için bir sözcük listesinin kullanılmasını içerir.

Brute force attack Kaba kuvvet saldırısı – Bu yöntem sözlük saldırısına benzer. Kaba kuvvet saldırıları, saldırının şifrelerini bulmak için alfasayısal karakterleri ve sembolleri birleştiren algoritmalar kullanır. Örneğin, “parola” değerine sahip bir parola, kaba kuvvet saldırısı kullanılarak p @ $$ kelimesi olarak da denenebilir.

Rainbow table attack Gökkuşağı tablosu saldırısı – Bu yöntem önceden hesaplanmış karmalar kullanır. Şifreleri md5 hash değerleri olarak depolayan bir veritabanımız olduğunu varsayalım. Yaygın olarak kullanılan şifrelerin md5 hash’lerine sahip başka bir veritabanı oluşturabiliriz. Daha sonra sahip olduğumuz parola karmasını veritabanında depolanan karmalarla karşılaştırabiliriz. Bir eşleşme bulunursa, şifremiz var.

Guess Tahmin – Adından da anlaşılacağı gibi, bu yöntem tahmin etmeyi içerir. Qwerty, password, admin, vb. Gibi şifreler yaygın olarak kullanılır veya varsayılan şifreler olarak ayarlanır. Değiştirilmemişlerse veya kullanıcı şifreleri seçerken dikkatsiz davranırsa, kolayca tehlikeye atılabilir.

Spidering – Çoğu kuruluş, şirket bilgilerini içeren parolalar kullanır. Bu bilgiler şirket web sitelerinde, facebook, twitter vb. Sosyal medyada bulunabilir. Spidering, kelime listeleri oluşturmak için bu kaynaklardan bilgi toplar. Kelime listesi daha sonra sözlük ve kaba kuvvet saldırıları gerçekleştirmek için kullanılır.

Spidering Örnek Sözlük Saldırısı Kelime Listesi

1976 <founder birth year>

smith jones <founder name>

acme <company name/initials>

built|to|last <words in company vision/mission>

golfing|chess|soccer <founders hobbies

Şifre kırma aracı

Bunlar, kullanıcı şifrelerini kırmak için kullanılan yazılım programlarıdır. Yukarıdaki örnekte, parola güçleriyle ilgili benzer bir araca zaten baktık. http://www.md5this.com/web sitesi şifreleri kırmak için gökkuşağı tablosu kullanır. Şimdi yaygın olarak kullanılan bazı araçlara bakacağız.

John the Ripper

John the Ripper, şifreleri kırmak için komut istemini kullanır. Bu, komutlarla rahatça çalışabilen ileri düzey kullanıcılar için uygun hale getirir. Parolaları kırmak için kelime listesine kullanır. Program ücretsizdir, ancak kelime listesinin satın alınması gerekir. Kullanabileceğiniz ücretsiz alternatif kelime listelerine sahiptir. Daha fazla bilgi ve nasıl kullanılacağı için ürün web sitesini https://www.openwall.com/john/ziyaret edin.

Cain ve Abel

Cain & Abel pencerelerde çalışır. Kullanıcı hesapları için parolaları, Microsoft Access parolalarını kurtarmak için kullanılır; ağ koklama, vb. John the Ripper’ın aksine, Cain & Abel bir grafik kullanıcı arayüzü kullanır. Kullanım kolaylığı nedeniyle yeni başlayanlar arasında çok yaygındır. Daha fazla bilgi ve nasıl kullanılacağı için https://www.softpedia.com/get/Security/Decrypting-Decoding/Cain-and-Abel.shtmlürün web sitesini ziyaret edin.

Ophcrack

Ophcrack, şifreleri kırmak için gökkuşağı tabloları kullanan, platformlar arası bir Windows şifre kırıcıdır. Windows, Linux ve Mac OS üzerinde çalışır. Ayrıca, diğer özelliklerin yanı sıra kaba kuvvet saldırıları için bir modüle sahiptir. Daha fazla bilgi ve nasıl kullanılacağı için ürün web sitesini https://ophcrack.sourceforge.io/ziyaret edin.

Şifre Kırma Önlemleri

Bir kuruluş, şifrelerin kırılma olasılığını azaltmak için aşağıdaki yöntemleri kullanabilir

  • Kısa ve kolay tahmin edilebilir şifrelerden kaçının
  • 11552266 gibi tahmin edilebilir kalıplara sahip parolalar kullanmaktan kaçının.
  • Veritabanında saklanan parolalar her zaman şifrelenmelidir. MD5 şifrelemeleri için, parola karmalarını depolamadan önce tuzlamak (salt) daha iyidir. Tuzlama, hash oluşturmadan önce sağlanan şifreye bir kelime eklemeyi içerir.
  • Çoğu kayıt sisteminde parola gücü göstergeleri vardır, kuruluşların yüksek parola sağlamlığı sayılarını destekleyen politikalar benimsemesi gerekir.

 

 

Yazar Hakkında