Bir önceki yazımda şifre güvenliğinden bahsetmiştim. Şimdi de bu kadar önemli olan şifremizi elde etmek için ne tür yöntemler kullanıldığından bahsetmek istiyorum. Öncelikli amacım farkındalık yaratıp şifrelerimizi daha güvenli tutabilmek ve şifre kırma yöntemlerinden korumak…
Şifre Kırma Yöntemleri ve Önlemler
Şifre Kırma Yöntemleri ve Önlemler1. Sözlük Saldırısı (Dictionary Attack)
Çok kullanılan kelimelerden oluşan bir sözlükten çeşitli kombinasyonlarla şifre tahmin yöntemidir. Korunmak için basit kelimelerden oluşan şifreler kullanmamak gerekir. Sistemin bizi koruması için belli bir hatalı deneme sonrasında girişin kitlenmesiyle olur. Günümüzde bu yöntem çok acemi sistemleri kırabilir.
2. Yüklenerek Saldırma (Brute Force Attack)
Bu yöntem sözlük saldırısına benzer. Burada saldıran sözlüklerle yetinmeden belli mantık çerçevesinde tüm ihtimalleri dener. Örneğin 1’den 9999999999‘a kadar tüm rakamları şifre olarak dener. Burada da korunma yöntemi belli deneme sonrası girişin kitlenmesidir. Şifre sahibi olarak karmaşık şifre çözüm olacaktır.
3. Rainbow Table Attack
Bunun açıklaması biraz daha teknik. Bir çok şifre kriptolu tutulur ve tahmin etme sırasında saldıran denenen şifreleri kriptolaması gerekir (hashing. Bu da bir bilgisayar için zaman alır. Bir çok verinin kriptolu halinin hesaplanmış değerlerinin paylaşıldığı “rainbow table” denen yapılardan faydalanılır. Bu sayede deneme süresi kısalır ve çok fazla ihtimal ile saldırı denenir. Aslında “rainbow table” kavramı bilimsel araştırmalardaki hesaplamaları hızlandırmak için çıkmış bir kavram ama kötü amaçlar için de kullanılıyor maalesef.
4. Oltalama (Phishing)
Bu kullanıcıyı aldatarak şifreyi kendi elleriyle teslim etmesine denir. Örneğin gmail.com‘a girerken yanlışlıkla gmaiil.com yazdınız. Eğer bir kişi bu ismi önceden alıp görüntüsünü gmail.com ile aynı yaparsa hiç farketmeden şifrenizi girersiniz. Üstelik kötü niyetli kişi şifrenizi alıp sizi doğru adrese de yönlendirirse hiç farkına bile varmazsınız… İşte buna oltaya gelmek deniyor. Korunmak için önemli adresleri elden yazarak değil yerimlerinden çağırmanız tavsiye edilir. Gelen e-postalardaki linklere tıklarken de çok dikkat etmek gerekiyor.
5. Sosyal Mühendislik (Social Engineering)
Şifre kırma için sosyal mühendislik de oltalamanın daha modern bir yöntemidir. Hedef aldığınız kullanıcıyı sosyal ortamda takibe alırsınız ve ondan bilgi sızdırmak için açıklar yakalarsınız. Örneğin büyük bir şirkette birisi sizi arayıp “Ben IT bölümünden arıyorum, bir güncelleme için şifrenize ihtiyacımız var” diye arayıp dikkatsiz davranırsanız rahatlıkla şifrenizi sizden alabilir. Bu çok kolay değil gibi görünse de inanın öyle yöntemler geliştiriliyor ki farkına bile varmazsınız… Bunun tek çözümü “farkındalıktır“. Bu konularda eğitimli olmak gerekir. Hiç kimseyle telefonda bilgi paylaşmamak, gelen e-postalara şüphe ile yaklaşmak gerekir. Emin olmadan cevap verilmemeli gerekirse telefon ile dönüş yapılmalıdır.
6. Zararlı Yazılımlar (Malware)
Bilgisayarınıza sızmış kötü amaçlı bir yazılım yazdığınız şifreleri kaydedebilir veya ekran görüntüsü kaydedip kötü niyetli sahibine bilgi uçurabilir. Bundan korunmak için kesinlikle virüs tarama yazılımları kullanmak, güvenilmeyen yazılımları yüklememek gerekmektedir. Bu tür bir durumdan şüphelenirseniz hemen tarama yapıp şifrelerinizi değiştirmeniz gerekir. İnternet kablosunu çekmek veya kablosuz ağı kapatmak bile gerekebilir. Bir hikayeye göre; önemli bir şirketin girişine bilerek bir usb disk bırakılmış. Bunu bulan kişi sevinçle alıp hemen bilgisayarına takıp kullanmaya başlamış ve işte böyle zararlı yazılımların bulaşmasına neden olmuş (bu anlattığım USB disklerin çok değerli olduğu yıllardan kalma bir hikaye)…
7. Çevrimdışı Elde Etme (Offline Cracking)
Diyelim ki güvenlik için internete bağlı kalmıyorsunuz. Bu durumda bile tehlikedesiniz! Eğer şifrelerinizi bir .txt dosyasında tutuyorsanız ve 30 saniyeliğine masanızdan kalkarsanız bittiniz demektir. Şifrenizi açık bir şekilde saklamayın. Kağıtlara yazıp masanıza koymayın. Ortalıkta bağırarak söylemeyin. Telefonda oğlunuza söyleyeceğiniz facebook şifrenizi arkanızdaki birisi rahatlıkla duyabilir. Özellikle de açık alanlarda şifre telaffuz etmeyin ve hatta akıllı cihazınızdan şifre bile girmeyin.
8. Sinsice Bilgi Çalma (Shoulder Surfing)
Çalıştığınız ortamda -bir sebepten- bulunan yabancılar siz farketmeden hassas bilgiler çalabilirler. Hedefli bir saldırıda temizlikçi rolünde bir siber saldırgan anlık dalgınlığınızla şifrenize ulaşabilir. Bu biraz fantastik bir yöntem gibi görünse de uygulanmışlığı vardır. Eğer milyon dolarlık bilgilerle uğraşan bir rolünüz varsa inanın bu tür saldırılar her an olabilir! Çözüm yine farkındalık ve eğitimden geçiyor.
9 Tahmin Etmek (Guess)
Şifre konusuna özen göstermeyen kişiler duygularıyla davranarak şifre belirlerler. Çok yakın bir arkadaşın bunu tahmin etmesi hiç de zor olmaz. Sevdiği hayvanın adından çocuğunun adına, doğum tarihine kadar veya sevdiği müzik grubunun adına kadar kolayca tahmin edilebilir şifreler insanın başını derde sokar. Sakın böyle şifreler belirlemeyin!
10 Tek Şifre Kullanma (One Password)
Bir şekilde şifreniz çalınırsa unutmayın o şifreyle bir çok servise de giriş denemesi yapılabilir. Eğer heryere tek bir şifre verdiyseniz hapı yuttunuz. Bundan korunmak için her üyelikte ayrı şifreler verin. Şifrelerinizi de bir program ile saklayın (bu konuyla ilgili yazımın linkini en aşağıda bulabilirsiniz).
Özetle
Özetle en çok kullanılan şifre kırma yöntemleri bunlar. Peki diyelim tüm bunlardan korundunuz. İhtimal %0 diyebilir miyiz? Hayır! Bakın yaşanan bir örnek daha… Çok önemli bir kişi bir PC sipariş ediyor. Bu sipariş bilgisini gören bir korsan o pakete önceden ulaşmanın yolunu buluyor. Çok kısa sürede donanımın içine kötü niyetli bir yazılım yerleştiriyor ve tekrar paketliyor. Paket ilgili kişiye ulaştığında hiçbir şeyden haberi olmadan kullanmaya başlıyor ve tüm verilerini kaptırıyor… Yani neymiş? Teknoloji dünyasında %100 güvenlik diye bir şey yokmuş!
Bir sonraki yazımda güçlü bir şifreyi nasıl oluştururuz ona bakacağız. Şifre kırmayı güçlü şifre ile önleyebiliriz
Bu Konudaki Diğer Yazılarım
[catlist id=1800]