Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Maksimum Güvenlikte Şifreler Nasıl Hazırlanır,Nasıl Kırılır,Nasıl Korunur
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Maksimum Güvenlikte Şifreler Nasıl Hazırlanır,Nasıl Kırılır,Nasıl Korunur

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Maksimum Güvenlikte Şifreler Nasıl Hazırlanır,Nasıl Kırılır,Nasıl Korunur
    Gönderim Zamanı: 28-03-2011 Saat 10:57
Maksimum Güvenlikte Şifreler Nasıl Hazırlanır,Nasıl Kırılır,Nasıl Korunur(ŞİFRELERE DAİR)


Her oluşumun korunmaya ihtiyacı olduğu gibi bunlardan en önemlisi olan "bilgi'nin"de korunmaya ihtiyacı vardı.Bilgilere özel erişim dışında harici erişimi engellemek için "şifre(bir başka deyişle parola)" sistemi devreye sokulmuştur.Şuanda bilinen en yüksek algoritmik ölçek 128 bitlik şifreleme sistemidir.Bilgilerimizi korurken şifrelerden yararlanırız.Böylece sistemimizi dışarıdan gelecek olası bir saldırıya karşı koruruz.Peki bu şifreleri düzenlerken dikkat etmemiz gereken kurallar nelerdir(hiçkimsenin düşmemesi gereken fakat herkesin düştüğü yanlışlar nelerdir)

*Yapılmaması Gerekenler*

• Şifreniz ASLA "sözlükten bulunmuş bir kelime" olmasın.

NİÇİN:Çünkü Profesyonel bir şifrekırıcının en önemli silahlarından birisi de "sözlük"tür.Herhangi biri sözlüğü vasıtasıyla şifrenizi ele geçirebilir.Şu şekilde düşünün Bilgiler yani Datalar Database denilen yere kaydolur ve burada birikir.Ve database'lerinizin başkaları tarafından ele geçirilmesini istemezsiniz.Fakat siz şifrenizi sözlükten seçerseniz şifre database'inizi kendi isteğinizle başkasının eline vermiş oluyorsunuz.Sonuçta o sözlükten binlerce basım yapıldı.Şifrenizin elinde olduğunu bilmeyen biri şuan sorun olmayabilir ya farkettikten sonra...

• Şifreniz ASLA aile ferdi isimlerinden yada arkadaşlarınızın isimlerinden oluşmasın.

NİÇİN:Çünkü planlı bir saldırgan için çok kolay bir hedef halini alabilirsiniz.Hiç unutmam çok sevdiğim bir arkadaşım şifrelerinden birini *ismi*en sevdiği arkadaşının ismi* olarak ayarlamıştı.Çok yanlış bir şey ; kesinlikle yapılmaması gerek.O'na bir ders vermek için sistemine giriş yapıp birkaç bilgiyi(sadece değiştirildiği anlaşılacak kadar olanı)değiştirdim ve SAI'den çıktım.Ertesi gün şifresinin bilgilerini korumada yetersiz olduğunu itiraf ederek şifresini değiştirdi.(Umarım artık daha güvenli şifreler hazırlıyorsundur...)Zaten bu dökümanda Şifreler konusunda hiçbirşey bilmeyen bir bireyin de şifreler hakkında belirli bir bilgiye sahip olan bireyin de bilgilenmesi için yazıldı.Umarım anlattıklarımı anlatmak istediğim şekilde anlıyorsunuzdur...

• Şifrenizi ASLA şifre oluşturucu motorlar aracılığıyla düzenlemeyin.

NİÇİN:Çünkü aynı şifre kombinasyonları size karşı silah olarak kullanılabilir.Bu madde yine 1.maddede anlattığım sözlük olayıyla örtüşüyor.

• Şifrenizde ASLA "Sadece________" kullanmayın.

NİÇİN:Çünkü şifrenizde sadece sayı/harf/özel karakter kullanırsanız korunma seviyeniz bir derece aşağıya düşer.BruteForce'lar tarafından saldırıya açık hale gelirsiniz.

• Şifrenizi ASLA kimseye söylemeyin.

NİÇİN:En zor anınızda bile en önemsiz gördüğünüz şifreniz olsa bile şifrenizi kimseye söylemeyin/vermeyin.Eğer şifrenizi karşınızdaki kişiye vermek istiyorsanız kendinize şu soruları sorun:

1.Karşımdaki Kim?Onu ne kadar tanıyorum?Onun gerçekten konuştuğum kişi olduğuna neden bu kadar eminim?

2.Şifremi niçin O'na verme ihtiyacı hissediyorum?

3.Şifremin benim için önemi ne seviyede?

4.Eğer şifremi verir de yanlış bir harekette bulunursa ne duruma düşerim?


Tüm bu sorulara mantıklı cevaplar verebiliyorsanız Durmayın istediğinizi yapmakta özgürsünüz.Fakat unutmayın ki ufak bir parolanızın çalınması bile başınıza epey büyükçe bir dert olabilir.

ASLA tek bir şifre kullanmayın.(Heryerde farklı bir şifre kullanın)

NİÇİN:Çünkü heryerde aynı şifreyi kullanmanın size getirdiği zarar inanılmaz boyutta olacaktır.Diyelim ki her platformda aynı şifreyi kullanıyorsunuz.Üyesi olduğunuz herhangi bir forumun .mdb tabanı(içerisinde site database'ine kayıtlı olan üyelerin adresleri,üye adları,şifreleri,özgeçmişleri,bulundukları şehirleri,yaşları,cinsiyetleri vb kayıt bilgilerinin yer aldığı dosya)çalındı.Bu durumda saldırgan sizi az çok tanıyorsa(Ki tanımasa bile e-mail adresiniz var çok iyi bir dostluk kurup -msn ortamları buna gayet müsait- diğer üyesi olduğunuz forumları da öğrenebilir)bütün yönetiminiz elinizden çıkmış demektir.Hele ki aynı hatayı bilgisayar sisteminizdeki şifrelerinize de uyguladıysanız maddi ve manevi pek çok zarar kaçınılmaz...

*Eğer şifre güvenliğinizi maksimuma çıkartmak istiyorsanız Şu metodları uygulayın*

• Şifreniz EN AZ on karakterden oluşsun.

NİÇİN:Çünkü kararkter sayısı arttıkça BruteForce'ların ve farklı teknikler kullanan saldırganların işleri bir o kadar zorlaşacaktır.

• Şifrenizi her ay düzenli olarak değiştirin.

NİÇİN:Çünkü şifrelerinizin düzenli ve sürekli olarak değişmesi demek bilgi güvenliğinizin bir nebze artması demektir.

• Şifrelerinizde Özel Düzenlemeler yapın.(Mesela karakter eşlem kullanın)

NİÇİN:Çünkü düz karakterlerdeki şifrelerin zorluk derecesi minimumken;harf sayı ve özel karakterler ile güçlendirilmiş;bu üç terimdeki karakteri içinde bulunduran şifre daha güvenli olacaktır.

Not: (Karakter eşlemde özel karaktere dair):Hepimizin bildiği ve bazılarımızın şuan öğreneceği gibi(windows işletim sistemi kullanıcıları için) başlat/donatılar/sistemaraçları/karaktereşlem sekmesinde

klavyenizin üzerinde gösterilmeyen sadece özel kısayollarla text dosyalarına(.txt)aktarılabilen simgeler bulunur.Nitekim

}Yê×ßd§¢¤¥®©°æ¾¨¼»¶ ve benzeri karakterler özel karakter olarak adlandırılırlar.Özel karakterleri şifrelerinizde kullanmak güvenliğinizi bir derece arttıracaktır.Şifrelerinizi hazırlarken Harf(A,a,B,b,C,c)+Sayı(1,2,3,4,5)+Özel Karakter(×ßd§¢¤¥)kombinasyonunu unutmayın.
Örnek verecek olursak "Masallar_Prensesi" tarzı bir şifre yerine "MaSaLLa®_pr3Ns3s!" tarzında bir şifre korunmanızı bir nebze arttıracaktır.

Özel karakter+sayı+harf kombinasyonuna örnek şifreler:

((-678AßaVaC--((]]

-!((aaCê¾_xml-rt666 'gibi şifreler bu tarz oluşumlara örnektir.

Tabi ki bu tür şifre oluşturma yöntemini seçerseniz şifrenizi bir yere yazmanız ve kimseye göstermemeniz gerekecek.

*Farklı bir yöntemde şifrenizi hatırlamanız için yapılabilir.Keza şifrenizi hatırlatacak cümleler yada şiirlerdeki dizeler veyahut paragraflardan yararlanabilirsiniz.Şu şekilde ifade edecek olursak:



"Dünya değişiyor bunu hissedebiliyorum,toprakta hissedebiliyorum,suda hissedebiliyorum,havada kokusunu alabiliyorum.Eskilerden pek birşey kalmadı zira hatırlayanlardan yaşayanlar yok artık" -GaladrieL-

(Yukarıda gördüğünüz söz ile aşağıdaki aynıdır.)



"düN¥a d3g!s!¥0r,bUnU H!21213d3b!l!y0RuM,T0pRaKTa H!21213d3b!l!y0RuM,21UDa H!21213d3b!l!y0RuM,hAvADa k0kUsuNu aLaB!liy0rUm,3sk!l3rd3n p3K B!R 213y kaLmaDI z!rA hAtIrlayAnLaRdAn yaŞaYaNLaR Y0k ArtIK -GaLAdr!3L-
 
Yukarıdaki örnek basit bir düzenlemedir.Gerek harf gerek sayı gerekse özel karakter kombinasyonun kullanıldığı bir şifre oluşturuldu yukarıda.Siz de bu şekilde sözü direkt olarak şifre yaparak yararlanabilir yada şifrenizi hatırlatacak cümleler kurarak sağlamlık sağlayabilirsiniz.

• Farklı bir yol da sayı-harf ilişkisine dayanan şifreleme sistemidir.Bu tür bir sistemide şifrelerinizde kullanabilirsiniz.Anlattığım Şifreleme Sisteminde Hangi Harfin hangi sırada(alfabeye göre)olduğuna göre konuşlandırma yapılır.

Örnek vermek gerekirse:

(Ben burada Latin Alfabesine göre düzenleme yaptım siz farklı alfabelere göre düzenleyebilirsiniz.)

a=1=a

b=2=b

c=3=c

d=4=d

e=5=e

f=6=f

g=7=g

h=8=h

ı=9=ı

i=10=i

(diye devam edecek olan zincir)



buna göre ;



"Dünya değişiyor bunu hissedebiliyorum,toprakta hissedebiliyorum,suda hissedebiliyorum,havada kokusunu alabiliyorum.Eskilerden pek birşey kalmadı zira hatırlayanlardan yaşayanlar yok artık" -GaladrieL-


(Yukarıdaki ile aşağıdaki şifre aynıdır)



"42314241_437102010251619_2221422_8102020343210131 02516192241_202241_810202034321013102516192241_211 61819112211_810202034321013102516192241_21019_2032 5_1211314149_261091_8121913125115131194115_2512012 511513119_251612_11921912"




yukarıda belirttiğim söz ile bu şifre dizini aynı anlamdadır.Her harf bir sayıya karşılık gelmiştir.

• Şifrenizi her biri diğerinden farklı olacak şekilde oluşturun.Belli bir kurala ve usûle uygun olarak giden bir şifreniz olmasın.Mesela ay dizinlerini kullanıyoruz diyelim...

şifreniz şuan:aL3x_11 (son karakter : 11 ayı temsil ediyor diyelim "aL3x_"kısmı sabit şuan kasım ayındayız "11" sayısını kullanıyoruz gelecek ay 12yi kullanacağız)

(Merak edenlere)Not: Dökümanı kasım ayında yazmadım sadece örnek olarak kasım ayını verdim.

Bu sisteme göre:

aL3x_11
aL3x_12

aL3x_1

aL3x_2

'diye devam edip gidecek ve bizi büyük risk altına sokacak çünkü şuanki şifrenizi bilen biri siz şifrenizi değiştirseniz bile "sabit bir yönteme bağlı kaldığınız için" sisteminizi işgal edebilir.

Tüm bu anlattıklarm basit sabit şifre kombinasyonlarının konuşlandırılmasıyla alakalıydı.Peki ya asla kırılamayacağına inanılan sabit-hareketli şifreler...Bir dostumun kullandığı şifre kombinasyonu şu şekilde işliyor.Şifremiz diyelim ki:

[[((aaB123-- (bu ay bu şekilde duruyor)

-([([BaB312- (gelecek ay bu şeklini alıyor)

ve benzer tarzda sürüp gidiyor...

Şifre sabit ama karakterler hareketli..Biraz uğraşıyla bu şifre de çözülebilir(Eğer ilk şifre biliniyorsa)Sonuçta her sistemin belirli bir mantığı vardır.

• Şifrelere Dair-Ek yazı-

Bunu Terim Kütüphanesi'ne ayrıca eklemeden önce buraya yazmayı uygun buldum çünkü ilk defa bu terimle karşılaşanlar ilgili konuda gerekli cevapları alsınlar istiyorum...

BruteForce(KabaKuvvet Saldırısı Programı) :Peki tüm bu özenle hazırladığımız(!?)şifrelerimiz nasıl oluyor da kırılabiliyor!Şifrelerinizin kırılma yöntemlerinden birisi(belki de en bilineni) "Kaba Kuvvet Saldırısı(BruteForce)"dır.Brute Force çeşitli şifre kombinasyonları yüklenerek olası ihtimalleri dener.Ve şifrenizi kırmaya çalışır.Şunu unutmayın beş para etmez bruteforcelar olduğu gibi çok güçlü bruteforcelarda vardır.

Soru:Peki bu bruteforce programları hangi tür şifreleri kırabilir hangi tür şifreleri kıramaz?

Cevap:Bruteforcelar sadece sayı sadece harf yada sayı+harf kombinasyonlu şifreleri kırabilir.



Dipnot: Aslında insanların şifrelerini korumalarındaki en önemli etkenlerden biri de dikkat'tir.Siz tüm bu önlemleri aldıktan ve bu metodlarla parelel olacak şekilde şifrenizi düzenledikten sonra şifrenizi çok iyi arkadaşı olduğunuz birine kolayca verirseniz bu dökümandan hiçbirşey anlamamışsınız demektir.Umarım anlatmak istediklerimi kavrayabilmişsinizdir.

Saygılar.


Düzenleyen megabros - 28-03-2011 Saat 10:57
WHİTE HAT
BEYAZ ŞAPKA (BİLGİ NEFERİ)
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.172 Saniyede Yüklendi.