Web Şifre Kırma Teknikleri | Cenk COŞKUN Blog
  • Ana Sayfa

  • Web Şifre Kırma Teknikleri

    Web Tabanlı Application veya http iletişimi kullanımı arttıkça güvenlik zaafiyeti artmaktadır. Bu artış da kimlik doğrulama tekniklerini aynı orantıda arttırmaktadır. Bu makalemizde bu tekniklerin neler olduğu hakkında sizleri bilgilendireceğim;

     

    Kimlik Doğrulama Teknikleri:

    – Temel Kimlik Doğrulama [ Basic Authentication ]:

    Adından da anlaşıldığı gibi en basit ve en popüler kimlik doğrulama tekniklerinden biridir. Kısıtlı bir web alanına erişim sağlarken şifre sorulması ile doğrulama sağlayan bu tekniğin en kötü özelliği ağ dinleme araçları ile sniff edilen networkte şifrelerin criptolanmamış şekilde görünmesidir. Bu tarz bir durum güvenlik zaafiyeti oluşturmasının yanı sıra tüm web browserları desteklediği için yaygın kullanılmaktadır.

     

    – Özet Kimlik Doğrulama [ Digest Authentication ]:

    Temel Kimlik Doğrulama sistemine istinaden Windows Etki Alanı sistemi kullandığı için daha güvenilir bir doğrulama sistemidir. Fakat malesef sadece Windows Explorer ile uyumludur. Bu sebeple fazla tercih edilmez.

    – Uzlaşmalı Kimlik Doğrulama [ Nagotiate Authentication ]:

    Windows Etki Alanı bölümünde Kerberos ile Kimlik Doğrulama yapar.

    – Windows ile Bütünleşik Kimlik Doğrulama [ Integrated Authentication ]:

    Microsoft NTLM doğrulama sistemi yetkilerini kullanan doğrulama sistemidir. Malesef “Özet Kimlik Doğrulama” gibi Windows Explorer üzerinden çalışmaktadır.

    – Sertifika Yöntemiyle Kimlik Doğrulama:

    “Public Key” şifreleme yöntemini kullanarak sertifika doğrulaması sağlayan yöntemdir. Netscape`nin oluşturduğu SSL (Secure Socket Layer) sertifika tabanlı iletişim sağlanması mantığında çalışır. https protokolü ile çalışan sistemler buna örnektir.

     – Form Tabanlı Kimlik Doğrulama:

    Web yazılımlarında en sık tercih edilen yöntemdir. Yazılım kendi içinde dilediği criptolama sistemini kullanarak doğrulama yaptırabilir. MD5, sha512, sha vb. gibi yöntemler ile şifreleri güvenli bir şekilde saklanması sağlanır.

    Sık kullanılan şifre çalma yöntemleri;

    – Basit Teknikler;

    Basit teknik derken malesef bunun teknik bir açıklaması yoktur. Genelde internet kafe veya ortak paylaşım alanlarında şifre girişi yaparken sizi takip edenlerden, ekranınıza bakanlardan sakınınız. Tüm bilgisayar kullanıcıları malesef bilinçli olmadıkları için kolay (123456, doğum tarihi, takım kuruluş yılları gibi) şifreler kullanırlar ve ekranınızı gören kişi bu şifreyi kolayca gözlemleyip anlayabilmektedir.

    Aynı mantık üzerinden giderek şifreleri kağıt veya notlara yazmak da mantıklı değildir. Masanızı veya çöplerinizi karıştıran biri şifrelerinize sahip olabilir.

    –Araştırma ve tahmin yöntemi;

    Şifreleriniz kolay akılda kalsın diye aile bireylerinizin isimlerini, doğum tarihinizi, tuttuğunuz takımın ismi, oturduğunuz şehir veya plakası, kısacası  sosyal paylaşım sitelerine vermiş olduğunuz bilgiler ile örtüşen bilgileri deneme yaparak şifrelerinize erişebilirler.

    – Wordlist oluşturarak deneme;

    Daha önceden oluşturulmuş şifre kombinasyonlarını deneyerek şifrelerinize erişebilirler. 1q2w3e, admin123, 123456, 123123 gibi şifreler kesinlikle verilmemelidir.

    – Bluteforce Saldırı;

    Bir karakter set dizini oluşturulur ve bu karakter setinden yaralanarak oluşturulan tüm kombinasyonlar denenir. Bu yöntemle kırılamayacak şifre yoktur, fakat şifrelerin güvenlik ve uzunluk gibi etkenlere bağlı olarak uzun zaman alabilir.

    Bazı şifre kırma araçları:

    * John The Ripper

    * Brutus

    * Hydra

    * Cain&Eble

    * MD5 Bluteforcer

    * MD5 Toolbox Cracker

    * metasploit tools.

    Korunma Yöntemleri:

    Aslında gerçekçi olmak gerekirse tek korunma yöntemi içinde ascii karakterlerinde olduğu sağlam ve tahmin edilemeyen şifreler kullanarak karşınızdakinin işini zorlaştırmaktır. Peki bu tarz bir şifre nasıl olmalıdır;

    * Şifreniz 8 karakterden uzun olmalı ve ardışık sayılar içermemelidir.

    * Küçük ve büyük harflerin olduğu karışık şifreler olmalıdır.

    * Belli aralıklarla değiştirilmelidir.

    * Hiç bir paylaşım alanında şifreler paylaşılmamalıdır.

    * Hiç bir bilgisayar ortamında şifreler saklanmamalıdır.

    4,920 toplam, 2 bugün görüntüleme.



    Yazıya yapılan yorumlar..

    Henüz yorum yapılmamış