Şifreler: Nasıl Doğru Yapılır: 10 Adım

2024 Yazar: John Day | [email protected]. Son düzenleme: 2024-01-30 13:20

Bu yılın başlarında, karım bazı hesaplarına erişimini kaybetti. Şifresi, ihlal edilmiş bir siteden alınmış, daha sonra diğer hesaplara girmek için kullanılmış. Siteler, başarısız giriş denemelerini ona bildirmeye başlayana kadar, bir şeyler olduğunu fark etmedi.

Ayrıca her site için aynı şifreyi kullandıklarını söyleyen birkaç kişiyle konuştum. Bu iki şey beni bu Eğitilebilir Yazıyı yazmaya teşvik etmek için yeterliydi.

Parola güvenliği, bir bütün olarak çevrimiçi güvenliğin çok küçük bir parçasıdır. Hemen hemen her hesap, koruduğu her şeye erişime izin vermek için bir tür giriş gerektirir. Saldırgan ile kişisel bilgileriniz, paranız, kişisel resimleriniz veya yıllardır topladığınız seyahat noktaları arasında duran tek şey genellikle bu tek dizedir.

Bu talimat, parola oluşturmaya yönelik bazı en iyi uygulamaları kapsamayı amaçlamaktadır. Her web sitesi için aynı şifreye sahip biriyseniz, şifreleri klavyede bir kalıpsa veya şifrenizde "şifre" kelimesi varsa, bu talimat tam size göre.

sorumluluk reddi

Ben bir güvenlik uzmanı değilim. Bu bilgiler zamanla öğrenilmiş ve araştırılmıştır ve çok karmaşık bir konunun sadece bir tavsiyesi ve özetidir. Bu eğitim 2018'in başında yazılmıştır ve siz okuduğunuz zaman eski olabilir.

TL; DR

Parolaların ardındaki tüm mantık ve açıklamaları umursamıyorsanız ve yalnızca güvenli parolalar oluşturmanın kolay bir yolunu istiyorsanız, son adıma geçin.

Adım 1: Uzun Yapın

Uzunluk, parola güvenliğinin çok önemli bir bileşenidir. Bilgisayarların her zamankinden daha hızlı büyüyen hızıyla, şifreler inanılmaz hızlarda denenebilir. Buna "kaba kuvvet" parola kırma denir. Eşleşeni bulana kadar mümkün olan her karakter kombinasyonunu bağlıyor.

Teorik olarak, bu, yeterli zaman verildiğinde herhangi bir şifreyi kırılabilir hale getirir. Neyse ki, parola ne kadar uzunsa, bu saldırı türü o kadar uzun sürer. Uzunluğa eklediğiniz her karakter, zorluğu çok daha zorlaştırıyor. Yeterince uzunsa, onu bu şekilde bulmak on yıllar alabilir, bu da bir saldırgan için buna değmez.

Örnek

Diyelim ki sadece büyük harflerden oluşan bir şifreniz var. Bu iyi bir fikir değil, ancak bu yalnızca örnekleme amaçlıdır. Şifreye her başka bir karakter eklediğinizde, olası şifrelerin sayısını 26 ile çarpar. 1 karakterlik bir şifreniz olsaydı, 26 olası şifre olurdu, 2 karakterin 676 olası şifresi olurdu, vb. Bu hızla kartopu başlar..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Gördüğünüz gibi eklediğiniz her harf yeterli karakterle bu saldırıyı çok daha zor ve neredeyse imkansız hale getiriyor. Unutmayın, bu sadece büyük harflerle. Daha karmaşık hale geldiklerinde, bu etki büyütülür.

2. Adım: Karmaşık Hale Getirin

Karmaşıklık, parola güvenliğinde bir başka büyük faktördür. Bir web sitesi ihlal edilirse, kullanıcı adlarının ve şifrelerin alınması muhtemeldir. Temel bir güvenlik düzeyi olarak, umarım web sitesi, depolamadan önce şifreleri (şifrelemeye benzer şekilde) kullanır. Bu, veri tabanına girmeden önce bozuldukları anlamına gelir ve bu bozulmayı tersine çevirmenin bir yolu yoktur.

Bütün bunlar kulağa hoş geliyor. Şifreniz bozuk olduğu için şifrenizin ne olduğu önemli değil, değil mi? Parolanız karmaşık değilse durum böyle değildir. Kullanılan standart hash algoritmaları vardır (SHA1, MD5, SHA512, vb.) ve bunlar her zaman aynı şeyi aynı şekilde hash edeceklerdir. Örneğin, SHA1 kullanıyorsanız ve parolanız "parola" ise, veritabanında her zaman "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" olarak saklanır.

Karma oluşturmak zaman alır ve bilgisayar hızı alır ve olası tüm parolalar için tüm olası karmaları hesaplamak pratik olarak imkansızdır. İnsanların yaptığı, ortak şifrelerin "sözlüklerini" yapmaktır. "Parola" veya "qwerty" gibi şeyler elbette orada olacak ve daha az yaygın olanları da olacak. Bu sözlüklerde milyonlarca şifre olacak ve her girişi gözden geçirmek ve bilinen hash'i şifrenizin hash'i ile karşılaştırmak sadece saniyeler alacak. Buna "sözlük saldırısı" denir. Sizinki daha önce hesaplanmış olanlardan biriyse, tahrif etme şifrenizi korumaz ve başka sitelerde kullanılabilir.

Ayrıca, harfleri sayılarla değiştirmek karmaşıklık yaratmaz. E'yi 3'e veya I'i 1'e değiştirmek daha karmaşık görünebilir, ancak bu o kadar yaygın bir uygulamadır ki daha fazla güvenlik sağlamaz. Crack programları, bu varyasyonları otomatik olarak deneyecek bir seçeneğe sahiptir.

Adım 3: Benzersiz Yapın

Şifreleri hatırlamak zordur. Hayatlarımız giderek daha fazla çevrimiçi hale gelirken, her birinin kendi oturum açma bilgilerine sahip 50'den fazla çevrimiçi hesabı olması alışılmadık bir durum değil. Bunu takip etmek çok zor olabilir.

İnsanların bununla başa çıkmanın en yaygın yolu, bir "iyi" şifre seçip onu bir sürü farklı web sitesinde kullanmaktır. Bu korkunç bir fikir. Tek gereken, bir güvenlik ihlali veya tek bir kimlik avı web sitesinin, topun yuvarlanmasını başlatmak için kullanıcı adınızı ve şifrenizi almasıdır. Saldırganlar bu kullanıcı adını ve şifreyi saniyeler içinde yüzlerce web sitesinde deneyebilir. Bu, onları otomatik olarak, güvenliği ihlal edilen kullanıcı adıyla aynı kullanıcı adıyla her web sitesine götürür.

Her site için farklı bir şifreye sahip olmanın göz korkutucu bir görev gibi göründüğünü biliyorum, ancak bunun nasıl ele alınacağını daha sonra ele alacağız.

4. Adım: Kişisel Bir Şey Yok

Bilgileriniz sandığınız kadar özel değil. Çevrimiçi hızlı bir arama, doğum tarihinizi veya adresinizi kolayca bulabilir. Başka bir hesap ihlal edilirse, daha da fazla bilgi kolayca elde edilebilir. Hesaplarınıza girmeye çalışan bir saldırgan varsa, bunlar denenecek açık şifreler olacaktır. Ayrıca girişi aile üyelerine, arkadaşlara ve hatta tanıdıklara açık bırakır.

Adım 5: Tüm Parolalara Aynı Özenle Bakın

Web siteleriyle uğraşırken, hepsinin güvenliğine aynı düzeyde özen göstermelisiniz. Örneğin, favori kedi web sitenize bir girişiniz varsa, banka girişinizle aynı önlemleri almalısınız. Tüm bu sevimli bıyıklara erişimi kaybetmek çok fazla bir şey gibi görünmeyebilir, ancak bu sadece bir saldırgan için bir sıçrama tahtası olabilir. Bu "önemsiz" web sitesini ihlal etmek, saldırgana sizin hakkınızda kullandığınız farklı bir kullanıcı adı, oturum açmak için kullandığınız farklı bir e-posta adresi veya diğer web sitelerinin kilidini açmak için kullanılabilecek gerçek bilgiler gibi daha fazla bilgi verebilir.

Ayrıca, önemsiz bir web sitesiyse, uygun güvenlik uygulamalarını takip etmeme ihtimalleri daha yüksektir, yani şifreniz uzun ve karmaşık ancak benzersiz değilse ve şifreler saklandığında düzgün bir şekilde hash'lenmemişse, bu şifre diğer web sitelerinde kolaylıkla kullanılabilir. Yine, sitenin "önemsiz" olması, güvenliğinizin olduğu anlamına gelmez.

Adım 6: Gizli Tutun

İyi - Çevrimdışı Depolama

Unutkan biriyseniz çevrimdışı depolama iyi bir seçenek olabilir. Parolalarınızla kilitli tuttuğunuz bir USB çubuğuna sahip olmak, aile ve arkadaşlar dışında çoğu saldırıya karşı koruma sağlar. Bu çubuğu bir şekilde kaybetmeniz durumunda, parola dosyasının veya tüm sürücünün şifrelendiğinden ve çubuğun çok güvenli bir yerde yedeklendiğinden emin olun.

Bu yöntemin çok fazla güvenliği vardır, ancak kolaylık pahasına.

Çevrimdışı olmasının nedeni aşağıda daha ayrıntılı olarak açıklanmaktadır. Pek çok cihazın, istemeseniz bile otomatik olarak buluta yedeklendiğini unutmayın. Ayrıca, bu çubuğu virüslü veya güvenliği ihlal edilmiş bir cihaza takarsanız, veriler kolayca kopyalanabilir.

Daha İyi - Her Şeyi Hatırla

Tüm şifrelerinizi hatırlayın. İnanılmaz derecede yetenekli iseniz, bu bir seçenek olabilir. Birinin onları bulmasının bir yolu yoktur ve onları her zaman yanınızda bulundurursunuz. Bazı olumsuz yönler, çoğumuzun karmaşık şeyleri hatırlamakta harika olmaması ve bir veya iki içkiden sonra biraz fazla konuşmaya meyilli olmamızdır. Özellikle hatırlanması gereken düzinelerce şifreyle, bu muhtemelen sıradan bir kişi için bir seçenek bile değildir.

En İyi - Depolama Yok

En iyi durum senaryosu, onları hiç saklamamanızdır. Ya bir şekilde tüm benzersiz, uzun, karmaşık parolalarınızı hatırlayın ya da onları anında yeniden oluşturmanın bir yolunu bulun. Bunları yeniden oluşturmak için gereken malzemeleri biliyorsanız, o zaman bir saldırganın bunları "bulmasının" hiçbir yolu yoktur çünkü ihtiyaç duyulana kadar var olmazlar. Bu karmaşık gelebilir, ama gerçekten değil. Bu konuda daha sonra.

Çevrimdışının Önemi

Web siteleri insanlar tarafından yönetilir. Çoğu web sitesi için, bu kişilerin genel olarak iyi niyetli olduğunu varsaymak muhtemelen güvenlidir, ancak en iyi insanlar bile hata yapabilir. Yalnızca geçen yıl, Linked-In, Yahoo, Equifax, Apple ve Uber gibi büyük, genellikle güvenli şirketlerde birkaç büyük web sitesi güvenlik ihlali yaşandı. Bunlar güvenlik departmanları olan büyük şirketler ve ihlal edildi.

Bulut depolama kulağa hoş geliyor ve kolaylık sağlıyor, ancak gerçekte ne bir "bulut", dosyalarınızı depolamak için kullandığınız başka birinin bilgisayarıdır. Yukarıda da dediğim gibi insanlar hata yapabilir. Bu olursa, şifreleriniz dünya tarafından kullanılabilir olabilir. Bulut siteleri, tuttukları veri miktarı nedeniyle saldırganlar için dev bir hedeftir. Bulut sitesini kırın, potansiyel olarak milyonlarca insanın sakladığı tüm bilgilere erişin.

Bunun bir kısmının paranoya olduğuna eminim, ancak hayatınızın büyük bir kısmı bu şifrelerin arkasına gizlenmişken, onları bu şekilde koruyun.

7. Adım: Tavsiyem

Bu, parola güvenliğinin temel direklerini açıklamak için çok uzun bir giriş oldu. Bu 6 yönergeyi izlerseniz, çevrimiçi ortamda minimum güvenlik sorununuz olmalı ve herhangi bir şey olursa, kaynağında durmalı, çevrimiçi hayatınızın geri kalanına yayılmamalıdır.

Bu zorlukları çözmenin birçok farklı yolu var. Bazıları diğerlerinden daha iyidir ve farklı faydalar sağlar. En sevdiğim çözüm SuperGenPass (SGP). Hiçbir şekilde bağlı değilim, sadece bir hayranıyım.

Kullanımı kolay

SGP'nin telefonunuz için bir uygulaması ve tarayıcınıza ekleyebileceğiniz bir düğmesi vardır. Bir web sitesine gittiğinizde ve sizden oturum açmanızı istediğinde, düğmesine tıklayın. Küçük bir pencere açılacaktır. Ana parolanızı girin. SGP bu site için bir şifre oluşturacak ve sizin için şifre kutusuna girecektir!

Uzun

Oluşturulan şifrenin uzunluğunu seçebilirsiniz. Bu, oldukça güvenli olan 24 karaktere kadar şifreler üretecektir, ancak bazı web siteleri şifrenizin uzunluğunu sınırlandırıyorsa daha kısa seçebilirsiniz.

karmaşık

Oldukça güvenli olan büyük harf, küçük harf ve sayılar kullanılır. Sözcükler veya ifadeler olmadan tanınabilir bir kalıp izlemezler. URL'niz veya ana parolanız bu dizede yok.

Benzersiz

Her web sitesinin tamamen benzersiz bir şifresi olacaktır. Örnek1.com ve example2.com'un parolaları, başlangıçtaki "içeriklerde" yalnızca bir karakter farklı olmasına rağmen tamamen farklıdır. Aşağıdaki örnekte de görebileceğiniz gibi, "içerikler" ile ortaya çıkan şifre arasında hiçbir bağlantı yoktur ve birbirlerinden ÇOK farklıdırlar.

ana parola:example1.com -> zVNqyKdf7Fmasterparola:example2.com -> eYPtU3mfVw

Depolamak

Hiçbir veri depolar ve iletmez. Endişeniz varsa tamamen çevrimdışı çalıştırılabilir ve birinin onları bulmasının veya çalmasının bir yolu yoktur.

Adım 8: SGP: Kurulum

SGP'yi kurmak çok basittir. İlk olarak, muhtemelen onu yer imleri çubuğunuza eklemek isteyeceksiniz. Bunu yapmak için şu adrese gidin:

chriszarate.github.io/supergenpass/

Aralarından seçim yapabileceğiniz 2 düğme olacak. Genellikle kullandığınız bir bilgisayarı kurmak için sol düğmeyi yer imleri çubuğunuza sürükleyin. Bu size kullanmanız için yeni bir düğme verecektir.

İleride başka birinin bilgisayarını kullanıyorsanız, sağdaki düğmeyi seçebilirsiniz. Bu, tarayıcılarında hiçbir şeyi değiştirmeden SGP'yi kullanmanıza izin verecektir. Aynı zamanda bir mobil tarayıcı için bir seçenektir.

Yer imleri çubuğunuza eklendikten sonra düğmesine tıklayın. Web sayfanızın köşesinde küçük bir pencere açılacaktır. Küçük vitese tıklamak ayarları açacaktır.

Uzunluk

Soldaki sayı üreteceği şifrenin uzunluğudur. En çok kullandığınız sitelere göz atmanızı ve bu sitelerin izin verdiği en yüksek sayıya ayarlamanızı öneririm. 12'den fazla tavsiye edilir, ancak ne kadar uzun olursa o kadar iyidir, özellikle de hatırlamanız gerekmediğinden.

Hash Tipi

Hangi tür karmanın kullanıldığına ilişkin iki seçenek vardır, MD5 ve SHA. Her ikisi de büyük harf, küçük harf ve rakamlardan oluşan şifreler üretecektir. Bunu değiştirmek, aynı ana parolayı korurken tüm parolalarınızı değiştirmenin basit bir yoludur.

Gizli Şifre

Gizli parola bölümü, her şeyin güvenli olduğundan emin olmanın ek bir yoludur. Uygulama başladığında, eğer gizli bir şifreniz varsa, şifre kutusunda küçük bir resim gösterecektir. Bu parola, başladığında HER ZAMAN aynı olmalıdır. Başlıyorsa ve bu görüntü normalde olduğu gibi değilse, birinin ana parolanızı almaya çalışıyor olma ihtimali vardır.

Ana parola

Bu kurulum sırasında gerekli değildir, ancak çok önemlidir. Güçlü bir şifre seçtiğinizden emin olun. Bu, her sitede her zaman girdiğiniz tek bir şifredir. Hatırlayabileceğiniz, ancak karmaşık, uzun ve kişisel olmayan bir şey olduğundan emin olun.

kaydetme

Tüm ayarlarınızı seçtikten sonra, ayarları kapatmak için kaydet simgesine ve dişli simgesine tekrar tıklayın.

9. Adım: SGP'yi kullanın

SGP'yi kullanmak için normalde yaptığınız gibi bir web sitesine göz atın. Parolanızı girmeniz gerektiğinde, yer imi çubuğunuza eklediğiniz SGP düğmesine tıklayın. SGP'yi kurarken gizli bir parola kullandıysanız, parola kutusunda görünen görüntünün, kurduğunuzda olduğuyla eşleştiğinden emin olun.

Ana Parolanızı yazın ve Enter'a basın. Bu, bu web sitesi için benzersiz şifrenizi hesaplayacak ve sizin için dolduracaktır! Ana Parolanızı yazarken simge güncellenecektir. Görüntü, genellikle sahip olduğunuz simgeyle eşleşmiyorsa, Ana Parolanızı yanlış yazmışsınızdır ya da biri parolanızı almaya çalışıyordur.

Sitenin nasıl yazıldığına bağlı olarak SGP şifreyi sizin yerinize giremeyebilir veya site şifrenin girildiğini anlamayabilir. Bu durumda, oluşturulan şifre kutusunun yanındaki kopyala simgesine tıklayıp manuel olarak yapıştırabilirsiniz.

Parolanız girdikten sonra, Oturum Aç'a tıklayın ve işte buradasınız!

Adım 10: Son Düşünceler

SGP herkes için çalışmayabilir ve sorun değil. Mükemmel bir çözüm değil çünkü böyle bir şey yok. Parolalar için kullanmayı sevdiğiniz başka bir hizmetiniz veya yönteminiz varsa, güvenli parola için 6 adımı aklınızda bulundurun. Mevcut yönteminiz bu alanlardan birkaçında yetersiz kalırsa, başka bir çözüm aramanın zamanı gelmiş olabilir. Evet, tüm hesaplarınızı değiştirmek yarım gün sürebilir, ancak bu muhtemelen hesaplarınızın ihlal edilmesinden daha az baş ağrısı olacaktır.

Çevrimiçi depolama hakkında bir not: Hizmet, parolalarınızı çevrimiçi/"bulutta" depoluyorsa, iyi olduklarından emin olmak için güvenlik uygulamalarını kontrol edin. Site, düzgün bir şekilde yapıyorlarsa, şifrelerinizi korumak için ne yaptıklarını size söyleyecektir. Emin değilseniz, onlara bir e-posta gönderin ve sorun. Size iyi/özlü/doğru bir cevap veremiyorlarsa, o hizmeti kullanırken dikkatli olun.