Parola Nasıl Çalışır?
![\"Parola](\"https://www.bulanca.com/wp-content/uploads/2010/11/Parola-Güvenliği.jpg\" "\\"Parola")
Son on yıl boyunca hayatımıza girmiş olan biyometrik yöntemlere rağmen bilgisayarları, verileri ve online servisleri güvenli hâle getirme konusunda öncelikli olarak kullanılan yöntem parola koruması olmaya devam ediyor.
Ev bilgisayarı veya iş odaklı sistem farketmeksizin, ücretsiz olan şifreleme yöntemleri parmak izi okuyucu gibi pahalı cihazlara karşı avantajlı kalmayı sürdürüyor. Bankalar gibi ortamlarda kullanılan donanım esaslı doğrulama sistemleri bile parolaları devre dışı bırakmıyor. Eşsiz bir PIN oluşturan donanım cihazıyla birlikte kullanıcı parolası kullanımı sürüyor.
Buradaki sorun, parolaların içerikleri koruma konusunda açıklar içeriyor olması. Lieberman Software tarafından işletmelerde kullanılan parolalarla ilgili gerçekleştirilen bir araştırmaya göre kullanıcıların %51’i en az on farklı parola ile tüm verilerini koruyor, %42’lik kısımsa aynı parolaları aktif biçimde birden çok sistemde ortak olarak kullanıyor. Parola kullanımı devam edeceğine göre verilerin güvenli durumda kalması için kullanım alışkanlıklarının değişmesi gerekiyor. Gerekli önlemleri almanızın zamanı geldi. Hemen hatırlatalım, bu konumuzda “password” ve “encryption” için TDK tarafından önerilen “parola” ve “şifreleme” karşılıklarını kullanacağız.
Parola Nasıl Çalışır?
Güvenli veya güvensiz bir parolanın ayırt edilebilmesi için her şeyden önce parolaların nasıl çalıştığının bilmesi gerekiyor. Gizli bir kelimenin oturum açma alanına girilmesinden sonra kullanıcı adıyla birlikte düz metin olarak depolanan veritabanı içeriğiyle kıyaslanması fikri daha en baştan açık içeriyor. Düz metin olarak depolanan bir parola, kilitlenmeden kapatılmış ve “hırsızlar buraya” şeklinde bağıran bir kapıya benzer.
Burada önemli olan soru bir parolanın şifrelenip şifrelenmediği değil, ne şekilde şifrelendiği olmalı. Bazı sistemler hâlâ geriye dönme imkânı bulunan basit kodlama tekniklerini esas alıyor. Oturum açıldığında kullanıcı adıyla eşleşen parola kodlanır ve oturum açma işlemi doğrulanır. Bu son derece güvensiz bir yöntem çünkü şifrelenmiş veritabanı dosyasına erişim imkânı elde eden bir hacker ters mühendislik tekniklerini kullanarak şifreleme sistemini çözebilir ve tüm parolaların şifrelenmiş listesini elde edebilir. İşte bu yüzden günümüzde parolaların büyük kısmı kargaşa (hash)adı verilen bir değere dönüştürülür. Kargaşa, tek yönlü matematiksel bir fonksiyondur. Veritabanın da parolanın kendisi değil, fonksiyondan geçtikten sonraki kargaşa değeri saklanır.
Kargaşalı bir parola, tek yönlü bir algoritma kullanılarak şifrelenir; sonuçta uzun bir sayı ortaya çıkar. Fonksiyon çift yönlü olsaydı gerçek parolayı bulmak için çeşitli hesaplama yöntemleri kullanılabilirdi. Oysa kargaşa yönteminde parola tamamen yok edildiği için,şifrelenmiş bir kargaşayı parolaya dönüştürmek imkânsızdır. Bu durumda parolanızı sisteme girdiğinizde fonksiyon yeniden çalıştırılır, kargaşa yeniden oluşturulur ve veritabanında saklanmış kargaşa değeriyle karşılaştırılır.Değerler eşleşirse oturumunuz açılır. Bu kargaşa değerleri listesinin depolandığı veritabanını ele geçiren bir hacker, kullanıcıların parolalarını elde edemez.
Tabii kargaşalı parolalar da tamamen güvenli değil:Aynı parolaların kargaşa değerleri de aynı olacaktır. Veri tabanını ele geçiren hacker, en çok karşılaştığı kargaşa değerlerini tespit ettikten sonra bunlar üzerinde bir sözlük saldırısı gerçekleştirebilir. Bu parolalar muhtemelen sözlükte bulunan kelimeler olduğu için kolayca ortaya çıkabilirler.
Profesyonel hack’lar (örneğin organize suç örgütleri veya devletler için çalışanlar) gökkuşağı tablosu (rainbow table) adı verilen bir yöntemle de kargaşalı parola listelerine saldırabilir.
Gökkuşağı tablosu, belli bir karakter kümesiyle oluşturulmuş belli bir uzunluktaki tüm olası parolaların önceden hesaplanmış kargaşalarını içeren bir listedir.
Bu tür özel listelerin boyutu terabayt seviyesine ulaşır ve oluşturulması için çok ciddi bilgisayar gücü gerekir, ama uygun donanıma sahip birisi parola kargaşalarını gökkuşağı tablosu yardımıyla kısa sürede kırabilir.
İşte bu noktada “tuzlu kargaşa” (salted hash) devreye girer. Şifrelemeden önce parolaya tuz (salt) denilen rastgele bir değer katılırsa, aynı parola kullanılsa bile farklı ve eşsiz kargaşa değerleri ortaya çıkar. Tuzlu bir gökkuşağı tablosu derlemek de mümkün ama ortaya çıkan sonuç aşırı boyutlarda olacağından mantıklı olmaktan çıkıyor.
