Şifreler, kullanıcı hesaplarını yetkisiz erişime karşı korumak için ilk savunma hattı olarak kalırken, güçlü şifreler oluşturma ve bunları koruma yöntemleri sürekli gelişmektedir. Örneğin, NIST şifre önerileri artık parola uzunluğuna karmaşıklığa öncelik veriyor. Ancak karma, pazarlık edilemez bir kalır. Bir veri ihlali durumunda tamamen maruz kalmalarını önlemek için uzun güvenli parolalar bile uyulmalı ve asla düz metin içinde saklanmamıştır.
Bu makale, bugünün siber saldırganlarının karma şifreleri nasıl kırmaya çalıştığını, yaygın karma algoritmalarını ve bunların sınırlamalarını nasıl araştırdığını ve hangi algoritmayı kullandığınıza bakılmaksızın karma şifrelerinizi korumak için alabileceğiniz önlemleri tartışıyor.
Modern şifre çatlama teknikleri
Kötü niyetli aktörler, karma şifreleri kırmak için emrinde bir dizi araç ve yöntem vardır. Daha yaygın olarak kullanılan yöntemlerden bazıları kaba kuvvet saldırıları, şifre sözlük saldırıları, hibrid saldırılar ve maske saldırıları içerir.
Kaba kuvvet saldırıları
Brute kuvvet saldırısı, hesap erişimi elde etmek için aşırı, güçlü deneme yanılma girişimlerini içerir. Kötü niyetli aktörler, çalışma kombinasyonu keşfedilinceye kadar şifre varyasyonlarını sistematik olarak test etmek için özel araçlar kullanırlar. Sofistike olmamasına rağmen, kaba kuvvet saldırıları şifre kırma yazılımı ve grafik işleme birimleri (GPU) gibi yüksek güçlü bilgi işlem donanımı kullanılarak oldukça etkilidir.
Şifre Sözlük Saldırısı
Adından da anlaşılacağı gibi, bir şifre sözlüğü saldırısı, çalışma kombinasyonu bulana kadar bir sözlükten kaba kuvvet şifre varyasyonlarına sistematik olarak kelimeleri çizer. Sözlük içeriği, her ortak kelime, belirli kelime listeleri ve kelime kombinasyonlarının yanı sıra alfanümerik ve alfanümerik olmayan karakterlerle kelime türevlerini ve permütasyonları içerebilir (örn., “A” ile “@” ile değiştirilir). Parola sözlük saldırıları, daha önce sızdırılmış şifreleri veya veri ihlallerinde maruz kalan anahtar ifadeleri de içerebilir.
Melez saldırılar
Hibrit bir şifre saldırısı, daha iyi saldırı çevikliği ve etkinliği elde etmek için kaba kuvveti sözlük tabanlı yöntemlerle birleştirir. Örneğin, kötü niyetli bir aktör, sayısal ve alfanümerik olmayan karakter kombinasyonlarını entegre eden tekniklerle yaygın olarak kullanılan kimlik bilgilerinin sözlük kelime listesini kullanabilir.
Maske saldırıları
Bazı durumlarda, kötü niyetli aktörler belirli şifre kalıplarını veya parametreleri/gereksinimleri bilebilir. Bu bilgi, çatlama çabalarındaki yineleme sayısını ve girişimlerini azaltmak için maske saldırıları kullanmalarını sağlar. Maske saldırıları, belirli bir desenle eşleşen şifre denemelerini kontrol etmek için kaba kuvvet kullanır (örn. Sekiz karakter, bir başkentle başlar ve bir sayı veya özel karakterle biter).
Hashing algoritmaları çatlama yöntemlerine karşı nasıl korunmak
Hashing algoritmaları, dosya bütünlüğü izlemesinden dijital imzalara ve şifre depolamaya kadar sayısız güvenlik uygulaması arasında bir dayanak noktasıdır. Ve kusursuz bir güvenlik yöntemi olmasa da, karma şifreleri düz metin olarak saklamaktan çok daha iyidir. Hashed şifrelerle, siber saldırganların şifre veritabanlarına erişse bile, bunları kolayca okuyamadıklarından veya kullanamadıklarından emin olabilirsiniz.
Tasarım gereği, bir saldırganın şifreleri çatlatma yeteneğini önemli ölçüde engeller, parola çatlamasını, zaman ve kaynak yoğunlaşmasını sağlayarak kritik bir caydırıcı olarak hareket eder, saldırganların odağını daha kolay hedeflere kaydırır.
Bilgisayar korsanları karma algoritmalarını kırabilir mi?
Hashing algoritmaları tek yönlü işlevler olduğundan, karma şifreleri tehlikeye atmanın tek yöntemi kaba kuvvet teknikleridir. Siber saldırganlar GPU’lar ve çatlak yazılımı gibi özel donanım kullanır (örneğin, Hashcat, L0phtcrack, John the Ripper), bir seferde milyonlarca veya milyarlarca veya kombinasyon ölçümünde kaba kuvvet saldırıları yürütmek için.
Bu sofistike amaca yönelik oluşturulmuş çatlama araçlarında bile, şifre çatlama süreleri, kullanılan spesifik karma algoritmasına ve şifre uzunluğu/karakter kombinasyonuna bağlı olarak önemli ölçüde değişebilir. Örneğin, uzun, karmaşık şifrelerin kırılması binlerce yıl sürebilirken, kısa, basit şifreler hemen kırılabilir.
Aşağıdaki çatlama kriterlerinin tümü, bir NVIDIA RTX 4090 GPU üzerindeki araştırmacılar üzerinde specops tarafından bulundu ve Hashcat yazılımı kullanıldı.
MD5
Bir zamanlar endüstriyel bir güç karma algoritması olarak kabul edildiğinde, MD5 artık çeşitli güvenlik güvenlik açıkları nedeniyle kriptografik olarak eksik olarak kabul ediliyor; Bununla birlikte, en yaygın kullanılan karma algoritmalarından biri olmaya devam ediyor. Örneğin, popüler CMS WordPress varsayılan olarak hala MD5 kullanır; Bu, CMS destekli web sitelerinin yaklaşık% 43,7’sini oluşturmaktadır.
Çıkabilen GPU’lar ve çatlak yazılımı ile saldırganlar, MD5’in 128 bit karması tarafından 13 karakter veya daha az sayısal parolaları anında kırabilir; Öte yandan, sayılar, büyük/küçük harfler ve sembollerden oluşan 11 karakterlik bir şifre 26.5 bin yıl sürecektir.
SHA256
SHA256 Hashing algoritması, Ulusal Güvenlik Ajansı (NSA) tarafından tasarlanan ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından piyasaya sürülen güvenli karma algoritma 2 (SHA-2) karma fonksiyonlarına aittir. Kusurlu SHA-1 algoritmasında bir güncelleme olarak SHA256, günümüz güvenlik uygulamaları için uygun sağlam ve son derece güvenli bir algoritma olarak kabul edilir.
Uzun, karmaşık şifrelerle kullanıldığında, SHA256 kaba kuvvet yöntemleri kullanılarak neredeyse aşılamaz – sayılar, üst/küçük karakterler ve sembollerin GPU’lar ve çatlama yazılımı kullanılarak çatlaması 2052 yıl sürer. Bununla birlikte, saldırganlar anında sadece sayısal veya küçük harfli karakterlerden oluşan dokuz karakterli SHA256 engelli şifreleri kırabilir.
Bcrypt
Güvenlik uzmanları, hem SHA256 hem de BCrypt’i modern güvenlik uygulamaları için yeterince güçlü karma algoritmaları olarak görüyorlar. Bununla birlikte, SHA256’nın aksine, BCrypt, tuzlama kullanarak karma mekanizmasını destekler – benzersizliği sağlamak için her şifre karma için rastgele bir veri parçası ekleyerek BCrypt, şifreleri sözlük veya kaba kuvvet denemelerine karşı oldukça esnek hale getirir. Ek olarak, BCrypt algoritmayı çalıştırmak için yineleme sayısını belirleyen bir maliyet faktörü kullanır.
Bu tuz ve maliyet faktoring kombinasyonu BCrypt’i sözlük ve kaba kuvvet saldırılarına son derece dirençli hale getirir. GPU’lar ve çatlama yazılımı kullanan bir siber saldırganın, sayılar, büyük/küçük harfler ve BCrypt tarafından eşleştirilen sembollerden oluşan sekiz karakterli bir şifreyi kırması 27.154 yıl sürecektir. Bununla birlikte, sekiz karakterin altındaki sayısal veya küçük harfli bcrypt şifreleri çatlamak için önemsizdir ve birkaç saniye ile birkaç saniye arasında uzlaşmak.
Hackerlar Hashing algoritmalarını nasıl aşar?
Hashing algoritmasından bağımsız olarak, ortak güvenlik açığı kısa ve basit şifrelerdir. Sayıları, büyük harfleri ve küçük harfleri ve sembolleri içeren uzun, karmaşık şifreler, şifre gücü ve esneklik için ideal formüldür. Ancak, şifre yeniden kullanımı önemli bir konu olmaya devam etmektedir; Yalnızca bir paylaşılan şifre, ne kadar güçlü olursa olsun, zayıf güvenli bir web sitesinde veya hizmette düz metin olarak saklanan siber saldırganlara hassas hesaplara erişim sağlayabilir.
Sonuç olarak, siber saldırganların, modern karma algoritmalarıyla güvence altına alınan uzun, karmaşık şifreleri çatlatmaya çalışmak yerine, karanlık web’den ihlal edilmiş kimlik bilgileri ve maruz kalan şifre listeleri alma olasılığı daha yüksektir. BCrypt ile uzun bir şifreyi kırmak, amaca uygun donanım ve yazılımla bile neredeyse imkansızdır. Ancak bilinen bir uzlaşma şifresi kullanmak anında ve etkilidir.
Kuruluşunuzu ihlal edilen şifrelere karşı korumak için, specops şifre politikası, etkin dizininizi sürekli olarak 4 milyardan fazla benzersiz uzlaştırılmış şifreden oluşan bir veritabanına karşı tarar. Ücretsiz bir deneme için iletişime geçin.