Veri ihlalleri olduğunda 2010’ların başlarında ara sıra ortaya çıkan bir tehdit olmaktan çıkıp hayatın kalıcı bir gerçeği haline geldiğinde, mağdur kuruluşlar, siber güvenlik araştırmacıları, kolluk kuvvetleri ve sıradan kişiler her olayın sonuçlarını değerlendirdikçe bir soru tekrar tekrar gündeme geliyordu: Hangi parola karma algoritmasının kullanıcı parolalarını korumak için kullanılan hedef?
Yanıt, SHA-1 gibi hatalı bir kriptografik işlevse -hiç şifreleme karıştırması olmadan düz metin olarak saklanan parolaların kabusundan bahsetmiyorum bile- kurbanın endişelenecek daha çok şeyi vardı çünkü bu, verileri çalan kişi için daha kolay olacağı anlamına geliyordu. şifreleri kırmak, kullanıcıların hesaplarına doğrudan erişmek ve insanların yeniden kullanması ihtimaline karşı bu şifreleri başka bir yerde denemek için. Cevap bcrypt olarak bilinen algoritmaysa, paniğe kapılacak en az bir şey daha azdı.
Bcrypt bu yıl 25 yaşına giriyor ve mucit ortaklarından biri olan Niels Provos, geriye dönüp bakıldığında, algoritmanın açık kaynak kullanılabilirliği ve uzun ömürlü olmasını sağlayan teknik özellikleri sayesinde her zaman iyi bir enerjiye sahip olduğunu söylüyor. Provos, WIRED’e bu hafta içinde yayınladığı algoritma üzerine bir retrospektif hakkında konuştu. Usenix ;giriş:. Yine de pek çok dijital işgücü gibi, artık bcrypt için daha sağlam ve güvenli alternatifler var, bunlara scrypt ve Argon2 olarak bilinen karma algoritmalar dahildir. Provos’un kendisi de çeyrek asırlık dönüm noktasının bcrypt için yeterli olduğunu ve başka bir büyük doğum gününü kutlamadan önce popülaritesini kaybetmesini umduğunu söylüyor.
Bcrypt’in bir sürümü, ilk olarak Haziran 1997’de açık kaynak işletim sistemi OpenBSD 2.1 ile piyasaya sürüldü. Ancak Almanya’da büyüyen Provos, Almanya’da yaşarken ve okurken gelişimi için çalıştı.
“Bu kadar şaşırtıcı bulduğum bir şey, ne kadar popüler hale geldiğiydi” diyor. “Bence kısmen [it’s] muhtemelen gerçek bir sorunu gerçekten çözdüğü için, ama aynı zamanda açık kaynak olduğu ve herhangi bir ihracat kısıtlamasıyla yükümlü olmadığı için. Ve sonra herkes diğer tüm dillerde kendi uygulamalarını yaptı. Bu nedenle, bu günlerde, parola karma işlemi yapmak istemekle karşı karşıya kalırsanız, bcrypt, faaliyet gösterebileceğiniz her dilde mevcut olacak. Ama ilginç bulduğum diğer bir şey de, 25 yıl sonra bile hala geçerli olması. Bu sadece çılgınca.
Provos, bcrypt’i Stanford Üniversitesi’nde sistem güvenliği profesörü olan ve Provos ile bcrypt üzerinde işbirliği yaptığı sırada Massachusetts Teknoloji Enstitüsü’nde okuyan David Mazieres ile birlikte geliştirdi. İkisi açık kaynak topluluğu aracılığıyla bir araya geldi ve OpenBSD üzerinde çalışıyorlardı.
Karma parolalar, okunabilir bir şeyden anlaşılmaz bir karıştırmaya kriptografik olarak dönüştürülmek üzere bir algoritmaya konur. Bu algoritmalar, çalıştırması kolay, ancak hash’i oluşturan kişi tarafından bile kodunun çözülmesi veya “kırılması” çok zor olan “tek yönlü işlevler”dir. Oturum açma güvenliği söz konusu olduğunda, fikir şu: Bir parola seçersiniz, kullandığınız platform bunun bir hash’ini yapar ve daha sonra gelecekte hesabınıza giriş yaptığınızda, sistem girdiğiniz parolayı alır, hash’ler yapar. ve ardından sonucu, hesabınız için dosyada bulunan parola karması ile karşılaştırır. Karmalar eşleşirse, oturum açma başarılı olacaktır. Bu şekilde hizmet, parolaların kendisini değil, yalnızca karşılaştırma için karma değerleri topluyor.