Şifre Kombinasyonları & Alınabilecek Önlemler

Şu anda konuyu okuyanlar (Üyeler: 1, Ziyaretçi & Botlar: 0)


Umut YAZGAN

Güvenlik & Linux & Grafik
Yönetici
Moderatör
Katılım
9 Mar 2016
Mesajlar
1,809
Puanları
113
Konum
İstanbul / Beyoğlu
passifre.jpeg

Selamlar, Güvenlik kategorisi takipçileri! bugün sanırım bahsedebileceğimiz en önemli şeylerin başında gelebilecek olan, Şifreler ve belirli kombinasyonları hakkında bir büyük beyin fırtınası yaratacağız sizlerle beraber. Güzel ve yararlı bir içeriğe dönüştürebilirsek eğer bu işi, sabite de alabiliriz. Biliyorum hepimiz "Bir şifredir ne olacak yahu? kim bunu tahmin edebilecekte benim hesabımı çalabilecek?" diye düşünüyoruz. Yani en azından kendimden pay biçiyorum, ben de önceden bu şekilde düşünürdüm ve önemsemezdim haliyle. Sonra gün geliyor, buzdağının görünmeyen kısımını merak ediyorsunuz... Merak etmekle kalmıyorsunuz içeriklerine kadar sızıyorsunuz. Diyorsunuz ki sonrasında "Hayır, yanlış yapıyormuşum sahiden eski belirlediğim şifrelerimi güncellemeliyim." Bahsini geçirdiğim şey için, bu crypt ve decrypt mantığını iyi analiz etmeniz gerekir. Encryption/Decryption, Hash'ler Ve Kriptoloji şu konuda belirttiğim şey hakkında bilgiler vermeye çalıştım faydalanılabilir.

"Devlet sırrı mı var da benim hesabımı kim ne yapacak?" şimdi şöyle bir şey var ki, hayır zaten kullanılan hesapta derin meselelerin söz konusu olması mesele değil. 2019'da bir teknoloji çağında yaşamımızı sürdürüyoruz... ve siber güvenlik analizcileri, müdahale merkezleri, pentester'lar bu mesleği sadece zevk olsun diye yapmıyorlar. SDN'e kayıt olurken dahi e-mail kullanıyoruz, bir elektronik postadan faydalanıyoruz. Bu sadece SDN için geçerli değil, bugün birçok web sitesine girin ve kayıt olmaya çalışın sizden e-mail belirtmenizi ve bir şifre oluşturmanızı ister. Örneğin bankaları ele alalım, yatırımı olmayanlar için belki problem değil ama illa ki bir yerlerde bir bankada hesabı olan birileri var.

Tamam şimdi kilit noktaya geleceğiz... Bir kredi kartınız olduğunu farz edin (Kullanmayan kaldı mı bilemiyorum.) bunun hesap özeti, ekstresi bilimum zamazingosu sizin bankaya tanımlattığınız e-posta adresine, telefon numaranıza gelmiyor mu? geliyor değil mi. Oldu ki (ve önlem alınmadığı takdirde oluyor emin olun) e-mail'iniz hacklendi hoop tüm bilgileriniz yabancı ellerde! hoş mu bu değerli dostlarım? değil. Başınıza gelirse ki umarım gelmez hiç hoşnut olmayacaksınız dolandırılmaktan, aldatılmaktan.

Bugün televizyonu takip edenler için söylüyorum, hergün rastladığımız iğrenç havadisler; "Bilmem ne kişisi şu kişiyi dolandırdı (röportaj yaparlar o kişilerle ve dersiniz ki hiç mi kafatasının içinde bulunan organını kullanmıyor bunlar?) "Şöyle bir şahısta şunun parasını, bla bla... eşyasını gasp etti" (tuhaf bir bakış atar kalırsınız.) Evet üzülerek belirtmek lazım ki, bu kesinlikle topluma ve yörelere mâl edilecek bir mesele değildir. Bu neslin ve insanlığın suçudur. Değerli dostlar, hayatta hiçbir şeyden zevk almayan ve enerjisini tamamen söndürmüş insanlar daima tehlike getirirler.

Yine unutmamak lazım ki insanın en önemli kaynağı "Para" uğruna yapamayacağı şey yoktur. Yani yanlış anlaşılmasın bu tür kişiler böyle düşünürler... La casa de papel dizisindeki gibi herkesin bir darphane indirme planı olmuyor tabi. Hayata her zaman olumlu yaklaşın da o gerçekçiliğinizi hiç kaybetmeyin... Şimdi bu şey, teknolojik çağda bu yerini siber soygunlara bırakıyor. Evet, bizim hemen yukarıda belirttiğimiz olabilitesi yüksek, olmuş senaryoların günümüzdeki karşılığı "Siber gasp"dır.

Velhâsıl kêlam... Forumda dönen bir konu hatırlıyorum, yine bu şifreler üzerineydi şimdi başlığı aklımda değil. Orada bir post atmıştım, "O kadar fazla şifre değiştiriyorum o kadar farklı Kombinasyon var ki unutuyorum... Zaten ben dün ne yediğimi bile unuturum" doğru. Gerçi, bu unutkanlık meselesi biraz sonradan oldu ama diğer şeyler tamamen doğru. Demiyorum ki devr-i dünyadaki her gün şifre değiştirin... Güzel kombinasyonlara sahip bir şifre belirlersiniz, kafanız rahat olur daha da ellemezsiniz. Şifre ve güvenliğe dikkat etme konusunda çok büyük zaaflarımız var. Bunu şahsen nereden anlayacağımı soracak olursanız, size derim ki; SDN'de biliyorsunuz yeni düzenle birlikte, ve spam sorununa önlem amacıyla "Onaylı üyelik" sistemini hayata geçirdik ve halihazırda kullanıyoruz. Dostlar, sisteme düşen yani kullanıcı tarafından belirlenmek istenen nickname'lere ve belirlenen e-posta adreslerini görseniz, "Yahu evet bu kadar da olmaz" diyeceğinize tüm samimiyetimle inanıyorum.

Şuraya bir random atalım (asdsads neyse hep düşünürüm şu gülme şeklinden ne anlıyorlar? klavye kısayolu varken emojisi varken...) nickname tamam. Şimdi şifre istiyor orayada n'apsam? bir random da oraya atayım hatta dur 1234567890 ohoo kim akıl edecekte bulacak bunu ya, kayıt butonu... Şimdi şunu anlatırken tebessüm ettirebilir belki doğrudur ben de yazıyı hazırlarken etmiyorum değil bu iç cümlelerde. Ama acı bir gerçektir bu. Şimdi sizlere bu şifrelerin, buna e-posta'da dahil olabilir hangi yöntemlerle ele geçirildiğini ve mantığının, alt zemininin nelerden oluştuğunu anlatmaya çalışacağım.

Random (rastgele) şifreler farazi; zafiyet severlerin (script kiddie, lamer, coder, hacker) arkadaşlarımızın belki de hiç zorlanmadan ele geçirdiği şifreler niteliğini taşıyorlar. Böyle kafadan klavyeye yazdırılan her türlü kombinasyonun, mantıksal olarak bir düşüncesi ve yazılımsal olarak karşılıkları vardır. Bu ilk öncelikle kişiye göre yapılabilecek analizle, daha sonrasında ise dictionary (sözlük saldırısı), bruteforce (zorbalık, kaba kuvvet saldırısı), rainbow table (gökkuşağı tablosu saldırısı), sosyal mühendislik, phishing (oltalama) vb. değişecektir. Emin olunuz, rastgele şifreler sadece mantık analizi ile decode (çözülebilecek) şeyler. Diğerlerine gerek dahi kalmıyor... Sonradan belirttiklerim, daha zor kombinasyonlar için geçerli olan yöntemler. Şimdi böyle biraz hırsıza yol göstermek gibi oluyor ama, burada her zamanki gibi bu araçların kullanımından detaylı bilgisinden bahsetmeyeceğim. Zira bunların hangi amaçlarla kullanılacağını bilemeyiz, o yüzden kimsenin kulağına kar suyu kaçırmaya gerek yok. :)

Yavaş yavaş yazının sonuna doğru gelelim galiba ellerim ağrıdı. (Nükte yapıyorum...) ama sahiden yazının sonuna doğru ulaştık... Şimdi sizlere ne tür şifrelerin kolay çözülebildiğini ve nasıl kombinasyonlar tercih ederseniz bu işten zarar değil, yarar sağlarsınız onu göstereceğim.

En Çok Kullanılan ve Hatalı Şifre Kombinasyonları

123
12345
123456789
1234567890
09876
0987654321 (Tersten yazınca bulunmayacak yani öyle mi?)
qwerty
fwerty (Bunu bilerek ekledim)
qwe
qwertyuıop
asdfghjkl (Tam bir random örneği)
zxcvbnmöç (Aynı şekilde)
robot123 (Bilinen bir kelime kullanıyorsun, ayrıca 123 eklemen seni kurtarmayacak.)
forummmmm (M'yi uzayın derinliklerine kadar da uzatsan bulunur)

*Bunlar tabi farz-ı misal şeyler örnekler... Ama tam olarak mesele bunlar üzerine dönüyor.

Aslında Kullanılması Gereken Doğru Şifre Kombinasyonları

robotYüzYirMiÜç3 (robot yine aynı robot ama takdir edersin ki, sayıyı hem harfle belirttin hem yine sondaki sayısı üç yaptın. Altın vuruşu yine 3'ü sayıyla yazarak yaptın.)

F0RuMgibjforum (harf yerine sayı kullandın, büyüklü küçüklü kombinasyon denedin, i'yi j yaptın. i harfini niye j yaptım bu örnekte biliyorum counter strike oynarken nicklerden hafızamda kalmış.)

+Qweryden*vazge)cemiyorum+ (özel karakterler kullandın, ve qwerty klavyeden vazgeçemiyorsun...)

/FKLAVYEtam^B3NL!K? (Mesela... Tercihler ve zevkler değişiyor sonuçta.)

Gibi gibi... Türetebilirsiniz değerli dostlarım, kendinize iyi davranın, güvenle ve SDN ile kalın. :)

SDN/Forum adına hazırlanmıştır, alıntı değildir.
 
Son düzenleme:

Usain

Freedom
Yönetici
Mod. Adayı
Katılım
17 May 2018
Mesajlar
4,867
Puanları
113
Şifreyi zor koymak böyle yerler için gereksiz. Mesela bir benim sdn hesabımı ele geçirse ne işine yarar ki?
 

Umut YAZGAN

Güvenlik & Linux & Grafik
Yönetici
Moderatör
Katılım
9 Mar 2016
Mesajlar
1,809
Puanları
113
Konum
İstanbul / Beyoğlu
Şifreyi zor koymak böyle yerler için gereksiz. Mesela bir benim sdn hesabımı ele geçirse ne işine yarar ki?
SDN hesabı da olsa bu bir tür alışkanlık gibi bir şey. Yani bu alışkanlığı edinip aslında her mecrada bunu uygulamak gerekir.

kolayı var her şifreyi bir tek şifre ile korursun 😉
Her yerde aynı şifreyi kullanmaktan bahsediyorsak, bu pek güvenli olmaz.
 

Usain

Freedom
Yönetici
Mod. Adayı
Katılım
17 May 2018
Mesajlar
4,867
Puanları
113
En iyisi parmak izi. Samsung Pass sağolsun uzun süredir çoğu yerde şifre girmiyorum. Tek eksisi parmağım çizildiğinde, deforme olduğunda, zarar gördüğünde bir yere giremiyorum. (Şifreleri unutmuş oluyorum:))
 

Furkan0223

Asistan
Katılım
29 Eyl 2018
Mesajlar
299
Puanları
43
SDN hesabı da olsa bu bir tür alışkanlık gibi bir şey. Yani bu alışkanlığı edinip aslında her mecrada bunu uygulamak gerekir.


Her yerde aynı şifreyi kullanmaktan bahsediyorsak, bu pek güvenli olmaz.
Ondan bahsetmiyorum dediğim şey şu bütün parolalarını tek bir paroladan yönetmekten bahsediyorum. Bütün parolalarını bir tek paroladan yönetmek
 

Furkan0223

Asistan
Katılım
29 Eyl 2018
Mesajlar
299
Puanları
43
virüs programında var bütün parolalarını kaydediyorsun sonra onların bulunduğu klasöre şifre koyuyorsun bütün parolalarını ordan tek bir şifre ile yazarak görüyorsun
 

Usain

Freedom
Yönetici
Mod. Adayı
Katılım
17 May 2018
Mesajlar
4,867
Puanları
113
virüs programında var bütün parolalarını kaydediyorsun sonra onların bulunduğu klasöre şifre koyuyorsun bütün parolalarını ordan tek bir şifre ile yazarak görüyorsun
Samsung Pass gibi işte. Onda da parmak izi ile ister şifreleri görüyorsun ister direkt kullanıyorsun. ;)
kolayı var her şifreyi bir tek şifre ile korursun 😉
Yani ben bunu zaten yapıyormuşum.;)
 

Umut YAZGAN

Güvenlik & Linux & Grafik
Yönetici
Moderatör
Katılım
9 Mar 2016
Mesajlar
1,809
Puanları
113
Konum
İstanbul / Beyoğlu
virüs programında var bütün parolalarını kaydediyorsun sonra onların bulunduğu klasöre şifre koyuyorsun bütün parolalarını ordan tek bir şifre ile yazarak görüyorsun
Şöyle düşün, tüm kullandığın parolaları bir yere kaydediyorsun... Hepsinin bulunduğu yere tek bir şifre atıyorsun. Şimdi o şifrenin çözüldüğünü düşün, hepsine birden erişim sağlanacak.
 
Üst
stat counter