Open in app

Sign in

Write

Sign in

Parolaların güvenliği

Ozkan Altunbas
3 min readDec 13, 2022

Bu sıralar sosyal medya da “Türkiye de kullanılan en sık parolalar listesi yayınlandı” adında sürekli gönderiler paylaşılıyor bundan dolayı bunun üzerine bir yazı yazmak istedim.

Öncelikle sık sık karıştırılan Parola ve Şifre kavramlarına bir göz atalım

Parola senin için bir anlam ifade eden yani baktığında bir insanın okuyabileceği metinlerdir örnek verecek olursak

→mySecretPassword123

→qwerty123

yani parola senin bir sisteme giriş yapabilmen için kullandığın kombinasyonlardır.

ama Şifre senin kullandığın parolanın sistemin kendine göre anlayabilmesi için parolanın yazım şeklidir.

Bunu şöyle de düşünebilirsiniz siz bir giriş ekranına kullanıcı adı ve parolanızı girdiniz ve bu bilgileriniz servera şifrelenmiş bir şekilde gitti.

Kullanıcı adınız da parolanız da çeşitli yöntemlerle şifreli bir şekilde sunucuya ulaştı işte arada ki fark bu:)

Şimdi gelelim asıl meselemize;

Parolalarımızı nasıl güvenli hale getirebiliriz ?

Öncelikle şunu unutma senin gibi herkes aynı şeyi düşünüyor “ya benim parolamı kim nasıl bulabilir ki” ya da “bunu kimse düşünmez”

Düşünür güzel kardeşim çünkü kimse uzun uzun parolalar koyup uğraşmak istemiyor. Size bir dosya paylaşacağım şimdi rockyou.txt bu dosya dünya da en çok kullanılan parolaları veriyor size, içerisinde binlerce hatta on binlerce parolalar içeren bir dosya merak edip içerisine bakarsanız eğer belki zamanında koymuş olduğunuz bir parola da vardır :)

Parolanı güvenli hale getirmek istiyorsan eğer parolanı karmaşık sayılar harfler ve numerik karakterler ekleyebilirsin, tabi ki parolan unutacağın bir şey olsun demiyorum ama kendince oluşturduğun bir parola algoritması geliştir.

Şimdi sana birazdan dünya da en çok kullanılan 5 parolayı ve bunun kırılma sürelerini göstereceğim ;

  1. 123456 1 saniyenin altında
  2. password1 saniyenin altında
  3. 1234567891 saniyenin altında
  4. 123451 saniyenin altında
  5. 123456781 saniyenin altında

yani bu parolaların brute force yapılarak kırılmasına bile gerek yok aslında

Peki şöyle düşünüyorsun tamam bunlar kolay milletin hesaplarını nasıl patlatıyorlar ? diyeceksin

Aslında bunun birden fazla yöntemi var;

Birinci Brute force atakları diğeri ise Session Cookielerini çalıyorlar Hackerlar senin parolanla ilgilenmiyor ki gerek yok oturum açtığın Session Cookielerini çalıyorlar. Session Cookielerinin çalınmasını ileride anlatacağım biz şimdi Brute force saldırılarına bakalım.

Brute force

Brute force atakları yani Türkçe karşılığı Kaba Kuvvet saldırısı anlamına gelir. Senin parolanı veya kullanıcı adını çeşitli kombinasyonla sürekli tahmin etmeye çalışıyorlar, tabi bunu oturup kendileri yapmıyor tek tek bunları için yapılmış bazı Toollar var örnek olarak HashCat ,Hydra gibi

Burada örnek olması açısından bir Brute Force saldırısı görmekteyiz. Bu saldırı Hydra isimli tool ile gerçekleştirilmiştir.

Hydra ile yapılan bir Brute Force saldırısı

Hacker burada çeşitli denemelerle şifreyi tahmin etmeye çalışıyor ve buluyor da. Saldırı için bir wordlist (rockyou.txt gibi) saldıracağı ip adresini vermesi yeterli.

Az önce anlattığım rockyou.txt dosyası gibi wordlistler olur bunlar gibi parolaların olduğu listeler ile parolalarını alırlar o yüzden kendine ait olan benzersiz bir parola oluştur.

Peki bu oluşturduğum aklına bir soru daha gelmiştir ben her site için hep farklı farklı parolalar mı oluşturmam lazım ?

Aslında en sağlıklısı bu ama bununla uğraşmak istemezsen sana bir kaç önerim var

  1. Örnek veriyorum Facebook Twitter gibi insanların muhtemelen hesabı olacağı platformlarda aynı parolayı kesinlikle kullanma birini bulurlarsa diğerini de ele geçirebilirler.
  2. Bir şifre seviyesi oluştur, yani güvenilmez ya da bir daha hiç girmeyeceğin bir siteye gidip sürekli kullandığın parola verme bunun yerine böyle sitelerde kullanabileceğin bir parola kullan.
  3. 2FA daima açık olsun İki faktörlü kimlik doğrulaması kullan, tabi bu sistemlerinde kesin kırılamaz diye bir kural yok.
  4. En önemli tavsiyem senin için hayati bilgilere sahip olduğun E-devlet gibi sitelerde kullandığın parolanı başka hiç bir yerde kullanma.

Bunlarla uğraşmak istemeyebilirsin Parola yöneticileri kullanabilirsin bu da bir seçenek mesela 1password parolanı senin yerine şifreli bir şekilde saklıyor.

Senin temel olarak yapman gerekenler bunlar ve son tavsiyem tabi ki bunu yapmazsın ama PAROLANI KİMSEYLE PAYLAŞMA.

Bu adımları eksiksiz uygula ve güvende kal.

Passwords
Cybersecurity
Brute Force
Parola
Siber Guvenlik

--

--

Ozkan Altunbas

Written by Ozkan Altunbas

25 Followers

Cyber Security

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams