[Nasıl] Güvenilir şifre nasıl olmalı?

Başlatan munirekinci, 11 Mayıs 2008 - 16:30:17

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

munirekinci

Yazının güncel hali için;
http://munirekinci.wordpress.com/2008/12/20/guvenilir-sifre-nasil-olmali/



Günümüzde hayatımızın birçok yerinde birçok şeyin güvenliğini/gizliliğini sağlamak için şifre kullanırız. Peki bu şifrelerin yeterince güvenilir olması için nelere dikkat etmeliyiz?

Öncelikle belirtmek isterim ki, şifrenin uzunluğu şifrenizi güçlü yapar. Ancak bundan şu yorumu çıkarmamalı "Uzun şifreler kısa şifrelerden her zaman daha güvenilirdir", bu yanlış bir yargı çünkü şifre uzunluğu güvenliği etkileyen sadece bir faktördür. Yani az sonra bahsedeceğim diğer etkenler zayıf iken şifreyi uzun tutmanız güvenlik açısından ileri düzeyde olduğu gibi bir anlam ifade etmez.

Güvenilir (kırılması zor) bir şifrenin özellikleri;

1- İçerisinden en az 1 tane küçük harf içermeli, (a,b,c,...) (Çok güvenilir olsun istiyorsanız 2 tane kullanmanızı öneririm)

2- İçerisinde en az 1 tane büyük harf içermeli, (A,B,C,...) (Çok güvenilir olsun istiyorsanız 2 tane kullanmanızı öneririm)

3- İçerisinde en az 1 tane rakam içermeli, (1,2,3,...) (Çok güvenilir olsun istiyorsanız 2 tane kullanmanızı öneririm)

4- İçerisinden en az 1 tane özel karakter içermeli, (@,!,?,^,+,$,#,&,/,{,*,-,],=,...) (Çok güvenilir olsun istiyorsanız 2 tane kullanmanızı öneririm)

5- Eğer yurtdışına çıkma gibi bir olasılığınız yoksa en az 1 tane Türkçe karakter içermeli, (ç,ö,ş,ı,ğ,ü) (Çok güvenilir olsun istiyorsanız 2 tane kullanmanızı öneririm)

6- Anlamlı hiçbir kelime içermemeli, (Herhangi bir sözlükte geçebilecek herhangi bir kelime)

7- Size ait anlam ifade eden hiçbir şey içermemeli, (doğum tarihiniz, sevgilinizin ismi, arabanızın modeli, kullandığını işletim sisteminin adı,...)

8- Aynı karakterler defalarca veya peşpeşe kullanılmamalı, (aaa, 111, XXX, ababab,...)

9- Sıralı karakterler kullanılmamalı, (abcd,qwert,asdf,1234,zxcvb,...)

10- Bütün hesaplarda aynı şifreyi kullanmamalı, (sahip olduğunuz bütün hesaplarda biririnden farklı şifre kullanmak hafızanızı fazlasıyla yorar, bu sebeple aynı güvenliğe sahip hesaplarda aynı şifreleri kullanabilirsiniz. Örneğin Google, IBM gibi güvenilir web sitelerinde aynı şifreyi kullanmanız sorun çıkartmaz. Hesaplarınızın güvenilirliğini kategorize edip, her kategori için [Çok güvenilir, Güvenilir, Güvensiz] ayrı şifre kullanmanız önerilir.)

11- Şifreler güvenilmeyen ortamlarda asla kullanmamalı, (windows, güvenilmeyen yazılımlar, güvenilmeyen internet siteleri, internet cafe, başkalarının bilgisayarı,...)

12- Şifreyi yazılması gereken label dışındaki hiçbir yere yazmamalı, (Dalgınlıkla kullanıcı adı labelına şifreyi yazmak gibi...)

13- En az 6 haneli olmalı. (Çok güvenli olmasını isteyenlere 8 haneli şifre kullanmalarını öneririm)


Not: Sadece küçük harfler kullanılarak oluşturulmuş 8 haneli bir şifre ile 8 haneli güvenilir bir şifreyi kıyasladığımızda.

a=32**8
b=104**8
c=b/a
c=12447

gibi bir sonuç çıkar. Yani 8 haneli güvenilir bir şifre 8 haneli basit şifreden en az 12447 kat daha güvenilirdir.


Bütün bu dediklerimi özetleyecek biçimde birkaç tane güvenilir şifre örneği vereyim;

^H5mÇ
x5/şU
Ty$ç7)


Çok güvenilir şifre örnekleri;

M&y2ş<G7
b½d8Y{Oö
v^4+U,n8ç

Not: Çok uzun olmadıklarına aldanıp güvensiz olduğunu zannetmeyin, aşağıdaki bütün şifrelerden daha güvenilir bunlar.


Güvensiz şifre örnekleri;

Firefox3beta5
bukadaruzunolsabileanlamlıolduğusürecetehlikevar
1453istanbul
ubuntuwindowsudöver
murat124
1919-05-19
komikinsanınkomikşifresi
zortmailSifresi
forumşifresi
a4tech
mplayer
debian4etch


Faydalı olması dileğiyle.

Münir Ekinci

ufuk_k

sudo aptitude install pwgen Ek olarak bu tip şifreleri üretmesi için konsoldan çalışan pwgen programını kullabilirsiniz. Parametreleri seçip bu tip şifreler üretebiliyor. man pwgen ile bilgi alabilirsiniz.

munirekinci


heartsmagic

Böyle güzel bir başlık sabitlenmez mi :)
Teşekkürler.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

munirekinci


mccaner

şifreleme güzenliği çok güzel
de
ben dosyaları şifrelemek istersem veya
farklı bir kullanıcı oluşturp şifresiz giriş yapacam fakat windowstaki kısıtlı kullanıcı tipinde bir uygulamayı nasıl oluştururum? mesala benim kullanıcı klasörlerimi göremiyecek veya izin vermediğim disklere ulaşamıyacak gibi.
bu konuda biraz uğraştım ama pek başarılı olduğum söylenemez.
teşekkürler

heartsmagic

man chmod

son derece yeterli olur sanırım. O dediğin şekilde bir uygulama hiç kullanmadım, ancak chmod ile at bile koşturulur.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

ufuk_k

Encryption ile oluyor dediğiniz bir de, az biraz zahmetli gibi gözükse de şifre girerek görmenizi sağlıyor.

https://help.ubuntu.com/community/FolderEncryption Buradaki yönergeleri uygulayarak ben yapmıştım, sorun çıkmamıştı. Zaman olursa çevirmeyi düşünüyorum.

erginemr

#8
Çok güzel başlık, teşekkür ederim.

Ben de oluşturduğunuz şifrelerin güvenirliğini test edebileceğiniz birkaç site vereyim:
1. http://www.passwordmeter.com/
2. http://www.securepasswords.net/site/TestPassword.html
3. https://sun.athnic.net/password-test.html
4. http://rumkin.com/tools/password/passchk.php
5. http://www.microsoft.com/protect/yourself/password/checker.mspx (ama dikkat M$ :))

munirekinci

@enginemr şifre güvenlik testleri güzelmiş. Hemen hepsi benim şifreme 100 üzerinden 100 verdi.

Ertan ERBEK

Nacizane fikrim olarak bu söylenenlere ek olarak,

* Kullanılan programlarda belli sayıda yanlış şifre girişinde kullanıcıyı belli süre geçersiz kılabilme özelliği aranmalı.

* Linux gibi sistemlerde ardarda yapılan giriş istekleri ( ftp, ssh ) belli limitler ile sınırlandırılmalı.

* En güvenli şifre sıklık ile değiştirilen şifredir, bunun nedeni şifre kırıcı programların genellikle belli kütüphaneler ve algoritmalar ile sürekli şifre deneme esasına göre çalışmasıdır.
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

10ur_kaan

benim bilgisayarımın şifresi 123456789 cok zor şifrem var galiba :D :D :D :D

emreseckin


altintasi

Ben Linux host'umda bulunan şifre üretecini kullanıyorum. Sağolsun çılgın şifreler türetiyor. :)
Bilemiyorum Altan, bilemiyorum...

D@bbe


poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

Mr_YAMYAM

Şifreler için bilimsel açıklama.
Bir şifre klavye ile sisteme girilir. Klavye karakterleri öncelikle ASCII kodları ile çözümlenir.
Günümüzün klavyeleri 102 tuşludur. 102 adet ASCII kodu. (Kabaca)
Ancak klavyemizdeki bazı kaydırma tuşları ile bu kodları değiştirebiliriz.
İlk bilinen SHIFT tuşudur. Shift tuşuna bastığımızda takribi 102 karakter daha devreye girecektir.
Bir kaydırma tuşumuz daha bulunmaktadır. ALT.
Bu kaydırmayı kullandığımızda da bazı özel karakterlerin yazılabildiğini görebiliriz.
Demekki şifre oluştururken SHIFT+ALT ve normal karakterleri kullanacak olursak ortaya akıl almaz bir kombinasyon çıkacaktır.
Örnek şifre:
Ah*?3$
Güvenlik seviyesi çok üst seviyedir :D

cagriemer

#16
Bir sifrenin ataklara dayanikliligi bit cinsinden entropisi ile olculur. Bilgi kuraminda entropi, bir mesajda iletilen bilginin beklenen degerini ifade eder. Ornegin ben A kisisi olarak her gun ayni saatte B kisisine 1 karakterlik bir mesaj yolluyor olayim. Bu iletisimi bilen ve yolladigim mesajlari gozleyen E kisisi, tek bir karakter yolladigimi biliyor fakat bu karakterin ne oldugunu bilmiyorsa yolladigim mesajin entropisi o mesajin alabilecegi bit cinsinden degerdir. Turkcede 29 karakter oldugundan bir karakterin entropisi log2(29) olur. O da asagi yukari 4.9 bittir. Yani E kisisi 4.9 bitle ifade edilebilecek butun mesajlari yazdiginda, benim yolladigim mesaj kesinlikle o listenin icinde olacaktir. Sifrelerin kaba kuvvet ataklarina dayanikliligi da E kisisi tarafindan olusturulan bu listenin buyuklugunun bir olcusudur.

Ah*?3$ sifresiyle bir ornek yapalim. Ornekteki sifre ASCII tablosunun space tusu haric ekrana yazdirabildigi karakterler kullanilarak olusturulmustur. Bu tablo 95 karaktere sahiptir (space haric). log2(95) degerini bulalim ve bir karakterin entropisini ogrenelim. Bu deger 6.6'ymis. Bir karakter 6.6 bit entropiye sahipse 6 karakterden olusan bu sifre toplamda 39.6 bit entropiye sahiptir diyebiliriz. Yani 40 bitle ifade edilebilen karakterden olusan tum sifreleri derleyen bir saldirgan bu sifreyi kesinlikle bulacaktir. Gunumuzde buyuk capta saldirganlar icin 50 bitin cok kolay olmasa da kirilabilir oldugunu soylersek pek yanilmis olmayiz. Dolayisiyla ornekteki sifre icin ust duzey guvenlik saglayan bir sifre diyemeyiz. Benim onerim en az 64, mumkunse 80 bit entropiye sahip sifreler olusturmaktan yana eger bu sistemle devam edilmesi gerekiliyorsa. 80 bit icin tanesi 6.6 bitten 13 karaktere ihtiyaciniz var.

Bu tip insana eziyet veren sifrelerden vazgecelip hatirlamasi cok daha kolay olan diceware yontemine donulecekse o zaman da 80 bit icin 7 kelimelik bir parola belirlenmesi gerekir. Tabii bu orijinal listeyi kullandiginiz varsayilarak verilmis hesaplama.

Unutmadan, su[1] konuya da goz gezdirmekte fayda var.

Ekleme: Benim tercihim bir sifre yoneticisi kullanmak yonunde. Kullandigim servislerin hemen hemen hicbirine ait sifreyi bilmiyorum. Cunku bu sifreler rastgele olusturulmus (apg[2] bu is icin iyi bir arac) asagi yukari 30 karakterlik sifreler. Sifre yoneticimi ise 8-10 kelimelik bir diceware parolasi ile koruyorum. Bu parolayi da asagi yukari 3-6 ayda bir degistiriyorum. Kelime sayisi bu yuzden 8 ile 10 arasinda. Her seferinde sabit bir kelime sayisi kullanmiyorum.

[1] https://forum.ubuntu-tr.net/index.php?topic=51221
[2] http://packages.ubuntu.com/xenial/apg