Bilgisayar korsanları şifrenizi nasıl kırar?
İnternet ve sosyal medyayı veya herhangi bir web sitesini kullanıyorsanız, internette binlerce bilgisayar korsanı olduğunu ve çevrimiçi hesabınızı veya sosyal medya profilinizi hackleyerek veya başka bir şekilde erişerek size çevrimiçi olarak herhangi bir şekilde zarar verebileceklerini bilmelisiniz. . Hesaplarınızda karmaşık şifreler kullanmazsanız, bilgisayar korsanlarının çevrimiçi hesabınızın şifresini kolayca kırabileceğini duymuş olabilirsiniz. Ama nasıl?
Bilgisayar korsanları şifrenizi nasıl kırar? Bugün bunu tartışalım.
1. Şifre karma
Neredeyse tüm modern web sitelerinin, kullanıcıların şifrelerini asla düz metin biçiminde kaydetmediğini bilmiyor olabilirsiniz. Parolaları kaydetmek için farklı türde karma algoritmalar kullanılır. Facebook'a giriş yaptığınızda, e-posta adresinizi ve şifrenizi girerek giriş yapmalısınız. Hesap oluştururken verdiğiniz şifreyi girerseniz, yani şifre eşleşirse, Facebook ID'nize erişim hakkı kazanırsınız. Şifreyi değiştirirseniz durum farklıdır.
Bir Facebook kimliği oluşturduğunuzda, adınızı, e-posta adresinizi, doğum tarihinizi ve cinsiyetinizi ve en önemlisi şifrenizi girmeniz gereken bir form doldurmanız gerekir. Her şeyi doğru doldurup gönderdiğinizde, sizinle ilgili tüm bu veriler Facebook'un arkasına ve veritabanına gider, yani kaydedilir. Orada adınız, e-posta adresiniz ve doğum tarihiniz düz metin biçiminde kaydedilir.
Ancak, gerçek şifreniz düz metin biçiminde kaydedilmez. Şifreniz önce bir hash algoritması ile hashlenir ve şifrenin şifrelenmiş hash formu çıkarılır. Karma şifrelenmiş sürüm daha sonra kaydedilir. Herhangi bir karma algoritması kullanarak parolayı karma işlemi, parolayı tamamen değiştirir. Örneğin şifreniz TecHubs999 ise, Facebook şifrenizi MD5 hashing algoritması yardımıyla hash ederse, hash şifresi 62a52a1a8d952bb8c7ebdf2b922d4a18 olacaktır.
Facebook bu hash edilmiş şifreyi şifreniz olarak arkalarına ve veri tabanına kaydedecektir. Daha sonra Facebook'a giriş yaptığınızda, girdiğiniz şifrenin hash'i, Facebook veritabanının hash şifresi ile eşleşiyorsa, ID'nize erişirsiniz.
Şimdi varsayalım, Facebook bir veri ihlali kurbanıysa ve bir bilgisayar korsanı Facebook'un arkasına ve veritabanına erişim kazanırsa, bilgisayar korsanının kullanıcı adını, e-posta adresini, Facebook'un tüm kimliklerinin telefon numarasını ve bu hashlenmiş sürümü alacağını varsayalım. kullanıcının şifresi. Ancak bilgisayar korsanı şimdi kullanıcı adı ve şifre karmasını kullanarak Facebook'a giriş yapmak isterse, yapamaz. Şifre yerine hashlenmiş şifreyi girerseniz, Facebook bunu asla kabul etmeyecektir. Çünkü giriş yapılırken gerçek şifre düz metin olarak girilmelidir. Yani şimdi bir bilgisayar korsanı milyarlarca Facebook hesabı için şifre hashleri alırsa, bu hashleri tekrar düz metne dönüştüremezse %1 bile kârı olmaz. Ancak karmaların arkasındaki düz metni çıkarmak neredeyse imkansızdır. Çünkü hashing tek yönlü bir fonksiyondur. Karmasını düz metinden çıkarabilirsiniz, ancak herhangi bir hash'den ovasını çıkaramazsınız. Hash algoritmaları bu şekilde çalışır.
2. Gökkuşağı masası
İşte burada şifrelerinizin en güçlüsü veya en karmaşıkı devreye giriyor. Facebook şifrenizi çok basit tutarsanız, örneğin Test1234 veya 54321 gibi bir şifre kullanırsanız, Facebook şifrenizi hashed formatında kaydetse bile, bilgisayar korsanları kolayca şifrenizi kırın. Nasıl? Rainbow Table yardımıyla. Bir gökkuşağı tablosu, binlerce basit ve çok yaygın olarak kullanılan parola ve her birinin karma sürümleriyle basit bir elektronik tablo gibidir.
Bilgisayar korsanı, parolanızın özetini bu Rainbow tablosunda yaygın olarak kullanılan tüm parolaların karma değeriyle eşleştirecektir. Karma, oradaki bir parolanın karma değeriyle eşleşirse, bilgisayar korsanı parolanızın düz metninin ne olduğunu bilir. Ancak, bu yalnızca Test1234 gibi çok basit bir parola kullanırsanız işe yarar. Bunun nedeni, Rainbow tablosunun yalnızca basit ve yaygın olarak kullanılan parolalar için karma oluşturmasıdır. Bu yüzden her zaman güçlü şifre kullanılmalıdır.
3. Sözlük Saldırısı
Parola karmaşık bir parolaysa, Rainbow tablosunda daha fazla iş yoktur. İşte o zaman Dictionary Attack ve Brutforce Attack çalışmaları başladı. Bu iki şey çok benzer. Sözlük Saldırısı, çok sayıda parola ve bunların karmalarını içeren devasa bir metin dosyasıdır. Çoğu zaman bu eksiksiz parolanın sözlüğü bilgisayar korsanının kendisi tarafından oluşturulur. Burada bilgisayar korsanı, temel olarak, sözlükteki çok sayıda basit ve karmaşık şifrenin karmasıyla elde ettiği parola karmasını karşılaştırır. Hash, sözlükteki hash ile eşleşirse, o hash'in arkasındaki düz metin, hacker'ın istediği şifre olacaktır.
4. Kaba Kuvvet Saldırısı
Temel olarak, bir bilgisayar korsanının Brutforce Attack'ta yaptığı şey, her türlü harf, sayı, sembol kullanmak, milyonlarca farklı türde rastgele şifre oluşturmak ve her birini hash etmektir. Ardından, bu karmaların, sahip olduğu parola karmasıyla eşleşip eşleşmediğine bakın. Herhangi bir eşleşme varsa, o şifre kırılır. Başka bir deyişle, bilgisayar korsanının yaptığı, mümkün olduğu kadar çok parolanın karmalarını çıkarmak ve bulduğu parola karmasıyla eşleşip eşleşmediğini görmektir. Evet, bu doğru, tüm parolaların sonsuz parola karmalarıyla oluşturulması ve eşleşmesi gerektiğinden, artık Yüzüklerin Efendisi olarak tanınabilirsiniz, bu nedenle parola güçlüyse, eşleşmesi veya kırılması yüz milyarlarca yıl alacaktır. parola. Ve bilgisayar korsanının kendisi o kadar uzun süre hayatta kalamaz.
5. Parola tuzlama
Birçok web sitesi, bilgisayar korsanlarının parolaları ele geçirmesini önlemek için tuzlama adı verilen başka bir teknik kullanır. Parola üzerine tuz serpmek gibi. Bu durumda, şifreyi sunucunun veritabanına kaydetmeden önce, şifrenin içine bazı ekstra karakterler eklenir ve ardından hash edilir. Artık hangi karakterlerin şifrelere hash edileceğini asla kamuya açıklamıyorlar. Örneğin, gh34'ün tüm Facebook şifrelerinin ilki ve sonuncusu olduğunu varsayalım! Bu karakterleri ekleyin ve ardından şifreyi hash edin. Yani çok basit bir şifre kullanırsanız, karmaşık ve karma olacaktır. Örneğin, şifreniz test1234 ise, Facebook buna gh34 diyecektir! 1234gh34'ü test edin! Bunu yapın ve ardından Hash yapın, böylece Dictionary Attack, Rainbow Table, Brutforce artık çalışmaz. Ancak şifreyi düz metin olarak girerek hesabınıza giriş yaptığınızda,
Bilgisayar korsanları şifreleri bu şekilde kırar. Daha birçok yöntem var, ancak bunlar birincil yöntemler. Ve burada Facebook'u örnek olarak kullandım. Bu eksiksiz şifre karma sistemi, neredeyse tüm modern sosyal medya ve Google, Instagram, Twitter vb. Web siteleri için aynıdır.
