Araştırmacılar SHA-1 ve Genel Şifreler Hakkında İlginç Veriler Elde Ettiler
Kendisini ‘Şifre araştırma topluluğu’ olarak adlandırılan CynoSure Prime adlı grup, reverse hash yöntemi kullanarak Troy Hunt’ın Have I Been Pawned veritabanından 320 milyon şifreyi ele geçirdi. Topluluk, başka bir grup araştırmacıyla daha çalışarak, sızdırılan şifre listelerinden ilginç bilgiler ele geçirildi.
CynoSure Prime’ın açıklaması şu şekilde oldu;
‘Yaygın şifreleri hesap açma esnasında engellemenin web sitelerinin genel şifre güvenliğine olumlu etkileri var. 320 milyon sızdırılmış şifreyi kara listeye almak, ilerde şifre güvenliğini geliştirmek için iyi bir fikir gibi görülebilir, bunlar kullanılabilirlik üzerinde ön görülemeyen sonuçlar doğurabilir. Geleneksel kara liste yaklaşımları, çoğunlukla en yaygın 10 bin şifreyi içeriyor ve böylece tahmin edilen saldırı sonuçlarını sınırlandırmak için kullanılıyor. Şimdiye kadar kara liste genişliğinin optimum denge sağladığını destekleyen bir kanıt ise bulunmuyor.’
Eğer Infosec topluluğunun düzenli bir parçası değilseniz, CynoSure Prime’ı muhtemelen sadece birkaç yıl önce gerçekleşen Ashley Madison saldırısından tanıyacaksınızdır. O zaman dahi, 2015’ten bu yana CynoSure sadece bir dizi açıklama yapmıştı. Ne olursa olsun, araştırmanın etkileyici olduğunu söyleyebiliriz ve alınacak bazı dersler var.
Daha da ileri gitmeden önce, hashing teriminin anlamını açıklayalım. Hashing, bir dizi karakteri daha kısa hâle, genellikle bir değer ya da anahtara çevirme hâlidir. Genellikle endekslemede ve veritabanındaki nesneleri bulmada kullanılır. Fakat aynı zamanda başka fonksiyonları da vardır.
SHA 1’in Mezarı
Hunt’ın veritabanında 15 farklı hashing algoritması ortaya çıkarken, bu şifrelerin büyük çoğunluğu eski SHA-1 yöntemiyle hash edilmişti. SHA-1 resmi olarak birkaç yıl önce modası geçmiş kabul edilirken, bu sırada Google da araştırmaya milyonlarca dolar ve zaman harcamıştı.
Büyük çoğunluk araştırmacıların sözünü kıstas alarak, SHA-1’in savunmasız olduğunu kabul etmişti. Google ise SHA-1’in hâlâ ‘ölü’ olmasına sevinecek gibi duruyor.
CynoSure, 320 milyon hash arasından hepsini ele geçirdi fakat sadece 116 tanesinde yüzde 99.9999 başarı oranına erişildi.
Kendisini ‘Şifre araştırma topluluğu’ olarak adlandırılan CynoSure Prime adlı grup, reverse hash yöntemi kullanarak Troy Hunt’ın Have I Been Pawned veritabanından 320 milyon şifreyi ele geçirdi. Topluluk, başka bir grup araştırmacıyla daha çalışarak, sızdırılan şifre listelerinden ilginç bilgiler ele geçirildi.
CynoSure Prime’ın açıklaması şu şekilde oldu;
‘Yaygın şifreleri hesap açma esnasında engellemenin web sitelerinin genel şifre güvenliğine olumlu etkileri var. 320 milyon sızdırılmış şifreyi kara listeye almak, ilerde şifre güvenliğini geliştirmek için iyi bir fikir gibi görülebilir, bunlar kullanılabilirlik üzerinde ön görülemeyen sonuçlar doğurabilir. Geleneksel kara liste yaklaşımları, çoğunlukla en yaygın 10 bin şifreyi içeriyor ve böylece tahmin edilen saldırı sonuçlarını sınırlandırmak için kullanılıyor. Şimdiye kadar kara liste genişliğinin optimum denge sağladığını destekleyen bir kanıt ise bulunmuyor.’
Eğer Infosec topluluğunun düzenli bir parçası değilseniz, CynoSure Prime’ı muhtemelen sadece birkaç yıl önce gerçekleşen Ashley Madison saldırısından tanıyacaksınızdır. O zaman dahi, 2015’ten bu yana CynoSure sadece bir dizi açıklama yapmıştı. Ne olursa olsun, araştırmanın etkileyici olduğunu söyleyebiliriz ve alınacak bazı dersler var.
Daha da ileri gitmeden önce, hashing teriminin anlamını açıklayalım. Hashing, bir dizi karakteri daha kısa hâle, genellikle bir değer ya da anahtara çevirme hâlidir. Genellikle endekslemede ve veritabanındaki nesneleri bulmada kullanılır. Fakat aynı zamanda başka fonksiyonları da vardır.
SHA 1’in Mezarı
Hunt’ın veritabanında 15 farklı hashing algoritması ortaya çıkarken, bu şifrelerin büyük çoğunluğu eski SHA-1 yöntemiyle hash edilmişti. SHA-1 resmi olarak birkaç yıl önce modası geçmiş kabul edilirken, bu sırada Google da araştırmaya milyonlarca dolar ve zaman harcamıştı.
Büyük çoğunluk araştırmacıların sözünü kıstas alarak, SHA-1’in savunmasız olduğunu kabul etmişti. Google ise SHA-1’in hâlâ ‘ölü’ olmasına sevinecek gibi duruyor.
CynoSure, 320 milyon hash arasından hepsini ele geçirdi fakat sadece 116 tanesinde yüzde 99.9999 başarı oranına erişildi.