Güvenlik rehberi
Şifre Kırma Süresi Nedir?
Şifre kırma süresi tahminlerinin ne anlama geldiğini, saldırı hızı varsayımlarının neden önemli olduğunu ve tahminlerin neden garanti olmadığını öğrenin.
Özet
Şifre kırma süresi, belirli bir model altında bir tahmin saldırısının ne kadar sürebileceğine dair bir tahmindir. Model önemlidir. Canlı bir hizmete karşı çevrimiçi tahmin yapmak, sızdırılmış bir şifre hash’inin çevrimdışı kırılmasından farklıdır. Varsayımlar olmadan evrensel bir “kırılma süresi” sayısı yanıltıcıdır.
Senaryoları yerel olarak karşılaştırmak için şifre kırma süresi hesaplayıcısını ve güç denetleyicisini kullanın.
Çevrimiçi tahmin
Çevrimiçi tahmin, hizmet tarafından sınırlanır. Hız sınırlamaları, kilitlenmeler, izleme, MFA ve anomali tespiti saldırıları yavaşlatabilir veya durdurabilir. Kısa bir PIN yalnızca sistem denemeleri sınırladığı için kabul edilebilir.
Çevrimdışı kırma
Çevrimdışı kırma, saldırganların şifre hash’lerine veya şifrelenmiş materyale sahip olması durumunda gerçekleşir. Hız, hash algoritmasına, maliyet faktörüne, tuz, donanım ve saldırı stratejisine bağlıdır. Argon2id, bcrypt veya PBKDF2 gibi yavaş şifre hashleme, saniyedeki tahmin sayısını azaltmak içindir.
Rastgelelik ve desenler
Kırma süresi matematiği yalnızca şifre gerçekten rastgele olduğunda anlamlıdır. Password123! karmaşık görünebilir, ancak desen tabanlı tahminde erken ortaya çıkar. Rastgele 20 karakterli bir şifre farklıdır çünkü insan yapısından yoksundur.
Ayrıntılı rehber
Bu kılavuz, şifre kırma süresi tahminlerini sorumlu bir şekilde okumaya odaklanır. Yıl bazlı tahminler gören ve bunların gerçekte ne anlama geldiğini bilmek isteyen kullanıcılar için yazılmıştır, bu nedenle pratik amaç dramatik bir güvenlik iddiası oluşturmak değildir. Amaç, günlük kullanımda hayatta kalabilecek bir şifre alışkanlığı seçmektir: oturum açma formları, şifre yöneticileri, mobil klavyeler, hesap kurtarma, paylaşılan cihazlar ve ara sıra garip doğrulama kuralları olan hizmetler. Güvenli bir öneri, yalnızca gerçek bir kişi onu tutarlı bir şekilde takip edebiliyorsa kullanışlıdır.
En güvenli başlangıç noktası rastgelelik artı benzersizliktir. Rastgelelik, değerin bir doğum günü, evcil hayvan adı, klavye deseni veya favori bir alıntıdan icat edilmediği, kriptografik olarak uygun bir rastgele kaynak tarafından geniş bir alandan seçildiği anlamına gelir. Benzersizlik, aynı şifrenin başka hiçbir yerde kullanılmadığı anlamına gelir. Uzun ancak yeniden kullanılan bir şifre, ilgisiz bir ihlalden sonra hızla başarısız olabilirken, benzersiz bir rastgele şifre, hasarı yalnızca kullanıldığı tek hesapla sınırlar.
Bu konu için pratik bir ön ayar, çevrimiçi sınırlar, yavaş hash’ler ve hızlı çevrimdışı tahmin için senaryo tabanlı tahminlerdir. Bu ön ayarı şifre kırma süresi hesaplayıcısı ile uygulayabilir ve ardından nihai değeri güvenilir bir şifre yöneticisinde saklayabilirsiniz. PwdGen, değerleri Web Crypto ile tarayıcıda yerel olarak oluşturur; oluşturulan şifre bir PwdGen sunucusuna gönderilmez. Bu yerel tasarım, sunucu tarafı maruziyetini azaltır, ancak her tehdide karşı koruma sağlamaz. Kötü niyetli bir tarayıcı uzantısı, güvenliği ihlal edilmiş bir cihaz, bir kimlik avı sayfası veya güvenli olmayan pano kullanımı, oluşturulduktan sonra bir sırrı yine de açığa çıkarabilir.
Kaçınılması gereken en yaygın sorunlar evrensel kırılma süresi iddiaları, yalnızca donanım varsayımları, sızdırılmış hash’ler, zayıf depolama ve tahmin edilebilir kullanıcı desenleridir. Bu sorunlar önemlidir çünkü saldırganlar, insan alışkanlıkları onlara bir kısayol verdiğinde olası her şifreyi kaba kuvvetle denemeye nadiren ihtiyaç duyar. Kimlik bilgisi doldurma, kimlik avı, sızdırılmış şifre listeleri ve hesap kurtarma kötüye kullanımı, genellikle saf bir matematiksel aramadan daha gerçekçidir. Bu nedenle en iyi tavsiye, şifre kalitesini MFA, geçiş anahtarları, kurtarma kodu depolama ve kurtarma e-postası veya telefon ayarlarının düzenli olarak gözden geçirilmesi gibi hesap düzeyindeki kontrollerle birleştirir.
Öneriyi uygularken bu kontrol listesini kullanın:
- Birden fazla saldırı senaryosunu karşılaştırın.
- Büyük bir sayıyı garanti olarak ele almayın.
- Tahmin ne olursa olsun yeniden kullanılan şifrelerden kaçının.
- Destekleyen hesaplar için MFA kullanın.
Bir web sitesi ideal ayarı reddederse, şifreyi elle daha zayıf bir desene zorlamayın. Her seferinde bir değişkeni ayarlayın. Semboller reddedilirse, büyük harf, küçük harf ve sayıları etkin tutun ve uzunluğu artırın. Maksimum uzunluk düşükse, kabul edilen en büyük uzunluğu kullanın ve değerin benzersiz olduğundan emin olun. Bir şifre yüksek sesle okunacak, yazdırılacak veya bir televizyon veya yönlendirici ekranında yazılacaksa, kafa karıştırıcı karakterleri hariç tutmayı ve daha küçük alfabeyi telafi etmek için uzunluğu artırmayı düşünün.
Son olarak, şifre tavsiyesinin sınırını unutmayın. Güçlü bir şifre bir savunma katmanıdır, bir garanti değildir. Bir kimlik avı sayfasını güvenli hale getiremez, kötü amaçlı yazılımı düzeltemez veya kimlik bilgilerini kötü depolayan bir hizmeti telafi edemez. Yararlı alışkanlık sıkıcı ama dayanıklıdır: benzersiz bir değer oluşturun, güvenli bir şekilde saklayın, kurtarma yolunu koruyun ve maruz kaldığından şüpheleniyorsanız hızla değiştirin.
Güvenli bir sonraki adım
Bu kılavuzu okuduktan sonra, her şeyi bir anda düzeltmeye çalışmak yerine küçük bir hesap denetimi yapın. Ele geçirilmesi durumunda en çok soruna yol açacak hesabı seçin, şifresinin benzersiz olduğunu onaylayın ve kurtarma e-postasını, kurtarma telefonunu, MFA yöntemini ve yedek kod depolamasını kontrol edin. Zincirin herhangi bir parçası zayıfsa, daha düşük riskli hesaplara geçmeden önce bu parçayı iyileştirin. Bu sıralama, işi yönetilebilir tutar ve saldırganların basamak taşı olarak kullanma olasılığı en yüksek olan hesapları korur. Şifre kırma süresi nedir? sorusu için en iyi sonuç, tekrarlanabilir bir alışkanlıktır: yerel olarak oluşturun, dikkatlice saklayın ve yeniden kullanımdan kaçının.
Sıkça sorulan sorular
Kırma süresi hesaplayıcıları neden farklı sonuç verir?
Rastgelelik, hash türü, donanım, çevrimiçi sınırlar ve şifrenin sızıntılardan zaten bilinip bilinmediği konusunda farklı varsayımlar kullanırlar.
Çevrimdışı kırma, çevrimiçi tahminden daha mı hızlıdır?
Genellikle evet. Çevrimdışı saldırganlar hız sınırlaması olmadan tahmin deneyebilirken, çevrimiçi sistemler denemeleri kısıtlayabilir, kilitleyebilir ve izleyebilir.
Tek bir “milyon yıl” sonucuna güvenmeli miyim?
Bunu belirtilen varsayımlar altında bir tahmin olarak ele alın, bir güvenlik garantisi olarak değil.