Araştırmacılar SHA-1 ve Genel Şifreler Hakkında İlginç Veriler Elde Ettiler
Kendisini ‘Şifre araştırma topluluğu’ olarak adlandırılan CynoSure Prime adlı grup, reverse hash yöntemi kullanarak Troy Hunt’ın Have I Been Pawned veritabanından 320 milyon şifreyi ele geçirdi. Topluluk, başka bir grup araştırmacıyla daha çalışarak, sızdırılan şifre listelerinden ilginç bilgiler ele geçirildi.
CynoSure Prime’ın açıklaması şu şekilde oldu;
‘Yaygın şifreleri hesap açma esnasında engellemenin web sitelerinin genel şifre güvenliğine olumlu etkileri var. 320 milyon sızdırılmış şifreyi kara listeye almak, ilerde şifre güvenliğini geliştirmek için iyi bir fikir gibi görülebilir, bunlar kullanılabilirlik üzerinde ön görülemeyen sonuçlar doğurabilir. Geleneksel kara liste yaklaşımları, çoğunlukla en yaygın 10 bin şifreyi içeriyor ve böylece tahmin edilen saldırı sonuçlarını sınırlandırmak için kullanılıyor. Şimdiye kadar kara liste genişliğinin optimum denge sağladığını destekleyen bir kanıt ise bulunmuyor.’
Eğer Infosec topluluğunun düzenli bir parçası değilseniz, CynoSure Prime’ı muhtemelen sadece birkaç yıl önce gerçekleşen Ashley Madison saldırısından tanıyacaksınızdır. O zaman dahi, 2015’ten bu yana CynoSure sadece bir dizi açıklama yapmıştı. Ne olursa olsun, araştırmanın etkileyici olduğunu söyleyebiliriz ve alınacak bazı dersler var.
Daha da ileri gitmeden önce, hashing teriminin anlamını açıklayalım. Hashing, bir dizi karakteri daha kısa hâle, genellikle bir değer ya da anahtara çevirme hâlidir. Genellikle endekslemede ve veritabanındaki nesneleri bulmada kullanılır. Fakat aynı zamanda başka fonksiyonları da vardır.
SHA 1’in Mezarı
Hunt’ın veritabanında 15 farklı hashing algoritması ortaya çıkarken, bu şifrelerin büyük çoğunluğu eski SHA-1 yöntemiyle hash edilmişti. SHA-1 resmi olarak birkaç yıl önce modası geçmiş kabul edilirken, bu sırada Google da araştırmaya milyonlarca dolar ve zaman harcamıştı.
Büyük çoğunluk araştırmacıların sözünü kıstas alarak, SHA-1’in savunmasız olduğunu kabul etmişti. Google ise SHA-1’in hâlâ ‘ölü’ olmasına sevinecek gibi duruyor.
CynoSure, 320 milyon hash arasından hepsini ele geçirdi fakat sadece 116 tanesinde yüzde 99.9999 başarı oranına erişildi.
Hashler İçinde Saklanan Ek Bilgiler
CynoSure aynı zamanda pek çok grubun orijinal hashlenmiş verileriyle birlikte, e-posta – şifre kombinasyonları gibi kişisel kimlik bilgilerini de sakladığını öğrendi.
Troy Hunt, bu bilgileri veri yayınına dahil etmeyi hiç amaçlamamıştı ve bunları silmeyi taahhüt etmişti.
Ortaya Çıkan Sonuçlar
İşte CynoSure’un araştırmasından ortaya çıkan bazı çabuk bilgiler:
- Bulunan en uzun şifre 400 karakter uzunluğundaydı.
- En kısa şifre ise 3 karakter uzunluğundaydı.
- Şifrelerin yüzde 6’sı 50 karakterden uzundu.
- Şifrelerin yüzde 67’si 16 karakterden kısaydı.
Zor Olmadı
Buradan çıkarılabilecek en önemli sonuçlardna birisi de, sektörde bulunan araçların bazılarının an itibariyle ne kadar güçlü olduğu. MDXfind ve Hashcat’i quad-core Intel Core i7-6700k işlemci, dört tane GeForce GTX 1080 ekran kartı ve 64GB RAM’in bulunduğu bir sistemde kullanan araştırmacılar, reverse işlemini bir saatin altında bir sürede gerçekleştirdi.
Bu da kesinlikle sıradışı bir durum.
Ne Öğrendik?
Bu olaydan öğrendiklerimiz ise şu şekilde;
- Şifre araştırma topluluğu CynoSure Prime, Troy Hunt’ın verilerinde derin bir analiz gerçekleştirdi ve neredeyse 320 milyon şifreyi reverse etti.
- SHA-1 bu araştırmada başarılı olamadı ve SHA-1 verilerinin neredeyse tamamı reverse hash edildi.
- Ortalama şifre uzunlukları 16 karakterden daha kısaydı.
.png)
