Merhabalar. Bu yazıda kendi kullanmış olduğum bir şifreleme taktiğini göstereceğim. Bu şifrenin kırılması için taktiğinin çözülmesi ve ardından özel yazılan bir Brute-Force programı ile kırma denemeleri gerçekleştirmesi gerekiyor. Çünkü piyasadaki MD5 gibi şifre kırma siteleri işe yaramayacak. Yazının devamında mantığını anlayacaksınız.
Bildiğiniz üzere md5 gibi şifreler geri dönüştürülemeyen şifre türleridir. md5, sha1 vb. şifre kırıcı siteler, daha önce kırılmış olan şifrelerin karşılığını veri tabanında tutar, siz kelimeyi arattığınızda eğer karşılığı kaydedilmişse size sonucu döndürür. Biz veri tabanına şifrelerin md5 halini kaydettiğimizde, kolayca tahmin edilebilir şifre kullanan kullanıcıların veya yönetici şifreleri bu sitelerde kırılabilir.
Şimdi göstereceğim yöntemde ise bu yöntemi neredeyse imkansız hâle getireceğiz.
Şifremiz "turkhackteam" olsun. PHP dilinde bu şifrelemeyi şu şekil yapacağız (anlaşılır olsun diye adım adım yapacağım yoksa tek satırda da yapabilirim):
Bu sayede olası bir veri ele geçirme sonucunda saldırgan şifrenin md5 olduğunu zannedip zaman kaybedecek. İşi çözse bile kalan 8 karakteri tahmin edemeyeceği için özel bir Brute-Force yazılımı ile bulmaya çalışacak. Bulamaz çünkü arkasındaki de md5 bir şifreleme yani çok zor işi
Kontrol yaparken da aynı şekilde yapıyoruz. Şifreleyip veri tabanına kaydettiğimizi varsaydığımız şifreyi test amaçlı if else ile kontrol ettiriyorum.
Tabi farklı yöntemler de mevcut. Mesela üst üste 100 kere 200 kere md5 ile şifreleyen var. İkisini de sırayla kullanan var. Şifreleme içerisine şifreleme kurmuş gibi oluyor
Bildiğiniz üzere md5 gibi şifreler geri dönüştürülemeyen şifre türleridir. md5, sha1 vb. şifre kırıcı siteler, daha önce kırılmış olan şifrelerin karşılığını veri tabanında tutar, siz kelimeyi arattığınızda eğer karşılığı kaydedilmişse size sonucu döndürür. Biz veri tabanına şifrelerin md5 halini kaydettiğimizde, kolayca tahmin edilebilir şifre kullanan kullanıcıların veya yönetici şifreleri bu sitelerde kırılabilir.
Şimdi göstereceğim yöntemde ise bu yöntemi neredeyse imkansız hâle getireceğiz.
Şifremiz "turkhackteam" olsun. PHP dilinde bu şifrelemeyi şu şekil yapacağız (anlaşılır olsun diye adım adım yapacağım yoksa tek satırda da yapabilirim):
Bu sayede olası bir veri ele geçirme sonucunda saldırgan şifrenin md5 olduğunu zannedip zaman kaybedecek. İşi çözse bile kalan 8 karakteri tahmin edemeyeceği için özel bir Brute-Force yazılımı ile bulmaya çalışacak. Bulamaz çünkü arkasındaki de md5 bir şifreleme yani çok zor işi
Kontrol yaparken da aynı şekilde yapıyoruz. Şifreleyip veri tabanına kaydettiğimizi varsaydığımız şifreyi test amaçlı if else ile kontrol ettiriyorum.
Tabi farklı yöntemler de mevcut. Mesela üst üste 100 kere 200 kere md5 ile şifreleyen var. İkisini de sırayla kullanan var. Şifreleme içerisine şifreleme kurmuş gibi oluyor