[Owasp-turkey] Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı

Bedirhan Urgun bedirhanurgun at gmail.com
Wed Aug 8 08:30:37 UTC 2012


Merhaba Gökhan,
Öncelikle konu için teşekkürler.

BIOS'u bir tarafa bırakırsak (brute force yapılabilir mi, teknik bilgim
yeterli değil), username/pass üretme algoritmasında aşağıda yazdığın cümle
özetliyor işi aslında;

*"...yerel yönetici hesabı adının ve 12 haneden oluşan güçlü bir parolanın
2 adet sabit parola ve 1 adet değişken değerden oluştuğu görülecektir.*"

Örneğinden yola çıkarsak, kullanıcı adı MD5 hash değerlerinden üretildiği
için (278f41) karakter aralığını [0-9a-z] ve uzunluğunu 6 olarak görüyoruz.
Üretilen şifre için ise (86ae) karakter aralığını [0-9a-z] ve uzunluğunu 4
olarak görüyoruz. Yani kullanıcı adı/şifre üretim algoritmanın gizliliğini
bir kenara bırakırsak, brute force'u engellemek için en önemli nokta ortak
parolanın gizliliği oluyor.

Yani bence ikinci paroladan ziyade *ortak parola *çok iyi korunmalı, aynen
simetrik şifrelemede kullanılan KEY'ler gibi (erişimler v.b.). Kriptoğrafik
olarak yorumunu yapmak için fikrim var ama yeterli derinlikte bilgim yok
maalesef... :)

kolay gelsin.
7 Ağustos 2012 14:12 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com>yazdı:

>  Merhaba,
>
> Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç
> Parolası” Yaklaşımı hakkında hazırladığım bir makaleyi aşağıdaki linkte
> bulabilirsiniz.
>
> http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf
>
> İyi çalışmalar,
> Gökhan Muharremoğlu
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 

bedirhan urgun
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120808/cda0ab9c/attachment.html>


More information about the Owasp-turkey mailing list