[Owasp-turkey] Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı

Emin İslam Tatlı eitatli at gmail.com
Wed Aug 8 11:06:16 UTC 2012


Merhaba Gökhan,

makaleyi okumayanlar icin kisaca hesapladigin kullanici adi ve parolanin
nasil hesaplandigini burada bir özetleyeyim. Sonunda da ip ile takildigim
bir noktayi belirttim.

Girdilerin: ortak_parola (op), ikinci_parola (ip), IP (sunucunun IP adresi)
Uzunluklar: op'yi 12 secmissin, ip nin uzunlugu 4 secmissin
Algoritma: H=MD5(ip+IP) (hash degerinin uzunlugu 16 byte, hex-encoded
olunca uzunluk 32)
Kullanici adi = H1..H6 (uzunluk 6)
Sifre:op1 + H29..H32 + op2 (op1: ortak_parolanin ilk kismi, op2 ikinci
kismi, H29..H32 -> güc parolasi)


Bana ip'nin bir islevi yok gibi geliyor, bütün isini op ile görebilirsin,
sonucta senin zaten gizli bir sifren (op) var ve yapmak istedigin bu op ye
bagli olarak farkli sistemler icin farkli sifreler olusturmak. Bunu da hash
ve IP araciligi ile yapabilirsin. Yani H=MD5(op+IP), kullanici adi= H1..H8,
sifre: op1+H29..H32+op2 (op nin yeterli uzunlukta oldugunu farz ediyorum).
Bu sayede ikinici bir gizli şifreden (ip) kurtulursun. Ben burada direk ip
nin bir islevini göremedim?

Hash algoritmasi da  sha256 olabilir, md5 icin bilinen collision lar var,
farkli IP ler icin ayni kullanici adi sifre hesaplama riski var (gerci ne
kadar sorun tartisilir), sha1 da teorik olarak sıkıntılı.

Iyi calismalar
Emin



2012/8/8 Bedirhan Urgun <bedirhanurgun at gmail.com>

> Merhaba,
> Ortak parolanın yapısı gereği;
>
>    - Güç parolası ve algoritma bilindiği takdirde brute force zor.
>    - Ortak parola ve algoritma bilindiği takdirde brute force daha kolay.
>
>
> Sadece brute force açısından bakıyorum.
>
> Güçlü karakter dizileri üreten MD5'ten başka bir kriptoğrafik özet
> kullanıldığında (hepsi alphanumerik değer üretir diye biliyorum ama diğer
> taraftan sadece SHA ve MD çıktılarına aşinayım) noktalama işaretleri
> üremezse şifreyi güçlendirmek için ortak parolaya hala ihtiyaç var diye
> düşünüyorum. Çünkü önemli olan üretilen şifrenin karakter aralığı ve
> uzunluğu.
>
> Sanki ikinci parola IP ile salt gibi kullanılıyor, ama parola sonuçta iyi
> korunmalı.
>
> 8 Ağustos 2012 11:56 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com>yazdı:
>
>  Selam,
>> Yorum ve ilgi için teşekkürler :)
>>
>> Tabii ki ortak parolanın iyi korunması aksi halde Brute Force için açık
>> kapı bırakılmış olur. Ortak parola yerine sadece Güç Parolasının
>> kullanılabileceği bir kriptografik özet algoritması olursa (yazının sonunda
>> bahsi geçen özellikte) o zaman ortak parolaya dahi gerek kalmayacaktır.
>>
>> Bizim için burada önemli olan nokta sadece Brute Force saldırısından
>> kaçınmak değil, parolaları yönetmek ve her sisteme aynı parolayı koymamak.
>> Ortak parola bir güç parolası ile kullanılmadığında ortaya çıkacak senaryo
>> ile brute force durumu farklı aslında.
>>
>> Bir sisteme sızan saldırgan o sistemde yerel parolayı kırdığında hesap
>> adı ve parolası aynı olan sistemlere erişebilir. Güç parolasının ilk hedefi
>> aslında bunu önlemektir.
>>
>> Ortak parola ve ikinci parola bence aynı öneme sahip. Parola dediğin şey
>> adı ne olursa olsun doğası gereği iyi korunmalı :)**
>>
>> Selamlar,
>> Gökhan Muharremoğlu
>>
>> ------------------------------
>> From: bedirhanurgun at gmail.com
>> Date: Wed, 8 Aug 2012 11:30:37 +0300
>> To: owasp-turkey at lists.owasp.org
>> Subject: Re: [Owasp-turkey] Merkezi Olmayan Parolaların (Yerel Yönetici,
>> BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı
>>
>>
>> Merhaba Gökhan,
>> Öncelikle konu için teşekkürler.
>>
>> BIOS'u bir tarafa bırakırsak (brute force yapılabilir mi, teknik bilgim
>> yeterli değil), username/pass üretme algoritmasında aşağıda yazdığın cümle
>> özetliyor işi aslında;
>>
>> *"...yerel yönetici hesabı adının ve 12 haneden oluşan güçlü bir
>> parolanın 2 adet sabit parola ve 1 adet değişken değerden oluştuğu
>> görülecektir.*"
>>
>> Örneğinden yola çıkarsak, kullanıcı adı MD5 hash değerlerinden üretildiği
>> için (278f41) karakter aralığını [0-9a-z] ve uzunluğunu 6 olarak görüyoruz.
>> Üretilen şifre için ise (86ae) karakter aralığını [0-9a-z] ve uzunluğunu 4
>> olarak görüyoruz. Yani kullanıcı adı/şifre üretim algoritmanın gizliliğini
>> bir kenara bırakırsak, brute force'u engellemek için en önemli nokta ortak
>> parolanın gizliliği oluyor.
>>
>> Yani bence ikinci paroladan ziyade *ortak parola *çok iyi korunmalı,
>> aynen simetrik şifrelemede kullanılan KEY'ler gibi (erişimler v.b.).
>> Kriptoğrafik olarak yorumunu yapmak için fikrim var ama yeterli derinlikte
>> bilgim yok maalesef... :)
>>
>> kolay gelsin.
>> 7 Ağustos 2012 14:12 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com>yazdı:
>>
>>  Merhaba,
>>
>> Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç
>> Parolası” Yaklaşımı hakkında hazırladığım bir makaleyi aşağıdaki linkte
>> bulabilirsiniz.
>>
>> http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf
>>
>> İyi çalışmalar,
>> Gökhan Muharremoğlu
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>> --
>>
>> bedirhan urgun
>>
>> _______________________________________________ Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
>
> bedirhan urgun
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120808/fdd546ed/attachment.html>


More information about the Owasp-turkey mailing list