[Owasp-turkey] Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar

Gökhan Muharremoglu gokmuh at hotmail.com
Tue Aug 14 06:09:07 UTC 2012


Merhaba,
Hash (kriptografik özet) işlemi tek yönlü bir şifrelemedir. Encoding / Decoding işlemleri ise veri  kodlamak içindir. Temel hedefi bilgi gizliliği veya bütünlüğü olan bir işlem değildir. Bu yüzden parolanın decode edilmesi gibi bir durum söz konusu olamaz.
Bunun yerine Salt bilgisini ele geçiren bir saldırgan deneme yanılma yoluyla parolayı daha kolay bulabilme şansına sahip olur. Makalede de anlatılan artık günümüzde Salt ile Hash edilmiş parolaların dahi bu saldırılarda yetersiz kalabildiğidir. Salt değeri bu gibi durumlarda Rainbow saldırı için ek bir önlem olarak kalmakta ama Brute Force için tehditi çok fazla değiştirmemektedir.
İyi çalışmalar,Gökhan Muharremoğlu


From: mutkanx at gmail.com
Date: Tue, 14 Aug 2012 01:05:01 +0300
To: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar

Yazi icin cok tesekkurler Gokhan bey.
Yazinizi okurken aklima bir soru takildi, sistem ele gecirildigi zaman zaten salt degerinide alacaklari icin passwordu direk decode edemezler mi?
On 13 Aug 2012, at 17:10 PM, Gökhan Muharremoglu <gokmuh at hotmail.com> wrote:Merhaba,
Son günlerde LinkedIn, eHarmony, Last.fm gibi sitelerin kullanıcı bilgilerini çaldırmaları üzerine "Veritabanında Parola Saklamak için Algoritma Seçiminde Yapılan Yaygın Hatalar" başlıklı bir makale hazırladım, aşağıdaki linkte bulabilirsiniz. 
http://www.iosec.org/veritabani_algoritma_secimi.pdf
İyi çalışmalar,Gökhan Muharremoğlu
_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey


_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey 		 	   		  
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120814/2f363e47/attachment.html>


More information about the Owasp-turkey mailing list