<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
Selam,<div>Yorum ve ilgi için teşekkürler :)<br><div><br></div><div>Tabii ki ortak parolanın iyi korunması aksi halde Brute Force için açık kapı bırakılmış olur. Ortak parola yerine sadece Güç Parolasının kullanılabileceği bir kriptografik özet algoritması olursa (yazının sonunda bahsi geçen özellikte) o zaman ortak parolaya dahi gerek kalmayacaktır.</div><div><br></div><div>Bizim için burada önemli olan nokta sadece Brute Force saldırısından kaçınmak değil, parolaları yönetmek ve her sisteme aynı parolayı koymamak. Ortak parola bir güç parolası ile kullanılmadığında ortaya çıkacak senaryo ile brute force durumu farklı aslında.</div><div><br></div><div>Bir sisteme sızan saldırgan o sistemde yerel parolayı kırdığında hesap adı ve parolası aynı olan sistemlere erişebilir. Güç parolasının ilk hedefi aslında bunu önlemektir. </div><div><br></div><div>Ortak parola ve ikinci parola bence aynı öneme sahip. Parola dediğin şey adı ne olursa olsun doğası gereği iyi korunmalı :)</d
 iv><div><br></div><div>Selamlar,</div><div>Gökhan Muharremoğlu<br><br><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">From: bedirhanurgun@gmail.com<br>Date: Wed, 8 Aug 2012 11:30:37 +0300<br>To: owasp-turkey@lists.owasp.org<br>Subject: Re: [Owasp-turkey] Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı<br><br>Merhaba Gökhan,<br>Öncelikle konu için teşekkürler.<br><br>BIOS'u bir tarafa bırakırsak (brute force yapılabilir mi, teknik bilgim yeterli değil), username/pass üretme algoritmasında aşağıda yazdığın cümle özetliyor işi aslında;<br>

<br><i>"...yerel yönetici hesabı adının ve 12 haneden oluşan güçlü bir parolanın 2 adet sabit parola ve 1 adet değişken değerden oluştuğu görülecektir.</i>"<br><br>Örneğinden yola çıkarsak, kullanıcı adı MD5 hash değerlerinden üretildiği için (278f41) karakter aralığını [0-9a-z] ve uzunluğunu 6 olarak görüyoruz. Üretilen şifre için ise (86ae) karakter aralığını [0-9a-z] ve uzunluğunu 4 olarak görüyoruz. Yani kullanıcı adı/şifre üretim algoritmanın gizliliğini bir kenara bırakırsak, brute force'u engellemek için en önemli nokta ortak parolanın gizliliği oluyor. <br>

<br>Yani bence ikinci paroladan ziyade <b>ortak parola </b>çok iyi korunmalı, aynen simetrik şifrelemede kullanılan KEY'ler gibi (erişimler v.b.). Kriptoğrafik olarak yorumunu yapmak için fikrim var ama yeterli derinlikte bilgim yok maalesef... :)<br>

<br>kolay gelsin.<br><div class="ecxgmail_quote">7 Ağustos 2012 14:12 tarihinde Gökhan Muharremoglu <span dir="ltr"><<a href="mailto:gokmuh@hotmail.com">gokmuh@hotmail.com</a>></span> yazdı:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex">




<div><div dir="ltr"><div class="ecxim">
<span style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Merhaba,</span><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">

<br></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı hakkında hazırladığım bir makaleyi aşağıdaki linkte bulabilirsiniz.</div>

<div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif"><br></div></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">

<a href="http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf" target="_blank">http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf</a>
</div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif"><br></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">

İyi çalışmalar,</div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Gökhan Muharremoğlu</div>                                       </div></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><br>bedirhan urgun<br>
<br>_______________________________________________
Owasp-turkey mailing list
Owasp-turkey@lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey</div></div></div>                                         </div></body>
</html>