Merhabalar,<br><br>Yani tabiki ikinci parola olmasi ekstra güvenlik getirebilir, ama biz güvenlign optimumunu ariyoruz. parolami 20 haneli de secebilirim daha güvenli olur ama 8 haneli seciyoruz cünkü yeterli güvenlik sagliyor. Dolayisi ile bence senin hedefin icin op  yeter. <br>
<br>Diger yandan ip nin uzunlugunu 4 secmissin, bu yönüyle zaten bir islevi yok. Diyelim op'yi saldirgan ele gecirdi ve eksta güvenlik dedigimiz ip bizi kurtaracak. Algoritmamiz söyle: H=MD5(ip+IP) hash algoritmasini düsündügünde 62^4 kadar ihtimal var (62 -> a..zA..Z0..9), bu da yaklasik 15 milyon yapiyor, kaldiki bu brute-force icin cok ufak bir rakam. Yani  maksimum 15 milyon hesaplama ile hem kullanici adini hemde güc parolasini elde ediyorum. Ancak minimum uzunluk siniri (8) koyarsan bir anlami olabilir ekstra güvenlik icin, ama dedigim gibi bana gereksiz geliyor sayet Bedirhanin da dedigi gibi her halukarda op nin güvenligi benim icin zaten hayati önem tasiyorsa.<br>
<br>Iyi calismalar<br>Emin<br><br><div class="gmail_quote">2012/8/8 Gökhan Muharremoglu <span dir="ltr"><<a href="mailto:gokmuh@hotmail.com" target="_blank">gokmuh@hotmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div dir="ltr">
Selamlar,<div><br></div><div><br></div><div>Ortak parolayı aynı zamanda ikinci parola olarak kullanmak örnekte verdiğim algoritmayı saldırıya daha açık kılar. Fakat dediğin doğru ikinci bir parola kullanmak şart değil ama kullanılması güvenliği arttırır. İsteyen 10 - 15 tane daha parola katabilir algoritmaya, tamamen tercih meselesi. </div>
<div><br></div><div>Saldırıya daha açık nasıl kılar örneklemek gerekirse;</div><div><br></div><div>(zayıf karakter setleriyle anlatacağım)</div><div><br></div><div>Ortak parolam: 123456</div><div>İkinci parolam: 123456</div>
<div>IP: 192.168.0.234</div><div><br></div><div>md5(<span style="font-size:10pt">123456</span><span style="font-size:10pt">192.168.0.234) => </span>8f93e1527d499b218d53a6794a4710b0</div><div><br></div><div>Sonuç parola => 123<span style="font-size:10pt">10b0</span><span style="font-size:10pt">456</span></div>
<div><span style="font-size:10pt"><br></span></div><div><span style="font-size:10p t">Kırmak için yapılması gereken ortadaki 4 haneyi çıkartıp kalanı birleştirmek => 123456, bu değeri bulunmak istenen diğer IP'ler ile birleştirip çıktısını almak.</span></div>
<div><span style="font-size:10pt"><br></span></div><div>Yani bir sunucunun parolasını öğrenen saldırgan diğerlerini de artık kolayca bulabilir. <span style="font-size:10pt">Bu sefer kritik noktayı algoritmanın kendisi oluşturmuş olur. Algoritmanız karışık olursa tek parola ile de güvenlik sağlanabilir. Ancak benim örnekte kullandığım algoritma için tek parola sağlıklı bir çözüm değil bence.</span></div>
<div><br></div><div>Ben pratikte bu uygulamayı bir yazılım aracılığı ile ikinci parolayı "master secret" olarak kullanmayı tercih ediyorum. Ortak parolayı kullanıcı seçer ama ikinci parola yazılımın içinde gömülü kalır ve olası durumlar için bir yerde de kayıtlı tutulur vs...</div>
<div><br></div><div>Böylece pratikte kullanıcı hala tek parola kullanıyor olur.</div><div><br></div><div>Alg!
 or
 itma önerileri çeşitlendirilebilir elbet, yazının sonunda da bahsettiğim gibi <span style="font-size:10pt">örneklerden bağımsız bir </span><span style="font-size:10pt">algoritma geliştirerek bunları uygulayabiliriz.</span>
</div><div><br></div><div>Yorum için teşekkürler,</div><div>İyi çalışmalar,</div><div>Gökhan Muharremoğlu</div><div><br><div><div></div><hr>Date: Wed, 8 Aug 2012 13:06:16 +0200<br>From: <a href="mailto:eitatli@gmail.com" target="_blank">eitatli@gmail.com</a><div>
<div class="h5"><br>To: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><br>Subject: Re: [Owasp-turkey]       Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı<br>
<br>Merhaba Gökhan,<br><br>makaleyi okumayanlar icin kisaca hesapladigin kullanici adi ve parolanin nasil hesaplandigini burada bir özetleyeyim. Sonunda da ip ile takildigim bir noktayi belirttim.<br><br>Girdilerin: ortak_parola (op), ikinci_parola (ip), IP (sunucunun IP adresi)<br>

Uzunluklar: op'yi 12 secmissin, ip nin uzunlugu 4 secmissin<br>Algoritma: H=MD5(ip+IP) (hash degerinin uzunlugu 16 byte, hex-encoded olunca uzunluk 32)<br>Kullanici adi = H1..H6 (uzunluk 6)<br>Sifre:op1 + H29..H32 + op2 (op1: ortak_parolanin ilk kismi, op2 ikinci kismi, H29..H32 -> güc parolasi)<br>

<br><br>Bana ip'nin bir islevi yok gibi geliyor, bütün isini op ile görebilirsin, sonucta senin zaten gizli bir sifren (op) var ve yapmak istedigin bu op ye bagli olarak farkli sistemler icin farkli sifreler olusturmak. Bunu da hash ve IP araciligi ile yapabilirsin. Yani H=MD5(op+IP), kullanici adi= H1..H8, sifre: op1+H29..H32+op2 (op nin yeterli uzunlukta oldugunu farz ediyorum). Bu sayede ikinici bir gizli şifreden (ip) kurtulursun. Ben burada direk ip nin bir islevini göremedim?<br>

<br>Hash algoritmasi da  sha256 olabilir, md5 icin bilinen collision lar var, farkli IP ler icin ayni kullanici adi sifre hesaplama riski var (gerci ne kadar sorun tartisilir), sha1 da teorik olarak sıkıntılı. <br><br>Iyi calismalar<br>

Emin<br><br><br><br><div>2012/8/8 Bedirhan Urgun <span dir="ltr"><<a href="mailto:bedirhanurgun@gmail.com" target="_blank">bedirhanurgun@gmail.com</a>></span><br><blockquote style="border-left:1px #ccc solid;padding-left:1ex">

Merhaba,<br>Ortak parolanın yapısı gereği;<br><ul><li>Güç parolası ve algoritma bilindiği takdirde brute force zor.</li><li>Ortak parola ve algoritma bilindiği takdirde brute force daha kolay.</li></ul><br>Sadece brute force açısından bakıyorum.  <br>



<br>Güçlü karakter dizileri üreten MD5'ten başka bir kriptoğrafik özet kullanıldığında (hepsi alphanumerik değer üretir diye biliyorum ama diğer taraftan sadece SHA ve MD çıktılarına aşinayım) noktalama işaretleri üremezse şifreyi güçlendirmek için ortak parolaya hala ihtiyaç var diye düşünüyorum. Çünkü önemli olan üretilen şifrenin karakter aralığı ve uzunluğu.<br>



<br>Sanki ikinci parola IP ile salt gibi kullanılıyor, ama parola sonuçta iyi korunmalı.<br><br><div>8 Ağustos 2012 11:56 tarihinde Gökhan Muharremoglu <span dir="ltr"><<a href="mailto:gokmuh@hotmail.com" target="_blank">gokmuh@hotmail.com</a>></span> yazdı:<div>

<div><br>

<blockquote style="border-left:1px #ccc solid;padding-left:1ex">


<div><div dir="ltr">
Selam,<div>Yorum ve ilgi için teşekkürler :)<br><div><br></div><div>Tabii ki ortak parolanın iyi korunması aksi halde Brute Force için açık kapı bırakılmış olur. Ortak parola yerine sadece Güç Parolasının kullanılabileceği bir kriptografik özet algoritması olursa (yazının sonunda bahsi geçen özellikte) o zaman ortak parolaya dahi gerek kalmayacaktır.</div>



<div><br></div><div>Bizim için burada önemli olan nokta sadece Brute Force saldırısından kaçınmak değil, parolaları yönetmek ve her sisteme aynı parolayı koymamak. Ortak parola bir güç parolası ile kullanılmadığında ortaya çıkacak senaryo ile brute force durumu farklı aslında.</div>



<div><br></div><div>Bir sisteme sızan saldırgan o sistemde yerel parolayı kırdığında hesap adı ve parolası aynı olan sistemlere erişebilir. Güç parolasının ilk hedefi aslında bunu önlemektir. </div><div><br></div><div>Ortak parola ve ikinci parola bence aynı öneme sahip. Parola dediğin şey adı ne olursa olsun doğası gereği iyi korunmalı :)<u></u><div>



<br></div><div>Selamlar,</div><div>Gökhan Muharremoğlu<br><br><div><div></div><hr>From: <a href="mailto:bedirhanurgun@gmail.com" target="_blank">bedirhanurgun@gmail.com</a><br>Date: Wed, 8 Aug 2012 11:30:37 +0300<br>To: <a href="mailto:owasp-turkey@lists.owasp.org" target="_blank">owasp-turkey@lists.owasp.org</a><br>



Subject: Re: [Owasp-turkey]     Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı<div><div><br><br>Merhaba Gökhan,<br>Öncelikle konu için teşekkürler.<br><br>BIOS'u bir tarafa bırakırsak (brute force yapılabilir mi, teknik bilgim yeterli değil), username/pass üretme algoritmasında aşağıda yazdığın cümle özetliyor işi aslında;<br>





<br><i>"...yerel yönetici hesabı adının ve 12 haneden oluşan güçlü bir parolanın 2 adet sabit parola ve 1 adet değişken değerden oluştuğu görülecektir.</i>"<br><br>Örneğinden yola çıkarsak, kullanıcı adı MD5 hash değerlerinden üretildiği için (278f41) karakter aralığını [0-9a-z] ve uzunluğunu 6 olarak görüyoruz. Üretilen şifre için ise (86ae) karakter aralığını [0-9a-z] ve uzunluğunu 4 olarak görüyoruz. Yani kullanıcı adı/şifre üretim algoritmanın gizliliğini bir kenara bırakırsak, brute force'u engellemek için en önemli nokta ortak parolanın gizliliği oluyor. <br>





<br>Yani bence ikinci paroladan ziyade <b>ortak parola </b>çok iyi korunmalı, aynen simetrik şifrelemede kullanılan KEY'ler gibi (erişimler v.b.). Kriptoğrafik olarak yorumunu yapmak için fikrim var ama yeterli derinlikte bilgim yok maalesef... :)<br>





<br>kolay gelsin.<br><div>7 Ağustos 2012 14:12 tarihinde Gökhan Muharremoglu <span dir="ltr"><<a href="mailto:gokmuh@hotmail.com" target="_blank">gokmuh@hotmail.com</a>></span> yazdı:<br><blockquote style="border-left:1px #ccc solid;padding-left:1ex">








<div><div dir="ltr"><div>
<span style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Merhaba,</span><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">





<br></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Merkezi Olmayan Parolaların (Yerel Yönetici, BIOS, vs.) Yönetiminde “Güç Parolası” Yaklaşımı hakkında hazırladığım bir makaleyi aşağıdaki linkte bulabilirsiniz.</div>





<div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif"><br></div></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">





<a href="http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf" target="_blank">http://www.iosec.org/merkezi_olmayan_parola_yonetimi_guc_parolasi.pdf</a>
</div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif"><br></div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">





İyi çalışmalar,</div><div style="line-height:17.600000381469727px;color:rgb(42,42,42);font-family:'Segoe UI',Tahoma,Verdana,Arial,sans-serif">Gökhan Muharremoğlu</div>                                         </div></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><br>bedirhan urgun<br>
<br>_______________________________________________
Owasp-turkey mailing list
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a></div></div></div></div></div>                                     </div></div>
</div><br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><br>-- <br><br>bedirhan urgun<br>
</font></span><br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br>
<br>_______________________________________________
Owasp-turkey mailing list
<a href="mailto:Owasp-turkey@lists.owasp.org" target="_blank">Owasp-turkey@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a></div></div></div></div>                                         </div></div>
<br>_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
<br></blockquote></div><br>