Veri Koruma ve Güvenlik

    

VI

Tanimlama ve Varlik Kimlik Dogrulama

    

VII.II

Sifreler

    
   
 

Sifre Kurallari

Sözlük saldirilari tahmin edilebilir sifrelere karsi basarili oldugu için, bazi sistemler “sifre kurallari” koyarak, kullanicilarin zayif sifreler kullanmasini engellemeye veya vazgeçirmeye çalisirlar. Bu kurallar asagidakileri içerir:

  • Sifre uzunlundaki alt sinir uzunlugu (örnegin 8 veya 12 karakter)
  • Kategori kümelerinin her birinden en az bir karakter kullanma gereksinimi (örnegin büyük harf, sayisal, alfanumerik)
  • Sifreler kullanici hesabi ile ilgili bilgiler içermemeli kullanici ID veya onun alt karakter dizisi gibi olmamali.
  • Belirli zaman araliklariyla sifrenin degistirilmesini içeren kural.

Sifrelerin Emniyetsizligi:

Figur 2 de de görüldügü gibi, ilk protokollerde sifre vasitasiyla kimlik dogrulamanin klasik yolu 4 adimdan olusur:

  1. Kullanici sifre ve adini girer.
  2. Istemci makina ad ve sifreyi ag boyunca gönderir.
  3. Sunucu sifreyi kullanicinin kimligini dogrulamak için kullanir.
  4. Sunucu dogrulanmis kimlik için yetkilendirme verir.


Figür 2. Şifre nasıl kırılır

Sonuç olarak, sifre tabanlik kimlik dogrulamanin güvenligini kirmak için saldirganin dört temel hedefi vardir:

  1. Kullanici (Sosyal Mühendislik Saldirilari)
  2. Ag
    1. Pasif Dinleme
    2. Aktif saldirilar
  3. Istemci Makina
  4. Sunucu Makina

Eger bir sekilde egtimsiz kullanici sifresini vermek için ikna edilebilirse, belkide bu dört tipin içindeki en kolay olani sosyal saldiri olur örnegin, kendinizi telefonda sistem yöneticisi olarak tanitmak. Bu tarz saldirilar sadece bu gibi basit olaylari degil daha zeki ve karmasik teknikleri de içerir. ( Phising saldirilari kismina bakiniz.)

   
   
       
 
« önceki oturum [1] [2] [3] [4] [5] sonraki oturum »
   
       
 
« « önceki bölümden devam et sonraki bölümden devam et »
  bölüm indeksi