SHA-256 Algoritması Parolalarınızı Korumada Ne Kadar Güvenlidir?

Prof. Dr. Kemal Bıçakçı (Securify Kurucu Ortağı)

SHA-256 ile parolalarını koruyabilir misiniz?

Parolaları açıktan saklamak yerine SHA-256 özet fonksiyondan geçirilmiş halini saklamak ne kadar güven arz ediyor? Sizlerle basit bir hesaplama yapalım.

Günümüzde siber saldırıların %81’inin parola kaynaklı olduğunu daha önceki tartışmalarımızda dile getirmiştik. Bizler zaafiyet bu iken parola güvenliğimize önem vermekteyiz. Parolalarınızı korumak için 95 tane tüm yazdırılabilir ASCII karakterleri içerebilen, 8 haneli rastgele bir parola seçtiğinizi varsayalım (böyle bir paroladan daha güçlü bir parola seçmiş olanları bolca tebrik etmek gerekir ama sayılarının çok fazla olmadığı oldukça yaygın bilinen bir gerçek). Bu durumda yaklaşık 6,6310^15 farklı paroladan birini seçmiş olurdunuz. Acaba özeti çalan birinin bu parolayı bulması için ne kadar vakit gerekiyor? Malumunuz SHA-256 bitcoin madenciliğinde de yaygınca kullanılan bir algoritmadır ve aynı zamanda madencilik için 24 saatliğine özel bir donanımı 60 $’a kiralayabiliyorsiniz. Bu özel donanımlar, saniyede 110 Tera hızında SHA-256 algoritması hesabı yapabiliyor. Tera’nın 10^12 değerine tekabul ettiğini hatırlatmak faydalı olacaktır. Hesapta bir hata yapmadı isek 6,6310^15 / 110*10^12 = 60 saniye = 1 dk sonucuna varırız (lütfen sizler de kontrol ediniz). Yani parolalarımızın kırılmasının saldırgana maliyeti, 1$’a eşit oluyor. Peki sizce çözüm nedir? Çözüm çok faktörlü kimlik doğrulama.

Sizler de Çok Faktörlü Kimlik ve Erişim Yönetimi çözümlerimiz hakkında detaylı bilgi almak isterseniz, lütfen bizimle iletişime geçiniz.