Saldırganların en çok kullandığı yöntemlerden birisi brute force (kaba kuvvet) saldırısı olarak bildiğimiz parola deneme saldırılarıdır. Bu saldırılar sizin özel hayatınız hakkında yapılan araştırmalar, sosyal medya hesaplarınızda paylaştığınız konular ya da fotoğraflar, evcil hayvanınızın ya da eşinizin adı gibi birçok bilgiyi elde ettikten sonra olası parolalar oluşturularak yapılmaktadır.
Peki, saldırganlar bu parola listesini nasıl oluşturmaktadır? Bu konu üzerine yazılmış ve oluşturulmuş birçok araç ve makale var. Biz bu araçlar arasından “crunch” isminde olanı kullanacağız. Crunch Kali Linux üzerinde kurulu olarak gelen bir araçtır.
“crunch” komutunu yazdıktan sonra parametre olarak ilk olarak minimum uzunluğu ikinci olarak parolanın maksimum uzunluğunu ve üçüncü olarak da oluşturulacak parolaların içerisinde bulunacak karakterleri giriyoruz (harf, sayı, özel karakter vb.) son olarak “-o” parametresi ile oluşturulan parolaların dışarıya aktarılacağı dosya yolu ve adını giriyoruz.
Yukarıda görüldüğü gibi “crunch” bize verdiğimiz parametreler ile oluşturulan parola listesinin boyutunu ve bu parola listesinin kaç satırdan oluşturulduğu bilgisini vermektedir. Oluşturulan listenin ilk on ve son on satırı aşağıdaki gibidir.
Yukarıda görüldüğü üzere parola listesi oluştururken verdiğimiz tüm karakterlerin kombinasyonunu alarak minimum uzunluğu 8, maksimum uzunluğu 8 olan tüm ihtimalleri yazdırmış bulunmaktadır. Zaman kazanmak için özel olarak parola oluşturmak istesek “crunch” aracında “-t” parametresini kullanarak araca verdiğimiz kelimelerin önüne ya da sonuna belli semboller koyarak parola oluşturabilirsiniz.
Örnek olarak “Ahmet” kelimesinin yanında rasgele 3 haneli rakamlar ve rakamların ardından rasgele bir adet sembol koy diyebilirsiniz. Bu parola listesini de “crunch” ile “-t” parametresini kullanarak oluşturuyoruz. Bu listeyi oluşturmadan önce bilmeniz gerekenler:
⦁ @ : Rasgele küçük harfleri yazdırmak için kullanılır.
⦁ , : Rasgele büyük harfleri yazdırmak için kullanılır.
⦁ % : Rasgele rakam oluşturmak için kullanılır.
⦁ ^ : Rasgele özel karakter oluşturmak için kullanılır.
Yukarıda verdiğimiz örneğe devam edecek olursak kodumuzu şu şekilde yazabiliriz:
>>> crunch 9 9 -t Ahmet%%%^ -o /root/Desktop/Ahmetsifre.txt
Örnek çıktısında görüldüğü üzere “crunch” tarzı hazır bir araç ile bile şifreleriniz kolayca kırılabilir.
Şifre güvenliği ile ilgili önerilerimiz:
⦁ Şifrelerinizi monitörünüzün köşesine post ile tutturmamalısınız
⦁ Tahmin edilmesi zor şifreler kullanmalısınız.
⦁ Şifreleriniz sizin adınızı, doğum tarihiniz, eşinizin adı, köpeğinizin adı gibi kişisel bilgi içermemeli.
⦁ Olabildiğince uzun, küçük harf, büyük harf, sayı ve özel karakter içermeli.
⦁ Güvenli şifre oluşturmak ve saklamak için kullanılan yazılımlar mevcut bunlar ile eski şifrelerinizi yenileyebilir ya da yeni şifre oluştururken bu araçları kullanabilirsiniz.
⦁ Mümkün olan her hesabınızda SMS, Token, Parmak İzi, Yüz Tanıma, QR kod, Mobil Uygulama gibi farklı yöntemler ile Çok Faktörlü Doğrulama’yı etkinleştirmelisiniz.
⦁ Tüm hesaplarınızda birbirinden tamamen farklı şifreler kullanmalısınız.
⦁ Şifrelerinizi bir deftere ya da bilgisayarda bir dosyaya yazmamalısınız.
⦁ Belli aralıklarla şifrelerinizi güncellemelisiniz.
⦁ Şifrelerinizi kimse ile paylaşmamalısınız.
