KitapYurdu hacklendiği yönündeki iddialara yönelik açıklama yayınlamış. Kısaca söylenen şey: parolalarınızı MD5 algoritmasıyla tutuyoruz. Kart bilgileriniz veritabanımızda saklanmıyor. Hesabına girildiği söylenenlerin parolaları başka sitelerden çalınmış, birden fazla sitede aynı parola kullanmanın oluşturduğu bir sorun deniyor.
MD5 ile saklamak bence yetersiz bir güvenlik önlemi ama yine de açık saklamaktan iyidir.
Kaynak: https://twitter.com/kitapyurducom/status/1363798575533154307
Detaylı yazı: https://kitapdergisi.com/guvenlik-zafiyeti-iddialari-ile-ilgili-aciklama/
#HaftalıkGündemeMalzeme #KitapYurdu #Güvenlik #SiberGüvenlik
ben yapmadim Miki yapti!
Ben şifrelerimi site bazlı yapıyorum, şifremi başka yerden çalamazlar yani. 💩 atmasınlar hiç.
Bitwarden?
Bu çok mantıklı. Her zaman kullandığın şifrenin başına ya da sonuna ya da ortasına site ismini yazmak çok mantıklı.
@yilmazarslan Parola yönetici kullanmam, onların da çok hacklendiğini gördük.
@picklerick nasıl yapıyorsunuz?
@yilmazarslan bir şifrem var bunun başına sonuna ortasına kayıt olduğum sitenin adını kodluyorum. Bu kadar. Şifre çalınırsa kimin sızdırdığı ortaya çıkıyor.
@picklerick Şifreyi çalan kişi eğer açık olarak parolanı görebiliyorsa, onun site adı olduğunu fark edip, benzerini başka siteler için de deneyebilir. Pek iyi bir yöntem değil bence.
@erenhatirnaz Dümdüz teknoseyir yazmıyorum zaten de neden şimdi kendi algoritmamı ifşa edeyim. 😀 Neyse iyi yöntemini herkes kendi bulsun diyelim. Çünkü bunun hiç bir zaman sonu gelmeyecek, karşı taraf size kafayı taktığı sürece her şifreyi çözerde bulurda. Ben basit işlem yaptığım sitelerde bu yöntemi kullanıyorum. 😉
=md5(md5(md5(md5(md5(md5(md5($password))))))) 🙂
Keske MD5 tutanlarin bir listesi olsa da hic bosuna uye olmasak. Hayret verici.
teknoseyir parolam: cba2438911d2729b2d21d9a67be87174 😀
Md5 tutmanın ne gibi bir dezavantajı var? En iyi şifre saklama yöntemi nedir?
@eminentia MD5 normalde geri çevirilebilir bir şifreleme algoritması değil. Yani bir kere şifrelediğiniz bir ifadeyi, tekrar eski haline getiremiyorsunuz ama internette yüzlerce MB'lık çeşitli kombinasyonlardan oluşmuş, içerisinde açık şekilde yazılmış parola ve MD5 karşılığı olan veritabanları var. Hacker, bir siteden MD5'li şifreleri ele geçirdiği zaman bu tarz veritabanları ile karşılaştırıyor. Sonuç çıkarsa zaten diğer veritabanında o MD5'in neye tekabül ettiği yazıyor.
En iyi şifre saklama yöntemi bence kullanım senaryosuna göre değişir ama normal bir web sitesi için konuşacak olursak. Parolaların içerisine normalde kullanıcının yazmadığı fakat o kullanıcı için oluşturulmuş rastgele bir ifade ekleniyor. "Password salting" deniyor bu işleme. O oluşturulmuş "salting" değeri de ayrı şekilde şifrelenip saklanıyor. Kullanıcı giriş yapmak istediğinde, sistem parolayı alıp veritabanındaki "salting" değeri ile birleştirip, o şekilde veritabanındaki kullanıcının şifresi ile karşılaştırıyor. Bu sayede parolaları aynı olduğu halde şifrelenmiş ifadeleri farklı gözüküyor. Bu şekilde de internette bulunan veritabanlarındakiler ile karşılaştırma yapılarak parola bulunamıyor. Elbette bunu md5 ile de yaparsın orası ayrı.
Daha guvenlisi:
https://tr.wikipedia.org/wiki/Bcrypt
https://github.com/codahale/bcrypt-ruby#salts
şifreleri text olarak saklamayan siteye site mi denir ya?
+
mdin dezavantajı yok ki geri de dönüştürelemez istediği kadar çalsınlar