Brute‑Force saldırıları nasıl çalışır?
Uzunluğun neden önemli olduğu: Hesaplama örnekleri ve karşı önlemler.
Brute‑Force saldırılarında saldırganlar, bir parolayı tüm olası karakter kombinasyonlarını sistematik olarak deneyerek tahmin etmeye çalışır. Temel fikir basittir: saniyede mümkün olduğunca çok kombinasyonu test etmek – ideal olarak GPU’larda veya dağıtık sistemlerde. Buna kapsamlı arama (kapsamlı arama).
Pratikte bu tür saldırılar ne yazık ki sıkça başarılı olur, çünkü birçok parolaçok kısa olur, yalnızca birkaç karakter grubuyla sınırlıdır (sadece harfler) veyakelime listelerinde yer alır. Bu, arama alanını ciddi ölçüde daraltır ve tahmin etmeyi kolaylaştırır. Daha da önemlisi, şu ayrım yapılır:çevrimiçi saldırılar (giriş formlarına karşı; burada hız sınırlama/hesap kilitlemeleri yardımcı olur) veçevrimdışı saldırılar (çalınmış parola hash’lerine karşı; burada saldırı süresini hash fonksiyonu ve parola gücü belirler).
Parola kırma (çevrimdışı) ≠ “şifre çözme”
Parolalarşifreleri çözülmez, bunun yerine hash değerleri olarak saklanır ve ardındantahmin etme + hashleme ile (Brute Force, sözlük/maske saldırıları) aranır. Modern donanımınhesaplama hızı modern donanımdasaniyede milyarlar düzeyindedir (hızlı hash yöntemleri için), bu nedenleuzun veyavaş yöntemlerle (örn. Argon2, scrypt, PBKDF2, bcrypt) hashlenmiş parolalar kritik önem taşır.
Tarihsel ve güncel bağlam: distributed.net’in RC5 projesi bir anahtar uzayında kapsamlı aramanın ham gücünü gösteriyor: 56 bit 1997’de 250 gün sonra, 64 bit ise 2002’de 1.757 gün sonra bulundu. Güncel olarakProxy Status RC5-72 içinyaklaşık saniyede 2,38 trilyon anahtar (durum: bugün itibarıyla alınan veri). Bu, anahtar brute force işlemidir ve parola hashleme değildir – ancak dağıtık hesaplama gücünün ne kadar iyi ölçeklendiğini açıkça gösterir.
Parolanın kombinasyonu ve uzunluğu
Aşağıdaki örnekler, uzunluğun ve karakter seçiminin etkisini gösterir. Örnekleme amacıyla saniyede 2 milyar deneme esas alınmıştır (çok güçlü bir tekil bilgisayar; gerçek değerler donanıma ve – offline durumda – hash yöntemine bağlı olarak büyük ölçüde değişir).
Tipik karakter grupları:
- Rakamlar (10: 0–9)
- Harfler (52: A–Z ve a–z)
- Özel karakterler (≈ 32; hizmetin izin verdiği karakter kümesine bağlıdır)
Olası kombinasyonların sayısı şu şekilde hesaplanır:
Önemli: Tablo, azami arama süresini gösterir. Gerçekte süre ortalama olarak bunun yaklaşık yarısıdır. Ayrıca sözlük, kural ve maske saldırıları arama alanını önemli ölçüde daraltırken, yavaş parola hashleme yöntemleri etkin hızı ciddi ölçüde düşürür.
| Passwort besteht aus | Mögliche Kombinationen (Formel) | Benötigte Zeit (bei 2 Mrd./s) |
|---|---|---|
| 5 Zeichen 3 Kleinbuchstaben, 2 Zahlen | (53) × 263 × 10217.576.000 | 0,009 Sekunden |
| 7 Zeichen 1 Großbuchstabe, 6 Kleinbuchstaben | (71) × 261+656.222.671.232 | ≈ 28 Sekunden |
| 8 Zeichen 4 Kleinbuchstaben, 2 Sonderzeichen, 2 Zahlen | (84) × (42) × 264 × 322 × 10219.653.623.808.000 | ≈ 2,73 Stunden |
| 9 Zeichen 2 Groß-, 3 Kleinbuchstaben, 2 Zahlen, 2 Sonderzeichen | (92) × (73) × (42) × 262+3 × 102 × 3229.197.895.942.144.000 | ≈ 53 Tage |
| 12 Zeichen 3 Groß-, 4 Kleinbuchstaben, 3 Sonderzeichen, 2 Zahlen | (123) × (94) × (53) × 263+4 × 323 × 1027,30 × 1021 | ≈ 115.591 Jahre |
| 14 Zeichen 4 Groß-, 4 Kleinbuchstaben, 3 Zahlen, 3 Sonderzeichen | (144) × (104) × (63) × 264+4 × 103 × 3232,88 × 1025 | ≈ 455.812.388 Jahre |
Sonuç: Her ek karakter arama alanını katlayarak büyütür. Uzunluk, karmaşıklık kurallarından daha etkilidir – özellikle de Offline saldırılar – hizmetlerin uygun, yavaş hash algoritmaları kullandığı ve Salt ile korunduğu varsayıldığında.
Brute-Force saldırılarına karşı koruma
En etkili kullanıcı önlemi uzun, rastgele bir ana parola ya da bir parola ifadesi (örn. birkaç rastgele kelime) – her hizmet için benzersiz olmalıdır. Password Depot oluşturma sürecine yardımcı olur ve tahmini saldırı süresini gösterir; burada uzunluk/karakter kümesinin yanı sıra sözlük tabanlı zayıflıklar da dikkate alınır.
- MFA/2FA'yı etkinleştirin (örn. TOTP uygulaması veya donanım token'ı) – mümkün olan yerlerde Passkeys daha da iyidir. Bkz. BSI yönergeleri.
- Parola tekrar kullanımı yok. Her hesap için ayrı ve güçlü bir parola gerekir.
- Zorunlu karmaşıklık yerine uzunluk. Hizmetler uzun parolalara/parola ifadelerine izin vermeli (en az 64 karakter) ve ele geçirilmiş parolaları engellemelidir (kara liste).
- Yavaş hash algoritmaları sunucu tarafında (örn. Argon2, scrypt, PBKDF2, bcrypt) Salt ve uygun work factor'larla kullanılmalıdır; MD5/SHA-1 gibi hızlı hash'ler parola saklama için uygun değildir.
- Rate-Limiting/Throttling ve kilitlemeler: Online saldırılar, sınırlı hatalı deneme sayısı, kademeli bekleme süreleri ve gerekirse CAPTCHA ile yavaşlatılmalıdır.
Ayrıca Password Depot, yanlış girişlerden sonra ana parola giriş ekranını kısa süreliğine kilitleyerek çevrimiçi hız denemelerini zorlaştırır – artan bekleme süresi tekrarlanan başarısız denemelerde.
Hizmet sağlayıcıları (teknik ekipler) için pratik öneriler
- Boşluklar/Unicode dahil tüm yazdırılabilir karakterleri kabul edin ve kopyala-yapıştır işlemlerine izin verin.
- Şunları uygulayın: engelleme listeleri (ele geçirilmiş/yaygın parolalar) ve rate limiting için net kullanıcı bilgilendirmeleri sağlayın.
- Parolaları yalnızca salt eklenmiş, hash'lenmiş değerler olarak, yavaş KDF'lerle saklayın ve work factor'leri düzenli olarak kontrol edin.
İleri düzey kaynaklar
- NIST SP 800–63B (Rev. 4), Appendix: Strength of Passwords – uzunluk, parola ifadeleri, çevrimdışı saldırılar (milyarlarca hash/sn.) ve rate limiting konsepti.
- NIST SP 800–63B (Rev. 3) – diğerlerinin yanı sıra minimum uzunluk, uzun parolalara izin verme (≥ 64), kara listeler, yapıştırmaya izin verme; Rate-Limiting/Throttling ile art arda en fazla 100 başarısız denemeyle sınırlandırma.
- OWASP Password Storage Cheat Sheet – uygun yöntemler (Argon2, scrypt, PBKDF2, bcrypt), salt/work factor'ler.
- OWASP Authentication Cheat Sheet – parola girişi, uzunluk, kara listeler ve kilitleme mekanizmalarına ilişkin yönergeler.
- BSI: Güvenli parolalar oluşturma – ör. uzun/karmaşık parolalar ve parola ifadeleri; pratik ipuçları.
- BSI Basın 31.01.2025 – zorunlu düzenli parola değişiklikleri yok; 2FA/Passkeys tercih edin.
- distributed.net RC5 / güncel proxy durumu – kapsamlı arama ve dağıtık işlem gücü için açıklayıcı örnek.
Güvenli parolalar oluşturma
Brute-Force saldırılarına dayanıklı parolaları nasıl oluşturacağınızı öğrenin.
Güvenli parolalar için ipuçları