Sonia Spears

Erkan Kavas

Kendisi nefes almanın ne demek olduğunu bilen, hiç durmadan nefes almaya devam eden, asıl mesleği web, mobil yazılımcılığı olsa da, favorisi ios/android uygulama geliştirme ve seocu taklidi yapmak olan bir arkadaştır.




Web/Mobil Projelerde Şifreler Nasıl Tutulmalı?

Şifreleme konusu projeler için en başta planlanması gereken en önemli aşamalardan birisidir. Eğer projenizde baştan bu sorunu çözmezseniz google plus'un başına gelenler sizin de başınız gelir.

Şifreleme yani encryption mevzusu, etik veya diğer hacklerin her daim ilgisini çekmiş bir konudur. Çünkü bu tür algortimaları çözmek onlar için hem bir başarı hem de maddi anlamda bounty kaynağıdır. Kötü niyetli hacklerlar ise bu bilgiler ile çok daha fazla işe girişebilir.

Bu nedenle şifreleme yaparken, dikkat etmeniz gereken bazı konular vardır.

1- Şifre oluştururken kullanıcıları biraz zorlayın.

İnsanoğlu özellikle gece saatlerinde yorgun vs. durumlar içinde bulunduğu için bazı işlerden kaçınır. Bu nedenle siz eğer kendi sisteminizde şifreleri zorlaştıracak bir önlem almazsanız, uyku sersemliği ve bunun verdiği dalgınlıkla kişiler çok kolay şifreler belirleyebilir. 123456, kendi ismi, kendi doğum tarihi gibi.

Bazı sitelerde gördüğünüz gibi şifrelerin uzunlukları 8 hane olsun, hem büyük hem küçük hem de numerik olsun bir de ekstradan sembol konsun gibi önlemler alınıyor. İşte bunu yapmalısınız.

2-Şifreleri md5 sha gibi methodlar ile tutarken iki kere şifreleyin.

Örnek hello kelimesi md5 ile şifrelendiğinde 5d41402abc4b2a76b9719d911017c592 gibi bir betik çıkıyor. Peki bunu da md5lerseniz 69a329523ce1ec88bf63061863d9cb14 böyle birşey çıktığını göreceksiniz.

Ya da 1234 şifresini sha yaptığınızda, 7110eda4d09e062aa5e4a390b0a572ac0d2c0220 çıkıyor bunu tekrar md5 yaparsanız 700c8b805a3e2a265b01c77614cd8b21 böyle birşey çıkar. Şimdi adam bunu kırmak için baya emek sarfetmeli. Ele geçirdiği takdirde tabi.

3- Çok kolay kelimeler zaten hali hazırda listelerde kırılmış halde tutulur

İnternet büyük bir derya torrent, veya darknette 100bin kırlmış md5 veya sha listesi bulabilirsiniz. İşte hello'dan shakira'ya kadar herşey oradadır. Şifreler veritabanından şifreli halde sızsa bile veriler herkes tarafından açılır.

4 - Son olarak Google Plus gibi şifreleri plaintext (şifresiz halde) tutmayın.

Sonra başınıza neler gelir:) Biliyorsunuz.

Erkan Kavas

Erkan Kavas

Kendisi nefes almanın ne demek olduğunu bilen, hiç durmadan nefes almaya devam eden, asıl mesleği web, mobil yazılımcılığı olsa da, favorisi ios/android uygulama geliştirme ve seocu taklidi yapmak olan bir arkadaştır.