Bir veri ihlali nedeniyle parolamızı değiştirmemizi isteyen e-postalara alışkınız. Blokzinciri teknolojisini kullanan Tide, parolaları çok daha güvenli hale getirme iddiasında.
Tide.org bu sene Mayıs ayında, ademi merkeziyetçi blokzinciri ile sunduğu parola çözümünü kırabilen herkese bir Bitcoin vereceğini açıklamıştı, üstelik ipuçları ve yardım önerecek kadar cesurdular. Aradan geçen zaman boyunca ve 6,5 milyondan fazla denemede, hiçbir hacker bunu başaramadı. İşin sırrı parolaları parçalamaktan geçiyor.
Parçalama, parola korumada oldukça çığır açan bir yaklaşım. Şifrelenmiş parolalar küçük parçalara bölünür ve daha sonra merkezi olmayan bir blokzinciri ağında dağıtılır. Bunun anlamı, bir hacker için bir parolayı kırmanın çok zor hale gelmesidir. Özellikle büyük saldırılarda ele geçirilen ve milyonlarca parola içeren veritabanları karaborsaya düştükten sonra şifreler kırılarak parolalar deşifre edilebiliyor ancak Tide protokolü sayesinde bunu yapmak neredeyse imkansız hale geliyor.
Sistemin ne kadar iyi çalıştığını test etmek için Tide.org, daha önce ele geçirilen Linkedin kimlik bilgileri veritabanını kullandı. En yaygın saldırı türü olan “sözlük saldırısı”, bu veritabanı deşifre etmekte yüzde 100 başarılı oldu. Ancak Tide protokolü ile parçalama sonrası bu ihtimal yüzde 0,00072’ye geriledi. Bunun anlamı parolalar 14 milyon kat daha güvenli hale geldi.
Burada netleştirilmesi gereken bir nokta var, eğer kullanıcı parolasını aldatılarak veya yanlışlıkla ele geçirilecek şekilde ve açıkça ifşa ederse bu protokolün yapabileceği bir şey yok. Protokolün güçlü olduğu yön kullanıcı hatasından kaynaklanmayan ancak servislerin hacklenmesi durumunda ele geçirilen şifrelenmiş parolaların deşifre edilmesini zorlaştırmak. Genellikle kullanıcılar kendilerine kolay geldiği için tek bir parolayı çok farklı hesaplarında kullanabiliyorlar ve bu farklı hesaplardan birisi hacklenip parolaların şifresi kırıldığında siber korsanlar diğer hesaplara da girme şansı elde ediyorlar.
Tide.org açık kaynaklı bir çözüm sunuyor ve kodlar herkesin erişimine açık. İlerleyen dönemlerde şifrelenmiş parola kayıtlarının bütünüyle blokzinciri altyapısında saklanabileceğini öngörebiliriz.
Siber saldırganların nasıl çalıştığını ve nasıl daha güçlü parola oluşturabileceğinize dair ipuçlarını, BCTR Genel Yayın Yönetmenimiz Ahmet Usta‘nın kaleme aldığı makalede okuyabilirsiniz.
