Parola Karma nedir?

Parolaları düz metin olarak saklamak, yazılım geliştirmede en tehlikeli uygulamalardan biridir. Bir veritabanı ele geçirildiğinde, düz metin parolalar hesap ele geçirme için hemen kullanılabilir; yalnızca ele geçirilen hizmette değil, kullanıcıların aynı parolayı yeniden kullandığı her hizmette. Parola karma, düz metin depolamayı bir parola denemesini doğrulayabilen ancak orijinal parolayı kurtarmak için geri döndürülemeyen özetlerle değiştirir.

Tüm karma işlevleri parolalar için uygun değildir. SHA-256 gibi genel amaçlı karma işlevleri çok hızlıdır; modern GPU'lar saniyede milyarlarca SHA-256 karma hesaplayabilir, bu da kaba kuvvet saldırılarını önemsiz kılar. Parola karma algoritmaları kasıtlı olarak yavaş tasarlanmıştır; her karma hesaplaması için önemli miktarda CPU süresi, bellek veya her ikisi de gerektirir. Bu yavaşlık, iterasyon sayısı (PBKDF2), maliyet faktörü (bcrypt) veya bellek ve paralellik ayarları (Argon2) gibi parametreler aracılığıyla yapılandırılabilir.

Parola karmasının evrimi, savunucular ve saldırganlar arasındaki silahlanma yarışını yansıtır. PBKDF2 (2000), yapılandırılabilir iterasyon sayısı ekledi. bcrypt (1999), GPU hızlanmasına direnen sabit bellek gereksinimi getirdi. scrypt (2009), yapılandırılabilir bellek sertliği ekledi. Parola Karma Yarışması'nın galibi Argon2 (2015), ayarlanabilir CPU süresi, bellek ve paralellik sunar. Her nesil yeni saldırı olanaklarını ele alır; seçim, dağıtım ortamına ve tehdit modeline bağlıdır.

Vaulted Parola Karma nasıl kullanır

Vaulted, kullanıcı hesabı olmadığından kullanıcı parolası saklamaz. Ancak parola karma prensipleri, parola koruması özelliğini doğrudan etkiler. Bir kullanıcı gizli diziye parola ayarladığında, bir parola karma algoritması olan PBKDF2 bu paroladan bir anahtar türetmek için kullanılır. 100.000 PBKDF2 iterasyonunun kasıtlı yavaşlığı, parolaya kaba kuvvet tahminini pratik dışı bırakarak saldırgan şifreli metin ve salt değerini ele geçirse bile sarılmış anahtarı korur.