Son zamanlarda, Kaspersky Blockchain G\u00fcvenlik uzmanlar\u0131m\u0131z bir blockchain platformunu g\u00fcvenlik a\u00e7\u0131klar\u0131 i\u00e7in test ederken platformun \u015fifre kurtarma i\u015fleminin kullan\u0131c\u0131 ad\u0131 numaraland\u0131rmas\u0131 yoluyla ger\u00e7ekle\u015ftirilen bir sald\u0131r\u0131ya kar\u015f\u0131 savunmas\u0131z oldu\u011funu ke\u015ffetti. Web geli\u015ftiricilerinin bu t\u00fcr sald\u0131r\u0131lar\u0131n ve tehlikelerinin fark\u0131nda olmalar\u0131 gerekir.<\/p>\n
\u015eifre ve oturum a\u00e7ma kimlik do\u011frulamas\u0131 i\u00e7eren web uygulamalar\u0131 genellikle kullan\u0131c\u0131 veritaban\u0131yla etkile\u015fim kuran birka\u00e7 bile\u015fen i\u00e7erir: oturum a\u00e7ma penceresi (a\u00e7\u0131k nedenlerle), kay\u0131t formu (kullan\u0131c\u0131 adlar\u0131n\u0131n \u00e7o\u011falt\u0131lmas\u0131n\u0131 \u00f6nlemek i\u00e7in) ve \u015fifre s\u0131f\u0131rlama sayfas\u0131 ( ilgili hesab\u0131n var oldu\u011fundan emin olmak i\u00e7in). Web geli\u015ftiricileri bu \u00f6zellikleri yeterince g\u00fcvenli bir \u015fekilde uygulamazlarsa, sald\u0131rganlar veritaban\u0131nda belirli bir kullan\u0131c\u0131 ad\u0131n\u0131n bulunup bulunmad\u0131\u011f\u0131n\u0131 belirlemek i\u00e7in bunlar\u0131 kullanabilirler.<\/p>\n
Eskiden geli\u015ftiricilerin t\u00fcm bu \u00f6zellikleri herhangi bir koruma olmadan uyguluyorlard\u0131 ve sald\u0131rganlar bir kullan\u0131c\u0131 ad\u0131 listesi ve bunlar\u0131 tek tek giren bir program kullanabiliyordu. Zaman i\u00e7inde, hackerlar\u0131 sistemlerinin d\u0131\u015f\u0131nda tutmak i\u00e7in geli\u015ftiriciler captcha, sisteme giri\u015f say\u0131s\u0131ndaki s\u0131n\u0131rlamalar ve yan\u0131tlarda ayr\u0131nt\u0131lar\u0131n\u0131 gizlemek i\u00e7in y\u0131ld\u0131z i\u015faretleri veya di\u011fer ara\u00e7lar gibi koruyucu numaralar uygulamaya ba\u015flad\u0131.<\/p>\n
Modern Web uygulamalar\u0131nda, giri\u015f penceresi genellikle bu t\u00fcr bir korumaya sahiptir. Ancak, kay\u0131t formlar\u0131 ve \u015fifre s\u0131f\u0131rlama sayfalar\u0131 bazen eksiktir. Buna ek olarak, Web geli\u015ftiricileri veritaban\u0131nda bir kullan\u0131c\u0131n\u0131n varl\u0131\u011f\u0131n\u0131n veya yoklu\u011funun sunucu yan\u0131t\u0131n\u0131n zamanlamas\u0131yla belirlenebilece\u011fini d\u00fc\u015f\u00fcnmezler. \u00d6rne\u011fin, kullan\u0131c\u0131 ad\u0131 veritaban\u0131nda g\u00f6r\u00fcn\u00fcyorsa, sunucunun yan\u0131t\u0131 2 milisaniye s\u00fcrer. De\u011filse, yan\u0131t iki kat daha uzun s\u00fcrer. 4 milisaniye. Bir insan i\u00e7in, fark tespit edilemez, ancak otomatik numaraland\u0131rma ara\u00e7lar\u0131 taraf\u0131ndan g\u00f6r\u00fclmesi kolayd\u0131r.<\/p>\n
Numaraland\u0131rma sald\u0131r\u0131s\u0131, hacker\u0131n veritaban\u0131nda bir ad olup olmad\u0131\u011f\u0131n\u0131 kontrol etmesine olanak tan\u0131r. Bu, bilgisayar korsan\u0131n\u0131n hemen oturum a\u00e7mas\u0131na izin vermez, ancak hacker\u0131n ihtiyac\u0131 olan bilgilerin yar\u0131s\u0131n\u0131 verir. \u00d6rne\u011fin, kaba kuvvet sald\u0131r\u0131s\u0131 haz\u0131rlamak i\u00e7in hackerlar\u0131n ihtiyac\u0131 olan tek \u015fey do\u011frulanm\u0131\u015f kullan\u0131c\u0131 ad\u0131 ile e\u015fle\u015fen bir \u015fifre. Giri\u015f ve \u015fifre \u00e7iftleri aramak yerine bu sald\u0131r\u0131y\u0131 kullanarak zaman kazan\u0131rlar.<\/p>\n
Neredeyse her hizmetin kullan\u0131c\u0131 ad\u0131 olarak e-posta adresleri kulland\u0131\u011f\u0131n\u0131 unutmay\u0131n. Bu nedenle, s\u0131radan bir kullan\u0131c\u0131n\u0131n bir\u00e7ok web sitesi i\u00e7in tek bir giri\u015fi vard\u0131r ve t\u00fcm siteler g\u00fcvenli\u011fi e\u015fit derecede ciddiye almaz. Bu nedenle kullan\u0131c\u0131 ad\u0131 ve \u015fifre kombinasyonu s\u0131z\u0131nt\u0131lar\u0131 olduk\u00e7a yayg\u0131nd\u0131r. Bu s\u0131z\u0131nt\u0131lardan elde edilen birle\u015ftirilmi\u015f veri koleksiyonlar\u0131 hacker mesaj panolar\u0131nda bulunur. Ayr\u0131ca, insanlar farkl\u0131 web siteleri i\u00e7in ayn\u0131 \u015fifreleri kullanma e\u011filimindedir. Bu nedenle web sitenizde bir kullan\u0131c\u0131 ad\u0131n\u0131n bulundu\u011fundan emin olduktan sonra, sald\u0131rgan ayn\u0131 kullan\u0131c\u0131n\u0131n \u015fifrelerin ba\u015fka sitelerde olup olmad\u0131\u011f\u0131n\u0131 g\u00f6rmek i\u00e7in bu panolara g\u00f6z atabilir ve ard\u0131ndan bu \u015fifreleri farkl\u0131 sitelerde deneyebilir.<\/p>\n
Buna ek olarak, hedef odakl\u0131 kimlik av\u0131 operat\u00f6rleri genellikle ke\u015fif a\u015famas\u0131nda numaraland\u0131rma sald\u0131r\u0131lar\u0131 uygular. Hackerlar hedeflerinin hizmetinizde bir hesab\u0131 oldu\u011funu belirledikten sonra, sizden gelmi\u015f gibi g\u00f6r\u00fcnen bir e-posta g\u00f6ndererek kullan\u0131c\u0131dan \u015fifrelerini de\u011fi\u015ftirmesini ve web sitenize benzeyen bir kimlik av\u0131 sayfas\u0131na ba\u011flanmalar\u0131n\u0131 isterler. Durumdan \u015f\u00fcphelenmeyen m\u00fc\u015fteri yeni bir \u015fifre girdi\u011finde, eski \u015fifreyi de onaylar ve b\u00f6ylece doland\u0131r\u0131c\u0131lara ihtiya\u00e7 duyduklar\u0131 her \u015feyi sa\u011flar.<\/p>\n
Modern web sitelerinin \u015fifre s\u0131f\u0131rlama formlar\u0131n\u0131n teslim edilmesine nas\u0131l yan\u0131t verdi\u011fini hi\u00e7 fark ettiniz mi? Web sitelerinin eskisi gibi \u201c\u015eifrenizi s\u0131f\u0131rlamak i\u00e7in size bir ba\u011flant\u0131 g\u00f6nderildi\u201d veya \u201cBelirtilen e-posta veritaban\u0131m\u0131zda yok\u201d demiyorlar. Bunun yerine, \u201cBu e-posta veritaban\u0131m\u0131zda varsa, size ba\u011flant\u0131 i\u00e7eren bir mesaj g\u00f6ndeririz\u201d yaz\u0131yorlar. Ba\u015fka bir deyi\u015fle, web siteleri kullan\u0131c\u0131 ad\u0131n\u0131n varl\u0131\u011f\u0131n\u0131 a\u00e7\u0131k\u00e7a onaylam\u0131yor veya reddetmiyor. Web siteleri bu de\u011fi\u015fikli\u011fi \u00f6zellikle de numaraland\u0131rma sald\u0131r\u0131lar\u0131na kar\u015f\u0131 korumak i\u00e7in yapt\u0131lar.<\/p>\n
Ayn\u0131 \u015fekilde, giri\u015f penceresinde kullan\u0131c\u0131n\u0131n yanl\u0131\u015f bir \u015fifre girdi\u011fini veya sistemde b\u00f6yle bir kullan\u0131c\u0131 ad\u0131n\u0131n bulunmad\u0131\u011f\u0131n\u0131 ayr\u0131nt\u0131l\u0131 olarak a\u00e7\u0131klaman\u0131za gerek yoktur. Sadece kullan\u0131c\u0131 ad\u0131\/\u015fifre kombinasyonunun bulunmad\u0131\u011f\u0131n\u0131 s\u00f6yleyin. Ancak, bu durum kullan\u0131c\u0131 deneyimi (UX) a\u00e7\u0131s\u0131ndan ideal olmayabilir. Mesela ben, kay\u0131t i\u00e7in hangi e-postay\u0131 kulland\u0131\u011f\u0131m\u0131 unuttu\u011fumda sinirlenebiliyorum fakat \u015fifre veya tam tersi \u015fekilde kullan\u0131c\u0131 ad\u0131 hakk\u0131nda olduk\u00e7a eminim. Bu s\u00f6z konusu oldu\u011funda web sitesi hangi alanda yanl\u0131\u015f giri\u015f yapt\u0131\u011f\u0131m konusunda hi\u00e7bir ipucu vermiyor. Bununla birlikte sanal ortamda g\u00fcvenli\u011fi sa\u011flamak olduk\u00e7a kolayd\u0131r. S\u00f6z konusu kimlik do\u011frulama hizmetleri oldu\u011funda, kullan\u0131c\u0131lar\u0131n k\u00fc\u00e7\u00fck bir g\u00fcvenlik \u00f6nyarg\u0131s\u0131 da hakl\u0131 \u00e7\u0131kar.<\/p>\n