• Güvenli Parola Depolama
  • Güvenli Parola Depolamaya Giriş
    • Güvenli Parola Saklama İhtiyacı
    • Açık Metin Şeklinde Parola Depolama Neden Tehlikelidir
  • Güvenli Parola Depolamanın Temel İlkeleri
    • Tek Yönlü Hashleme
    • Tuzlama
    • İşlemsel Güçlendirme
    • Biberlemek
    • Zor Fonksiyonlar
  • Spring Boot Güvenli Parola Saklama Yöntemleri
    • BCryptPasswordEncoder
    • PBKDF2 (Password-Based Key Derivation Function 2)
    • Argon2PasswordEncoder
• Kaynakça

Güvenli Parola Depolama

Güvenli Parola Depolamaya Giriş

Yaşamakta olduğumuz dijital çağda parolalar kimlik doğrulamanın en yaygın yöntemlerinden biri olarak devam etmektedir. Parolaların oluşturulması kadar nasıl saklandığı da günümüzde büyük bir öneme sahiptir. Parolaların düz metin veya zayıf şifreleme algoritmaları ile saklanması ileride ciddi güvenlik ihlallerine yol açabilir. Bilgi işlem gücündeki ilerlemelerle saldırı stratejileri de gelişmeye ve evrimleşmeye başlamıştır. Bu nedenle güçlü parola depolama tekniklerinin kullanımına olan ihtiyaç daha da kritik hale gelmiştir.

Genel olarak verilerin ve özellikle de parolaların korunması, kullanıcı gizliliği ve sistem bütünlüğünü doğrudan etkiler. Dijital ortamda güvenliğin sağlanması açısından verilerin korunmaya alınması kritik öneme sahiptir. Birçok araştırma, parolaların düz metin olarak saklanması veya kolay bir şekilde tersine çevrilecek bir biçimde kullanılması gibi uygunsuz parola depolama yöntemlerinin sistemleri ve kullanıcıları veri ihlallerine karşı savunmasız bıraktığının altını çizmiştir.

Güvenli parola saklama teknikleri tersine mühendislik yapılamayacak kriptografik yapılara dayanır. Yaygın olarak kullanılan yöntemlerden bazıları tek yönlü hash’leme fonksiyonları ve tuzlamadır.

Kullanıcı kimlik bilgilerini ve parolalarını hedef alan siber saldırıların gitgide artmasıyla birlikte güvenli parola depolama uygulama güvenliğinin temel bir unsuru haline gelmiştir. Parola ihlalleri sadece kullanıcı gizliliğini tehlikeye atmakla kalmaz ilgili şirketleri de itibar ve mali açıdan zarara uğratır.

Bu yazı daha çok Spring Boot’daki güvenli parola depolama yöntemleri hakkında derinlemesine bilgiler, çeşitli hash algoritmaları, pratik örnekler, uygulanabilecek iyi yöntemler, program geliştiricilerin endüstri standartlarını karşılamasını sağlayacak güvenli parola depolama sistemleri hakkında bilgi vermeyi amaçlamaktadır.

Güvenli Parola Saklama İhtiyacı

Güvenli parola depolama yöntemlerine sahip sistemlerde veritabanı ele geçirilse bile depolanan parolalar saldırganlar için kullanılamaz halde olmalıdır. Bu hedefe yönelik olarak tek yönlü kriptografik hash fonksiyonları, parolaları birbirinden benzersiz şekilde tuzlamak gibi brute-force saldırılarını engelleyebilecek hesaplama açısından güçlü tekniklerin uygulanması ile ulaşılır.

Spring Boot Java kullanan geliştiriciler için framework’ün tek yönlü modern hash algoritmaları (Örneğin: bcrypt, scrypt, PBKDF2 ve Argon2) desteği parola güvenliği için sağlam bir çözüm sunar.

Açık Metin Şeklinde Parola Depolama Neden Tehlikelidir

Parolaların açık halde metin olarak saklanması durumunda veritabanına erişimi olan ister bir saldırgan, ister bir geliştirici veya bir veritabanı yöneticisi tarafından parolaların olduğu gibi görüntülenebileceği anlamına gelmektedir. Bu durumda bir saldırgan veritabanınıza erişim sağlarsa tüm kullanıcı kimlik bilgileri tehlikeye girmiş olur.

Veritabanı İhlali: Veritabanını ihlal eden saldırganlar açık şekilde bulunan şifrelere doğrudan erişim elde eder.

İçeriden Tehditler: Veritabanı erişimi olan çalışanlar veya yükleniciler açık metin olarak depolanmış kullanıcı parolalarını görüntüleyebilir.

Kimlik Bilgisi Doldurma: Saldırganlar, birçok kullanıcının parolaları yeniden kullanmasından yararlanarak ele geçirilen parolaları genellikle başka sitelerde yeniden dener.

Güvenli Parola Depolamanın Temel İlkeleri

Tek Yönlü Hashleme

Hashleme kendisine sağlanan veriyi (örneğin bir parolayı) sabit uzunlukta bir diziye dönüştüren tek yönlü bir fonksiyondur. Parolaların güvenli depolanması için şifre çözmeye karşı dirence sahip hash algoritmalarının kullanılması önemlidir. Bazı hash algoritmaları:

• MD5 ve SHA-1: Bu algoritmalar bir zamanlar yaygın olarak kullanılıyordu ancak çarpışma saldırılarına (collision attack) ve hash’leri tersine çevirme tekniklerine karşı savunmalarının zayıf olması nedeniyle artık güvensiz kabul edilmektedir. Modern güvenlik standartları parola hash’leme için bu algoritmaların artık tercih edilmemesini tavsiye etmekte.
• SHA-256 ve SHA-512: MD5 ve SHA-1 gibi daha eski algoritmalardan güçlü olmalarına rağmen bu algoritmalar güvenli parola depolama için gereken hesaplama gücünden yoksundur bu yüzden tek başına kullanılmaları tavsiye edilmez.

Daha güvenli parola depolamak için modern standartlar tuzlama ve hesaplama gücü gibi özellikleri içeren bcrypt, PBKDF2 veya Argon2 gibi bu amaç için özel olarak tasarlanmış algoritmaları kullanmayı önermektedir.

Tuzlama

Tuz hash’lemeden önce parolaya eklenen rastgele oluşturulmuş bir karakter dizisidir. Benzersiz tuzlar iki kullanıcı aynı parolaya sahip olsa bile hash değerlerinin farklı olmasını sağlar. Tuzlamanın önemli olduğu noktalar:

• Gökkuşağı Tablosu Saldırılarını Azaltma (Rainbow Table Attacks): Tuzlar, her hash değerini benzersiz hale getirerek saldırganların önceden hesaplanmış tabloları (gökkuşağı tabloları) kullanarak şifrelere erişmesini engeller.
• Hash Çakışmasını Önleme (Hash Collision): Kullanıcıların tamamen aynı parolalara sahip olması durumunda bile benzersiz tuzlar ile benzersiz hash’ler oluşması sağlanarak hash’lerin depolanmasında çakışma yaşanmasını önler.

İşlemsel Güçlendirme

İşlemsel güçlendirme, ilgili hash fonksiyonunun birden fazla kez uygulanmasını içerir. Bu yaklaşım tarzı her hash değerini oluşturmak için gereken hesaplama kaynağını artırarak kaba kuvvet (brute-force) ve sözlük (dictionary) saldırılarını yavaşlatır. İşlemsel güçlendirme bcrypt, PBKDF2 ve Argon2 gibi algoritmaların önemli bir özelliğidir, bu tarz özellikler güvenli parola depolama için kullanılmalarını uygun hale getirir.

Biberlemek

Biber tuza benzer şekilde hash’lemeden önce parolaya eklenen gizli bir değerdir. Tuza benzer fakat hash’lenen parola ile birlikte saklanmaz. Bu ek güvenlik katmanı bir saldırgan veritabanına erişim sağlaması durumunda parolaları ekstra korur. Genellikle uygulama konfigürasyon dosyalarında veya ortam değişkenlerinde saklanır.

Zor Fonksiyonlar

Argon2 gibi bellek açısından zor hash fonksiyonları hesaplama için önemli miktarda bellek kullanımı gerektirerek GPU tabanlı saldırılara direnç göstermek üzere tasarlanmıştır. Geleneksel hash algoritmalarının aksine zor fonksiyonlar, yüksek performanslı hesaplama kaynaklarına erişimi bulunan saldırganları da yavaşlatır.

Bu sayede saldırganların güçlü donanımlarla bile şifreleri kırmasını hesaplama açısından daha pahalı ve zor hale getirerek şifre depolamaya ekstra bir güvenlik katmanı ekler.

Spring Boot Güvenli Parola Saklama Yöntemleri

Spring Boot uygulama geliştiricilere Spring Security ile güvenli şifre depolamada kullanılabilecek birçok araç sağlar. Spring Boot’un bcrypt, PBKDF2 ve Argon2 aracılığıyla güvenli parola depolamayı nasıl desteklediğini örnekler halinde inceleyeceğiz.

BCryptPasswordEncoder

BCrypt, içerisinde bulunan tuzlama ve hesaplama zorluğu (computational hardness) özellikleri sayesinde popüler bir hash algoritmasıdır. Bu özellikler gökkuşağı tablosu ve brute force saldırı girişimleri de dahil olmak üzere çeşitli saldırı türlerine karşı dirençli olmasını sağlar.

Spring Boot’un Spring Security modülü, bcrypt hash işlemini basitleştiren kullanışlı bir sınıf olan BCryptPasswordEncoder’ı sağlar.

BCryptPasswordEncoder Kullanımı:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

public class PasswordService {
    private final PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

    public String hashPassword(String password) {
        return passwordEncoder.encode(password);
    }

    public boolean matches(String rawPassword, String encodedPassword) {
        return passwordEncoder.matches(rawPassword, encodedPassword);
    }
}

Otomatik Tuzlama: Her sefer bir parola hashlenirken bcrypt benzersiz bir tuz üreterek ek tuzlama yapılarına olan ihtiyacı ortadan kaldırır.

Ayarlanabilir Güç: Geliştiriciler ve yazılımcılar bir yandan performansı dengelerken diğer yandan güvenliği artırmak için hashleme turlarının sayısını ayarlayarak güç parametresini konfigüre edebilir.

PBKDF2 (Password-Based Key Derivation Function 2)

PBKDF2 (Password-Based Key Derivation Function 2), Pbkdf2PasswordEncoder sınıfı aracılığıyla Spring Security ile uyumlu bir şekilde yaygın olarak kullanılan bir başka hashleme algoritmasıdır. PBKDF2 birçok açıdan özelleştirilebilir; hash genişliği, yineleme sayısı ve tuz uzunluğunun özelleştirilmesine izin verir.

Pbkdf2PasswordEncoder Kullanımı:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

public class PasswordService {
    private final PasswordEncoder passwordEncoder = new Pbkdf2PasswordEncoder();

    public String hashPassword(String password) {
        return passwordEncoder.encode(password);
    }

    public boolean matches(String rawPassword, String encodedPassword) {
        return passwordEncoder.matches(rawPassword, encodedPassword);
    }
}

Parametre Ayarlama: PBKDF2 ayarlanabilir parametreler (örneğin yineleme sayısı, tuz uzunluğu) sunarak geliştiricilerin sistem gereksinimlerine göre güvenliği artırmasına, özelleştirme yapmasına olanak tanır.

Standartlara Uyumluluk: PBKDF2, RSA’nın PKCS #5’i altında standartlaştırılmıştır. Bu da onu kriptografik standartlarla uyumluluk gerektiren kuruluşlar için uygun bir hale getirir.

Argon2PasswordEncoder

Password Hashing Competition’ın (PHC) kazananı Argon2, mevcut en güvenli parola hash’leme algoritmalarından biri olarak kabul edilmektedir. Bellek zorlayıcı özellikleri ve paralel saldırılara karşı dirençli olması sayesinde güçlü donanımlar kullanılsa bile kaba kuvvet saldırılarına karşı korumada oldukça etkili olmasını sağlar.

Spring Boot’ta Argon2, Argon2PasswordEncoder sınıfı aracılığıyla kullanılabilir.

Argon2PasswordEncoder Kullanımı:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

public class PasswordService {
    private final PasswordEncoder passwordEncoder = new Argon2PasswordEncoder();

    public String hashPassword(String password) {
        return passwordEncoder.encode(password);
    }

    public boolean matches(String rawPassword, String encodedPassword) {
        return passwordEncoder.matches(rawPassword, encodedPassword);
    }
}

Argon2 ayarlanabilir parametrelere sahiptir:

Bellek Boyutu: Her hash hesaplaması için gereken bellek miktarını belirtir.

Paralellik: Kullanılan çekirdek sayısını yapılandırarak yüksek performanslı sistemlerde kaba kuvvet saldırılarını daha da yavaşlatır.

Yinelemeler: Hashleme işleminin kaç kez gerçekleştirileceğini ayarlayarak hesaplama süresini artırır.

Kaynakça

1. OWASP Cheat Sheet
2. NIST Guidelines
3. NCC Group
4. CryptoBook
5. Password Hashing Competition
6. Spring Security Docs
7. Baeldung
8. Mozilla Developer
9. OWASP Cheat Sheet
10. Spring Docs