Back

Parola Hash Cozucusu

Parola hashleri, tuz ve yapilandirabilir is faktorleri ile tek yonlu fonksiyonlar kullanarak kimlik bilgilerini guvenli bir sekilde saklar. Bu arac, Modular Crypt Format (MCF), PHC String Format ve LDAP semalari icindeki hashleri otomatik olarak algilar ve ayristirir; algoritma, parametreler, tuz, hash ciktisi ve guvenlik degerlendirmesini gosterir.

Spesifikasyonlar

Yaygin Kullanim Alanlari

  • Bir veritabaninin parolalar icin hangi hashleme algoritmasini kullandigini belirleme
  • Sizma testleri veya guvenlik incelemelerinde parola hash guvenligini denetleme
  • bcrypt maliyet faktorleri ve Argon2 parametrelerinin OWASP onerilerine uygunlugunu dogrulama
  • LDAP dizin parola depolama semalarini anlama
  • Hash formati ve parametrelerini inceleyerek kimlik dogrulama sorunlarini hata ayiklama

Ozellikler

  • MCF ($1$, $2b$, $5$, $6$, $sha1$, $apr1$), PHC ($argon2id$, $scrypt$, $pbkdf2$) ve LDAP ({SSHA}, {SHA}, {MD5}) formatlarini otomatik algilama
  • Algoritma, varyant, parametreler (maliyet, tur, bellek, paralellik), tuz ve hash ciktisini gosterme
  • Guvenlik degerlendirmesi: kritik (MD5/tuzsuz), zayif (SHA-1/dusuk maliyet), orta (SHA-crypt), guclu (bcrypt 12+/argon2/scrypt)
  • Renk kodlu guvenlik degerlendirmesi onerileri
  • Hash kodlama formati gosterimi (base64, hex vb.)
  • Cok satirli giristen birden fazla hash ayristirma
  • Hash bit uzunlugu ve kodlama formatini gosterme
  • Her algoritma icin ilgili spesifikasyonlara baglantilar

Ornekler

bcrypt parola hashi

Deneyin →

Maliyet faktoru 12 ile bir bcrypt hashi — yeni uygulamalar icin onerilen minimum.

$2b$12$LJ3m4ys3Lg2VBe5E5Ij25eNsaDl3JK8i3pg7jBepGQhWcqMpqXA4q

Argon2id parola hashi

Deneyin →

64 MB bellek, 3 yineleme ve 4 is parcacigi ile Argon2id — mevcut en iyi uygulama.

$argon2id$v=19$m=65536,t=3,p=4$c29tZXNhbHQ$RdescudvJCsgt3ub+b+daw

Ipuclari

  • bcrypt maliyet faktoru 12+ OWASP tarafindan onerilir. Her artis hesaplama suresini iki katina cikarir.
  • Argon2id mevcut en iyi uygulamadir — yan kanal direnci (argon2i) ve GPU direncini (argon2d) birlestirir.
  • LDAP {SSHA} tuzlu SHA-1'dir — {SHA}'dan iyidir ama hala hizli bir hashtir. bcrypt veya Argon2'ye gecin.
  • Encode As panelinden parola hashleme ciktisini yapistirarak burada cozun ve dogrulayin.

Anlama Parola Hash Cozucusu

Parola hashleme, parolalari duz metin yerine tek yonlu kriptografik hashler olarak saklama pratigidir. Bir kullanici parola belirlediginde sistem onu hashler ve hashi saklar. Giris sirasinda sistem gonderilen parolayi hashler ve sonucu saklanan hashle karsilastirir. Hash fonksiyonu tek yonlu oldugu icin, hash veritabanini elde eden bir saldirgan paralolari dogrudan kurtaramaz.

Modern parola hashleme algoritmalari, kaba kuvvet saldirilarina direnmek icin kasitli olarak yavas ve bellek yogundur. bcrypt, her artisin hesaplama suresini iki katina cikardigi yapilandirabilir bir maliyet faktoru kullanir. Argon2 (2015 Password Hashing Competition kazanani), GPU tabanli saldirilara direnmek icin yapilandirabilir bellek kullanimi ekler. scrypt de onemli miktarda bellek gerektirir. Bu "yavas hashler", hiz icin tasarlanmis olan ve parola depolama icin uygun olmayan hizli hashlerden (MD5, SHA-256) temelden farklidir.

Parola hashleri, tasinabilirlik icin standartlastirilmis dize formatlari kullanir. Modular Crypt Format (MCF), $ ayiricilari kullanir: bcrypt icin $2b$12$..., SHA-256-crypt icin $5$, SHA-512-crypt icin $6$. PHC String Format (Argon2 tarafindan kullanilir) adlandirilmis parametreler ekler: $argon2id$v=19$m=65536,t=3,p=4$salt$hash. LDAP sistemleri sema onekleri kullanir: {SSHA}, {PBKDF2}.

Her hash bir tuz icerir — ayni parolalarin farkli hashler uretmesini saglamak icin hashleme oncesi parola ile birlestirilen rastgele veri. Tuzlama olmadan, saldirganlar yaygin parola hashlerini aninda aramak icin onceden hesaplanmis gokkusagi tablolari kullanabilir. Tuz, hashin yaninda saklanir (gizli degildir) ve her parola icin rastgele uretilir.

Yeni uygulamalar icin, Argon2id OWASP tarafindan onerilen mevcut en iyi uygulamadir. Argon2 cercesvenizde mevcut degilse, maliyet faktoru 12+ ile bcrypt bir sonraki en iyi secenektir ve scrypt de kabul edilebilir. MD5, SHA-1 ve duz SHA-256 parolalar icin asla kullanilmamalidir — cok hizlidir ve modern GPU'larda saniyede milyarlarca denemeyle kaba kuvvet uygulanabilir. MD5 ozellikle hizli bir sagbrosma toplami algoritmasi olarak tasarlanmistir, parola depolama icin degil ve bilinen carpisma zayifliklari vardir. Tuzsuz MD5 hashleri de gokkusagi tablosu saldirilarina karsi savunmasizdir.

bcrypt maliyet faktoru ($2b$'den sonraki sayi) hesaplama suresini kontrol eden bir ustur. Maliyet 10, 2^10 = 1.024 yineleme anlamina gelirken, maliyet 12 2^12 = 4.096 yineleme anlamina gelir — maliyet 10'dan dort kat daha yavas. OWASP minimum olarak maliyet 12'yi onerir. Her artis sureyi iki katina cikarir, bu nedenle 10'dan 12'ye cikmak hashlemeyi hem sunucu hem de herhangi bir saldirgan icin 4 kat daha yavas yapar.

Bir tuz ve bir biber, parola guvenliginde farkli roller ustlenir. Tuz, hashin yaninda saklanan, parola basina benzersiz, ayni parolalarin farkli hashler uretmesini saglayan rastgele veridir — tuzlar gizli degildir. Biber, tum parolalara uygulanan (tipik olarak HMAC araciligiyla) gizli bir anahtardir ve veritabanindan ayri olarak uygulama yapilandirmasinda veya bir donanim guvenlik modulunde saklanir. Veritabani ele gecirilir ancak biber gecirilmezse, saldirgan tuzlara sahip olsa bile hashleri kiramaz. Her ikisini birlikte kullanmak derinlemesine savunma saglar.

← Tum araclara don