Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz 1, Mehmet Emin Dalkılıç 2 1 İzmir Ekonomi Üniversitesi, Bilgisayar Mühendisliği Bölümü, İzmir 2 Ege Üniversitesi, Uluslararası Bilgisayar Enstitüsü, İzmir ilker.korkmaz@ieu.edu.tr, mehmet.emin.dalkilic@ege.edu.tr Özet: Parola güvenliğinde amaç, kullanıcıları yönlendirerek sistemde zayıf parolaların kullanımını engellemek ve sistem güvenliğini arttırmaktır. Bu bağlamda, sistemde hazır bulunan bir öncül parola denetim aracı ile, kullanıcının parola seçimi ve parola yenileme işlemleri sırasında seçtiği parolanın anında denetlenmesi ve zayıf olduğu tespit edilen parolaların reddedilmesi mümkündür. Bu çalışmada, karar ağacı modeli yönteminin kullanıldığı öncül bir parola denetim yazılımının (Hyppocrates) Türkçe parolalar için kullanılabilmesi amacıyla yapılan araştırmalar, elde edilen gerçek Türk kullanıcı parolaları ile gerçekleştirilen deneyler ve bu deney sonuçlarının değerlendirmeleri sunulmuştur. Anahtar Sözcükler: Öncül Parola Denetimi, Karar Ağaçları, Zayıf Parola. Password Selection System via Proactive Password Checking Method: An Investigation for Turkish Passwords Abstract: The objectives of password security are to increase the system security, and to avoid the use of weak passwords in the system by educating the users. In this context, it is possible with a ready to use proactive password checker tool that the password chosen by the user at the first time or at any password changing event is checked and the weak passwords are rejected. In this study, a proactive password checking software (Hyppocrates) which employs a decision tree model is used for evaluating Turkish passwords. Experiments conducted on real passwords used by Turkish users are described and their results are presented. Keywords: Proactive Password Checking, Decision Trees, Weak Password. 1. Giriş Parola, sisteme bağlanan kullanıcının kimliğinin doğrulanması amacı ile kullanılır. Parola güvenliğinde amaç kullanıcıları yönlendirerek zayıf parolaların kullanımını engellemek ve sistem güvenliğini arttırmaktır [1]. Bu amaçla, kullanıcı eğitimi, otomatik üretilmiş parolaların kullanımı, ardıl (reactive) parola denetimi ve öncül (proactive) parola denetimi teknikleri kullanılmaktadır [2,3,4]. Kullanıcıların parola seçiminin önemi ve güçlü/iyi parola seçiminin temel kuralları konusunda eğitilmeleri yararlı olmakla birlikte, bu yaklaşım zayıf parolaların sistemde bulunmasını engellemekte yeterli değildir. Otomatik seçilmiş parolaları kullanıcılara dayatmak ise kullanıcıların sistemden soğumasına veya verilen parolayı hatırlaması zor olacağı için bir yere yazmasına neden olmaktadır. Dolayısıyla otomatik üretilmiş parolaların kullanımı pratik olmamaktadır. 171
Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç Ardıl parola denetimi, sistemde kullanılan parolaların zaman içinde sistem yöneticileri tarafından denetimi ve genellikle parola kırıcı yazılımlar aracılığıyla yapılan bu denetimlerde kırılabilen zayıf parolaların sahiplerinin yeni parola seçmeye zorlanması ilkesine dayanmaktadır. Bu yöntemde sonradan ek denetim işi mevcut olup bu işin akasayabildiği ve bir kez sisteme giren zayıf parolaların değiştirilinceye kadar kullanılması ile sistemde güvenlik zafiyeti oluştuğu bilinmektedir [1]. Öncül parola denetimi yöntemi ise kullanıcının ilk parola seçimi ve her parola yenilemesi sırasında seçtiği parolanın anında denetlenmesi, zayıf olduğu tespit edilirse kabul edilmemesi ve bu durumda kullanıcının yeni bir parola seçmesine itilmesi ilkesi üzerine kuruludur. Öncül parola denetim yazılımları temel olarak bir zayıf parola modeli oluşturur ve aday parolaları bu modele göre değerlendirerek modele uyanları zayıf olarak belirleyip onların sisteme girişine izin vermez. Türkçe kelimeleri dikkate alan bir öncül parola denetim yaklaşımının Türkiye deki bilgisayar sistemlerinin güvenliğinin sağlanması konusunda katkı sağlayabileceği düşünülmektedir [1]. Bu bildiride, ilk yazarın Yüksek Lisans Tezi [1] kapsamında, Türkçe parolaların denetlenebilmesi için öncül parola denetleme araçlarından Hyppocrates [4] yazılımının kullanımına yönelik araştırmaların verileri sunulmaktadır. Bu bildirinin ilerleyen bölümlerinde düzen şu şekildedir: 2. bölümde öncül parola denetimi hakkında literatür taraması aktarılmakta, 3. bölümde Hyppocrates programı kullanılarak Türkçe parola adayları ile yapılan deneyler sunulmakta, son bölümde de sonuçlar ve ilgili öneriler verilmektedir. 2. Öncül Parola Denetimi Bu bölümde öncül parola denetiminde kullanılan temel yaklaşımlar aktarılacak ve karar ağacı yöntemiyle öncül parola denetimi açıklanacaktır. 172 2.1 Öncül Parola Denetimi Yaklaşımları Öncül parola denetiminin temelinde, denetlenen aday parolanın güçlü veya zayıf olarak değerlendirilmesi yatmaktadır. Çeşitli yöntemler kullanılarak oluşturulan öncül parola denetimi mekanizmalarından geçirilen parolalar, ilgili prosedürler tarafından değerlendirilip kullanılan parola kriterlerine uygun değilse zayıf olarak, uygunsa güçlü olarak sınıflandırılır. Öncül parola denetimi için kullanılan yaklaşımlar; kural tabanlı modeller, Bloom filtreleri yaklaşımı, Markov modeli yaklaşımı ve karar ağaçları modeli bazlı denetim yöntemleri olarak sınıflandırılabilir. Kural tabanlı modellerin kullanıldığı öncül parola denetimi yöntemlerinde, belirlenen çeşitli kurallara uygun şekilde seçilen parolalar denetimden başarıyla geçerken, karakter nitelikleri açısından herhangi bir kurala uymayan parolalar zayıf olarak sınıflandırılmaktadır ve sistem tarafından bu parolaların seçimlerine izin verilmemektedir. Kurallara dayalı kullanılan denetleme politikaları içeriğinde, genel olarak, parolanın en az 8 karakter uzunlukta olması, parolanın ilk 8 karakteri içinde en az 1 büyük harf ve 1 rakamsal karakter bulunması gibi kurallar mevcuttur [3]. Ancak, bu yöntemde kuralların çok sıkı olması, kullanıcıları sistemden soğutabilir. Kural tabanlı modele dayalı olarak çalışan öncül parola denetleyici programları, merkezinde bir konfigürasyon dosyası barındırır. Bu dosya, ilgili kuralları ve bu kurallara dayalı denetlemenin kontrol yapılarını içerir. Genelde, bu dosya aracılığıyla, ilgili sistemlerin parola yönetim mekanizmalarına, öncül parola denetim mekanizması, yama (patch) şeklinde de eklenebilmektedir. Bu dosyanın sistem yöneticisi tarafından ayarlanması sonucu, program denetleme işlemine hazır duruma getirilir. UNIX sistemlerde kullanılmak üzere hazırlanmış bir öncül parola denetleyicisi olan pwcheck bu şekilde kullanılabilmektedir [5].
Diğer bir öncül parola denetimi yaklaşımı olarak, Bloom [6] filtresi kullanımına dayanan model öne sürülmüştür. Öncelikle Bloom filtresi tanımlanmak istenirse, bir Bloom filtresi, bir parolayı ilgili bir öz (hash) fonksiyonu aracılığıyla sonlu bir değerle eşleştirir. k. dereceden bir Bloom filtresi, k adet bağımsız öz fonksiyonundan oluşmaktadır. 0 ila N-1 arasındaki tamsayı değerlerini cevap olarak döndüren bu fonksiyonların her birisi, aynı parolayı N bitlik bir öz tablosu içindeki ilgili bit değeri ile eşleştirir. Tablodaki her bit 0 değerine kurulduktan sonra, hazır olarak bulundurulan mevcut sözlükte yer alan her parola için öz değeri hesap edilir ve sonuçlarla ilişkili bütün bit değerleri 1 olarak kurulur. Eğitim sırasında tüm parolaların aynı işleme tabi tutulması sonrasında kurulan bitlerle öz tablosu hazırlanmış olur. Denetleme amacıyla, bir aday parola değerlendirilirken, eğitimde kullanılan tüm öz fonksiyonlarından ayrı ayrı geçirilir ve eşleştirildiği sonuçla ilişkili bitler kontrol edilir. Eğer fonksiyonların döndürdüğü sonuçlarla ilişkili bit değerlerinin hepsi de tabloda kurulu konumda ise parola reddedilir. Eşleştirilen sonuçlara göre tabloda gösterilen herhangi bir bit kurulmamış konumda ise parola kabul edilir. Bloom filtreleri modeliyle oluşturulan bir öncül parola denetimi yazılımına Obvious Password Utility System (OPUS) [7] örnek verilebilir. Bu modelde parola kontrol zaman karmaşıklığı O(1) olarak sabit ve çok hızlı olsa da, düşük hata oranları için ihtiyaç duyulan çok sayıda parola adayı içeren sözlükten üretilen öz tablosunun kapladığı alan sorun olabilmektedir [7]. Yer ve zaman sorununa çözüm getirmek amacıyla düşünülen bir öncül parola denetimi yaklaşımı, Markov zinciri modeline dayanmaktadır. Genel olarak bir Markov modeli, [m, A, T, k] şeklinde bir dörtlü (quadruple) ile ifade edilebilir [3]. Bu ifadede, m, modeldeki durum (state) sayısını; A, modeldeki durum uzayını; T, geçiş olasılıkları matrisini; k ise modelin derecesini belirtmektedir. k. dereceden bir Markov modelinde, belirtilen bir harfe geçiş Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri 173 yapma olasılığı üretilmiş olan geçmiş k adet harfe bağlı olmaktadır. Markov modeli ile parola denetimi için öncelikle zayıf parolaları barındıran bir eğitim sözlüğü derlenir. Daha sonra, bu sözlükteki parolalar kullanılarak, modeldeki olası geçiş matrisleri hesaplanır. Böylece, sözlükteki parolaların yapısı modellenmiş olur. Test edilirken, değerlendirilen bir parolanın zayıf olup olmadığına, parolanın ilgili Markov modeli ile üretilip üretilememesi çıkarsamasına göre karar verilir [3]. Örnek olarak, BApasswd [8], üçlü harf grupları ile Markov modeli kullanan bir yazılımdır. Karar ağacı modeline dayanan bir yaklaşımla öncül parola denetimi yapabilmek üzere, eğitim safhasında, zayıf veya güçlü olarak sınıflandırılmış olan parolaları barındıran sözlükler ile bir karar ağacı yapısı derlenir. Oluşturulan karar ağacı yapısının kök düğümüne, denetlenmek üzere verilen bir aday parola, karar ağacı üzerinde çeşitli niteliklere göre değerlendirilerek yaprak düğümlere doğru yönlendirilir ve ulaştığı terminal düğümde verilen son karara göre zayıf veya güçlü olarak sınıflandırılmış olur. 2.2 Karar Ağacı Yöntemi ile Parola Sınıflandırılması ve Öncül Parola Denetimi Karar ağacı yapıları, çeşitli niteliklere göre, belirli bir sonlu küme içindeki sınıf değerlerinden birine karar vermek amacıyla birçok alanda kullanılabilmektedir. İlk defa Bergadano v.d. [2] tarafından, öncül bir parola denetleyicisinin eğitim aşaması bir çeşit makine öğrenme (machine learning) problemi olarak değerlendirilip karar ağacının öğrenme yöntemi ile kendisini oluşturması ve üretilen karar ağacı yapısının, parolaları zayıf veya güçlü olarak sınıflandırması düşünülmüştür. Sözlüklerde yer alan kelimeler zayıf parola adayları olarak, sözlüklerde yer almayacak şekilde rastgele üretilen parolalar da güçlü adaylar olarak kümelenerek, karar ağacı yapısı eğitilmiştir. Denetleme esnasında karar ağacının kök düğümüne verilen bir parola, düğümlerde sorgulanan niteliklere göre uy-
Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç gun olduğu değerin yönünde yapraklara doğru ilerletilerek, terminal düğümdeki değer ile sınıflandırılmış olacaktır. Eğitim safhasında zayıf olarak tanıtılan bir parolanın, denetleme anında zayıf olmadığı kararına varılırsa, bu sonuç hatalı negatif olarak, buna karşın eğer zayıf sözlükte yer almayan ve eğitim esnasında tanıtılmayan veya güçlü olarak tanıtılan bir parola adayı, denetleme sırasında değerlendiriliyorken zayıf olarak nitelendirilirse, bu sonuç ise hatalı pozitif olarak tanımlanmaktadır. Eğitim safhasında ne kadar çok parola kullanılırsa, kullanılan tüm parolaların karar ağacında doğru sınıflandırılabilmesi için ağaç yapısının uzunluğu da artacaktır. Çünkü ağacın herhangi bir yaprağında tek bir sınıf değeri kalana kadar yapı, kendini yinelemeli bir biçimde oluşturmaya devam edecektir. Eğitimde kullanılan tüm parolalar için doğru sınıflandırmayı yapabilecek olan bir karar ağacı için gereken bir diğer ön şart da ağaç yapısının düğümlerinde sorgulanacak olan kriterlerin belirlenmesidir. Bu kriterler, karar ağacı yapısındaki düğümlerde nitelik (attribute) olarak isimlendirilmektedir. Parolanın uzunluğu veya ilk karakterin sesli harf olması gibi çeşitli fonksiyonlar olarak gerçeklenen bu nitelikler sonucunda, tüm parolalar, aldıkları değerlere göre ağaç yapısında bir alt seviyedeki düğüme doğru gönderilirler. Bu işlem eğitilen her parolanın sınıflandırılması yapılana dek sürer. İstenirse, belirli seviyelerden sonra ağaç budanarak (pruning) ilgili dalların altındaki tüm parolalar çoğunluğa göre sınıflandırılabilir. Önemli olan, boyut ve doğru sınıflama açısından en uygun olan karar ağacı yapısını oluşturmaktır [1]. ProCheck [2] ve Hyppocrates [4] karar ağacına dayalı öncül parola denetleyici yazılımlarına örnektir. 3. Deneyler Bizim çalışmamızda, Türkçe parolaların sınıflandırılabilmesi için karar ağacına dayalı 174 yöntem kullanan Hyppocrates programı ele alınıp programın eğitim safhasında farklı tür parola sözlükleri kullanılarak değerlendirme sırasındaki performansı incelenmiştir. Bu deneylerde, Türk Dil Kurumu kelime sözlüğü yanı sıra Türk kullanıcıların çeşitli sistemlerde kullandıkları gerçek parolaları kullanılmıştır. Ayrıca, [1] çalışması içeriğinde yapılan parola kırma deneyleri sonucuna göre 2564 gerçek paroladan kırılan 777 si, bu programın eğitim safhasında zayıf parola adayı olarak, kırılamayan 1787 si de güçlü aday olarak tanıtılmıştır. Araç olarak Hyppocrates programının seçilmiş olma sebebi, yazarlarından elde edilebilmiş olması ve İngilizce parola adayları için uygun performansla çalışabildiğinin belirtilmiş olmasıdır [4]. Bu bildiride sunulan Türkçe parolalar ile yapılan ilgili deneyler ve denenen sözlükler, kriter olarak başka öncül parola denetleyici programların Türkçe kelimeler ile test edilmesinde de kullanılabilir. Hyppocrates programının görsel kullanımına burada değinilmeyip ilgili program aracılığıyla yapılan deneyler aktarılmıştır. Programın eğitim ve test süreçlerinde kullanılmak üzere derlenen sözlükler ile ilgili açıklamalar Tablo 1 de, ilgili deneylerin açıklamaları da Tablo 2 ve Tablo 3 içinde sunulmuştur. Tablolardaki MAP ifadesi barındıran sözlükler, içeriğindeki kelimelerdeki harflerde Türkçe karakterlerin ilgili yakın İngilizce harfe dönüştürülmesi ( ç yerine c, ğ yerine g kullanımı gibi) ile derlenmiştir. Böylece Türkçe kelimelerdeki her karakterin de 1 bayt ile kodlanmış durumda olması sağlanmıştır. 3. 1 İlk Deney ve Değerlendirmesi İlk deneyde, programın orjinal hali ve kendine ait nitelikleri ile kullanımının ifadesi Tablo 2 de H modunda belirtilmiş, programın nitelik değerleri içinde ilgili kriterlere göre Türkçe harfleri de kapsayacak biçimde yeniden derlenip içeriğinde UTF-8 kodlanmış sözlükler kullanımının ifadesi ise MH (Modified Hyppocrates) modunda belirtilmiştir. Tablo 1 deki
Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri oranlar, sistemin ilgili eğitilen sözlükler ve farklı test sözlükleri ile denenmesi sonucunda ortaya koyduğu hatalı negatif ve hatalı pozitif değerlerini sunmak adına, testlerin doğruluk oranlarını vermektedir. Örnek olarak, words ve dosyaları ile eğitilen sistem, güçlü parola barındıran dosyası ile test edildiğinde test parolalarının % 71 i için güçlü kararının doğru verildiği Tablo 1 den anlaşılmaktadır. Tablo 1 de ilk iki satırdaki verilerden anlaşıldığı üzere, eğitimde kullanılan sözlük dilinin test edilen parolalar üzerinde belirgin bir etkisi olmamıştır. Tablo 1 de üçüncü satırdan çıkarsanabilen durum, MH modunda çalışıldığında, Türkçe karakterlerin sisteme aynen katılmasında problem olabileceğidir. Tablo 1 deki son satırdaki sonuçlar anlamlı görülebilir fakat yine de karar olarak sistemin MH modunda kullanılmaması düşünülmüştür. 3. 2 İkinci Deney ve Değerlendirmesi İkinci deneyde, sistem hiç MH modunda çalıştırılmamıştır. Sözlüklerdeki her karakter 1 bayt ile ifade edilecek biçime dönüştürülmüştür. Eğitim safhasında, Türk Dil Kurumu kelimelerini baz alarak derlenen sözlüğün harf dönüşümü yapılmış hali ile eğitim dili farkını anlayabilmek adına İngilice kelimeler barındıran sözlük ve test safhasında da eldeki gerçek Türk kullanıcı parolalarının kırılabilen ve kırılamayanları ile bunların bazı karakterlerinin rastgele değiştirilerek gürültülendirilmiş halleri kullanılmıştır. Tablo 3 teki verilere göre, güçlü parolaların eğitim dilinden bağımsız olduğu teyid edilmiştir. Ayrıca, bu deneyde oluşan ağaç boyutunun eğitimde kullanılan zayıf sözlük boyutuna oranı % 0,03 tür. Bu modelin, eğitimde kullanılan parolaları sınıflandırmadaki hata oranı % 0 dır. Eğitim sözlüklerinde yer almayan parola dosyalarına karşı, dosyaların boyutları düşünülerek hesaplanan ortalama hata oranı, ~% 14 olarak bulunmuştur. Tablo 3 teki verilerde, zayıf test sözlüklerinde gürültü arttırıldığında daha az oranda zayıf parola kararı, güçlü test sözlüklerinde gürültü arttırıldığında daha fazla oranda güçlü parola kararı gözlenmesi tutarlıdır. Dolayısıyla, Türkçe parola denetiminde, eğitim safhasında zayıf sözlük adayı olarak, Türk Dil Kurumu sözlüğünde geçen kelimelerin, Türkçe alfabeye has ç,ğ,ı,ö,ş,ü harflerinin dönüştürülmüş hallerini barındıran bir dosya kullanılması; güçlü sözlük adayı olarak, sistem tarafından rastgele karakterlerin seçilmesi ile üretilen parolaları barındıran bir dosya kullanılması uygun bulunmuştur. Sözlük İçeriği hakkında açıklama Kelime Sayısı Türü words İngilizce sözlük 25486 Zayıf klm1utf.txt Türkçe UTF-8 olarak yazılmış sözlük 43804 Zayıf klm3map.txt Türkçe UTF-8 sözlükten ilgili karakterler dönüştürülerek 43804 Zayıf oluşturulmuş sözlük tdkutf.txt Türk Dil Kurumu sözcüklerinin UTF-8 olarak yazıldığı sözlük 61761 Zayıf tdkmap.txt Türkçe UTF-8 sözlükten ilgili karakterler dönüştürülerek 61761 Zayıf oluşturulmuş sözlük Kırılabilmiş olan gerçek parolalar 777 Zayıf weakutf8 dosyası içeriğinin UTF-8 hali 777 Zayıf.noise Kırılabilmiş parolaların 1 karakter açısından gürültülendirilmiş 777 Zayıf hali Program tarafından rastgele karakter seçimi ile üretilen parolaları 2334 Güçlü içeren sözlük Kırılamamış olan gerçek parolalar 1787 Güçlü.noise Kırılamamış parolaların 1 karakter gürültülü hali 1787 Güçlü.2noise Kırılamamış parolaların 2 karakter gürültülü hali 1787 Güçlü.3noise Kırılamamış parolaların 3 karakter gürültülü hali 1787 Güçlü Tablo 1. Deneylerde kullanılan sözlükler. 175
Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç Eğitim Test mod zayıf sözlük güçlü sözlük farklı zayıf sözlük farklı güçlü sözlük H H MH MH klm3map.txt words klm1utf.txt words weakutf8 %24 weakutf8 Tablo 2. İlk deneydeki doğru sınıflandırma oranları. %72 %71 strongutf8 %70 strongutf8 %69 Eğitim zayıf sözlük güçlü sözlük farklı zayıf sözlük farklı güçlü sözlük tdkmap.txt words.noise %80.noise %82 Test Tablo 3. İkinci deneydeki doğru sınıflandırma oranları. %72.1noise: %89.2noise: %91.3noise: %91 %71.1noise: %83.2noise: %90.3noise: %90 4. Sonuç ve Öneriler Bu bildiride, öncül parola denetim mekanizmaları için kullanılan yöntemler aktarılıp karar ağacına dayalı yaklaşımlardan Hyppocrates yazılımının Türkçe parolalar için bir parola seçim sisteminde etkin kullanılabilmesi amacıyla yapılan deneyler değerlendirilmiştir. Deneylerde, sistemin anlamlı test edilmesi için Türk kullanıcıların gerçekten kullandığı bilinen parolalarından yararlanılmıştır. Sonuç olarak, programın eğitim safhasında Türkçe kelimeler derlenirken ilgili Türkçe ye has karakterlerin İngilizce karşılıklarına dönüştürülmesi uygun görülmüştür ve Türkçe parola denetiminde Hyppocrates sisteminin bu şekilde kullanılması önerilmektedir. Ayrıca, diğer öncül parola denetimi yazılımlarının ilgili performans değerlendirmeleri için de, eğitim ve test safhalarında kriter olarak, bu çalışmadaki deneylerde kullanılanlara benzer içerikte sözlük derlemleri kullanılabilir. Zayıf Türkçe eğitim sözlüğünün, kitaplarda geçen kelimeler, özel isimler, film, semt isimleri v.b. derlenerek daha da genişletilmesi önerilmektedir [1]. Modelin dayanıklılığını arttırmak açısından, zayıf sözlük adayı anlamlı bir şekilde tekrar genişletilmek istendiğinde, çalışan sistemin tekrar baştan eğitilmesine ihtiyaç duyulacaktır. Sistem bir kez eğitildikten sonra budama yapılarak veya yapılmadan, aynı modelle sürekli kullanılabilir. 5. Kaynaklar [1] Korkmaz İ., Bilgisayar Sistemlerinde Parola Güvenliği Üzerine Bir Araştırma, Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü, Yüksek Lisans Tezi, (2006). [2] Bergadano, F., Crispo, B. and Ruflo, G., High Dictionary Compression for Proactive 176
Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri Password Checking, ACM Transactions on Information and System Security, 1(1):3-25, (1998). [3] Stallings, W., Cryptography and Network Security, Pearson Education, Inc., New Jersey, (2003). [4] Blundo C., D Arco P., De Santis, A. And Galdi C., HYPPOCRATES: a new proactive password checker, The Journal of Systems and Software, 71:163-175, (2004). [6] Bloom, B., Space/time Trade-offs in Hash Coding with Allowable Errors, Communications of the ACM, 13(7):422-426, (1970). [7] Spafford, E.H., OPUS: Preventing weak password choices, Computers and Security, 11(3):273-278, (1992). [8] Davies, C. and Ganesan, R., BApasswd: A New Proactive Password Checker, Proceedings of the 16th National Conference on Computer Security, Baltimore, MD, 1-12 (1993). [5] Bishop, M. and Klein D.V., Improving system security via proactive password checking, Computers and Security, 14(3):233-249, (1995). 177