Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma



Benzer belgeler
Uluslararası Bilgisayar Anabilim Dalı. Bilim Dalı Kodu : Sunuş Tarihi : Tez Danışmanı : Prof. Dr. Mehmet Emin DALKILIÇ

Türk Kullanıcıların Parola Seçimindeki Eğilimleri

PAROLA GÜVENLİĞİ. İlker Korkmaz. homes.ieu.edu.tr/ikorkmaz 08/06 UBE

VERİ MADENCİLİĞİ (Sınıflandırma Yöntemleri) Yrd.Doç.Dr. Kadriye ERGÜN

The User Login with the Constantly Changing Password Depending On Algorithm and Detection of Illegal Logins

UZAKTAN EĞİTİM MERKEZİ

AYRIK YAPILAR ARŞ. GÖR. SONGÜL KARAKUŞ- FIRAT ÜNİVERSİTESİ TEKNOLOJİ FAKÜLTESİ YAZILIM MÜHENDİSLİĞİ BÖLÜMÜ, ELAZIĞ

3. BELGE DENETİMİ. Bu bölümde belge denetimi için gerekli olan yazım, dil bilgisi ve dil ayarlarını öğreneceğiz.

Formüller ÜNİTE 5. Bu üniteyi çalıştıktan sonra; Formüller Menüsü İşlev Kitapçığı Tanımlı Adlar Formül Denetleme Hesaplama

görüntü işleme, pattern tanıma yapay zeka

Programlama Dilleri. C Dili. Programlama Dilleri-ders02/ 1

Bilişim Sistemleri. Modelleme, Analiz ve Tasarım. Yrd. Doç. Dr. Alper GÖKSU

EĞĠTĠMDE ÖLÇME ve DEĞERLENDĠRME

Veritabanı Yönetim Sistemleri, 2. basım Zehra ALAKOÇ BURMA, 2009, Seçkin Yayıncılık

Anahtar Bağımlı Bir Şifreleme Algoritması (IRON)

Bilgisayar Mühendisliğine Giriş. Yrd.Doç.Dr.Hacer KARACAN

Pardus. Erkan Tekman, T. Barış Metin. 18 Mayıs Ulusal Dağıtım Projesi Ulusal Elektronik ve Kriptoloji Enstitüsü. Pardus için 10 Neden

(AYIRIM) DENLİ. Emre KUZUGÜDENL. Doç.Dr.Serdar CARUS

OSPF PROTOKOLÜNÜ KULLANAN ROUTER LARIN MALİYET BİLGİSİNİN BULANIK MANTIKLA BELİRLENMESİ

ÜNİT E ÜNİTE GİRİŞ. Algoritma Mantığı. Algoritma Özellikleri PROGRAMLAMA TEMELLERİ ÜNİTE 3 ALGORİTMA

Giriş: Temel Adımlar YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ. Belirtim Yöntemleri. Belirtim Yöntemleri

Bulanık Mantık Tabanlı Uçak Modeli Tespiti

BT Güvenliği (ISE 542) Ders Detayları

BELEDİYEDE YAPILAN CBS ÇALIŞMALARINDAN ELDE EDİLEN 2 BOYUTLU VE 3 BOYUTLU TEMATİK HARİTALARIN SUNUMU

İNTERNET TARAYICISI ÜZERİNDE ÇALIŞABİLEN ELEKTRİK TALEP TAHMİNİ ANALİZ PROGRAMI

Web Madenciliği (Web Mining)

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

İşletim Sistemi. BTEP205 - İşletim Sistemleri

Bilgisayar Mühendisliğinin Temelleri (COMPE 100) Ders Detayları

Üniversitelerde Temel Bilişim Eğitimi Nereye Gidiyor? : Analizi

BİLGİ GÜVENLİĞİ. Bu bolümde;

R. Orçun Madran & Yasemin Gülbahar BAŞKENT ÜNİVERSİTESİ

KANITA DAYALI LABORATUVAR TIBBI İLE İLİŞKİLİ HESAPLAMALAR. Doç.Dr. Mustafa ALTINIŞIK ADÜTF Biyokimya AD 2005

T.C. KIRIKKALE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ YAPAY SİNİR AĞLARI. Doç.Dr. Necaattin BARIŞÇI FİNAL PROJESİ

Bilgisayar Programlama MATLAB


Metin İşlemleri, Semboller

Dicle Üniversitesi Bilgi İşlem Online Talep Takip Sistemi

Access e Nasıl Ulaşılır. Araç çubuklarını yeniden düzenlemek için Görünüm komutunun Araç çubukları seçeneği kullanılır.

ise, a b=? (32) ile bölümünden kalan 64 ise sabit terimi kaçtır? (72)

Veritabanı. Ders 2 VERİTABANI

Web Madenciliği (Web Mining)

Yazılım Mimari Tasarımından Yazılım Geliştirme Çatısının Üretilmesinde Model Güdümlü Bir Yaklaşım

BÖLÜM 12 STUDENT T DAĞILIMI

Merkezi Supervisor Web Arayüzü

Dr. Fatih AY Tel: fatihay@fatihay.net

Module 2 Managing User And Computer accounts

Pardus. S.Çağlar Onur, 21 Aralık Pardus Projesi [TÜBİTAK / UEKAE] Linux Kullanıcıları Derneği

International Journal of Progressive Education, 6(2),

Verimlilik İçin ETKİN BİLGİ YÖNETİMİ. EXCEL de Vazgeçilmez 5 Fonksiyon

ULAŞTIRMA HİZMETLERİ LOJİSTİK ELEMANI (2.SEVİYE) MODÜLER PROGRAMI (YETERLİĞE DAYALI)

WEBTIGER LOGO Ocak 2011

Bil101 Bilgisayar Yazılımı I. M. Erdem ÇORAPÇIOĞLU Bilgisayar Yüksek Mühendisi

NJ/NX Güvenlik Seçenekleri

Sihirbaz Kullanarak Sorgu Oluştur : Sihirbaz sorguyu hazırlayan kişiye sorular sorar ve yanıtlarına göre sorgu oluşturur.

Şifrebilimde Yapay Sinir Ağları

05 - Veritabanı Sızma Testleri

3.2. Raster Veriler. Satırlar. Sütunlar. Piksel/hücre büyüklüğü

Rekabet Kurumu Başkanlığından, REKABET KURULU KARARI

MERSİN / AKDENİZ MEHMET DAĞLI İMAM HATİP ORTAOKULU DYNED İNGİLİZCE EĞİTİM PROGRAMI REHBERİ DYNED NEDİR

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

İLİŞKİSEL VERİTABANLARI

Üniversitelerde Bilgi Güvenliği Eğitimi. Dr. Mehmet KARA TÜBİTAK - BİLGEM 26 Kasım 2011

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Algoritma Geliştirme ve Veri Yapıları 9 Ağaç Veri Modeli ve Uygulaması. Mustafa Kemal Üniversitesi

Ali Haydar Doğu, Ercüment Yılmaz






DOSYA ORGANİZASYONU. Doğrudan erişimli dosya organizasyonu ÖZLEM AYDIN TRAKYA ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ

Veri Tabanı-I 5.Hafta

BÜYÜK VERI UYGULAMALARı DERS 7. Doç. Dr. Yuriy Mishchenko

Büyük, Dağıtık, Veri Yoğunluklu Uygulamalarda Programlama Paradigmaları

d) Müşteri: Bankalardan hizmet alan gerçek ve tüzel kişileri

Bilgi Güvenliği Eğitim/Öğretimi

Türkiye nin lider Şerit ve Tel üreten işletmesi için özel olarak 2014 yılında projelendirilmiş ve geliştirilmiştir.

4.1. Grafik Sihirbazını kullanarak grafik oluşturma

III. Gizli Anahtar Kriptografi

Bilecik Üniversitesi Mühendislik Fakültesi Moodle Uzaktan Öğretim Sistemi

Dosyaların Özellikleri (Attribute) Dosya İşlemleri. İki Seviyeli Katalog Sistemleri. Tek Seviyeli Katalog Sistemleri. Hiyerarşik Katalog Sistemleri

Oluşturmak istediğimiz OU ye bir isim veriyoruz. Name kısmına ISTANBUL yazıyoruz,

TrizSOFT. S.P.A.C Altı Sigma Danışmanlık

Sol tarafta yer alan Click here to activate your account linkini seçiniz.

MS Excel. Excel Microsoft Office in bir parçasını oluşturur. Office 2007, Office 2010, Office 2013, Office 2016

VERİ KAYNAKLARI. Bilgi sisteminin öğelerinden biride veri

VERİ MADENCİLİĞİ (Kümeleme) Yrd.Doç.Dr. Kadriye ERGÜN

Veri Madenciliği Karar Ağacı Oluşturma

Web Madenciliği (Web Mining)

NETSİS PAKETLERİNİ ORTAK UYGULAMA İLE ÇALIŞTIRMA

CELAL BAYAR ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ YÜKSEK LİSANS VE DOKTORA TEZ YAZIM YÖNERGESİ

Bilgi Erişim Performans Ölçüleri

Akıllı Şebekede Siber Güvenlik Standardizasyonu

Pardus. A. Murat Eren, 25 Mart Pardus Geliştiricisi. Pardus Yenilikleri Sık Sorulan Sorular

K-En Yakın Komşu Algoritması Parametrelerinin Sınıflandırma Performansı Üzerine Etkisinin İncelenmesi

Proje Oryantasyon (SE 493) Ders Detayları

Uzaktan Eğitim Uygulama ve Araştırma Merkezi

Temel Mikroişlemci Tabanlı Bir Sisteme Hata Enjekte Etme Yöntemi Geliştirilmesi. Buse Ustaoğlu Berna Örs Yalçın

DESTEK DOKÜMANI. Tablolu Malzeme Sınıfları

Transkript:

Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz 1, Mehmet Emin Dalkılıç 2 1 İzmir Ekonomi Üniversitesi, Bilgisayar Mühendisliği Bölümü, İzmir 2 Ege Üniversitesi, Uluslararası Bilgisayar Enstitüsü, İzmir ilker.korkmaz@ieu.edu.tr, mehmet.emin.dalkilic@ege.edu.tr Özet: Parola güvenliğinde amaç, kullanıcıları yönlendirerek sistemde zayıf parolaların kullanımını engellemek ve sistem güvenliğini arttırmaktır. Bu bağlamda, sistemde hazır bulunan bir öncül parola denetim aracı ile, kullanıcının parola seçimi ve parola yenileme işlemleri sırasında seçtiği parolanın anında denetlenmesi ve zayıf olduğu tespit edilen parolaların reddedilmesi mümkündür. Bu çalışmada, karar ağacı modeli yönteminin kullanıldığı öncül bir parola denetim yazılımının (Hyppocrates) Türkçe parolalar için kullanılabilmesi amacıyla yapılan araştırmalar, elde edilen gerçek Türk kullanıcı parolaları ile gerçekleştirilen deneyler ve bu deney sonuçlarının değerlendirmeleri sunulmuştur. Anahtar Sözcükler: Öncül Parola Denetimi, Karar Ağaçları, Zayıf Parola. Password Selection System via Proactive Password Checking Method: An Investigation for Turkish Passwords Abstract: The objectives of password security are to increase the system security, and to avoid the use of weak passwords in the system by educating the users. In this context, it is possible with a ready to use proactive password checker tool that the password chosen by the user at the first time or at any password changing event is checked and the weak passwords are rejected. In this study, a proactive password checking software (Hyppocrates) which employs a decision tree model is used for evaluating Turkish passwords. Experiments conducted on real passwords used by Turkish users are described and their results are presented. Keywords: Proactive Password Checking, Decision Trees, Weak Password. 1. Giriş Parola, sisteme bağlanan kullanıcının kimliğinin doğrulanması amacı ile kullanılır. Parola güvenliğinde amaç kullanıcıları yönlendirerek zayıf parolaların kullanımını engellemek ve sistem güvenliğini arttırmaktır [1]. Bu amaçla, kullanıcı eğitimi, otomatik üretilmiş parolaların kullanımı, ardıl (reactive) parola denetimi ve öncül (proactive) parola denetimi teknikleri kullanılmaktadır [2,3,4]. Kullanıcıların parola seçiminin önemi ve güçlü/iyi parola seçiminin temel kuralları konusunda eğitilmeleri yararlı olmakla birlikte, bu yaklaşım zayıf parolaların sistemde bulunmasını engellemekte yeterli değildir. Otomatik seçilmiş parolaları kullanıcılara dayatmak ise kullanıcıların sistemden soğumasına veya verilen parolayı hatırlaması zor olacağı için bir yere yazmasına neden olmaktadır. Dolayısıyla otomatik üretilmiş parolaların kullanımı pratik olmamaktadır. 171

Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç Ardıl parola denetimi, sistemde kullanılan parolaların zaman içinde sistem yöneticileri tarafından denetimi ve genellikle parola kırıcı yazılımlar aracılığıyla yapılan bu denetimlerde kırılabilen zayıf parolaların sahiplerinin yeni parola seçmeye zorlanması ilkesine dayanmaktadır. Bu yöntemde sonradan ek denetim işi mevcut olup bu işin akasayabildiği ve bir kez sisteme giren zayıf parolaların değiştirilinceye kadar kullanılması ile sistemde güvenlik zafiyeti oluştuğu bilinmektedir [1]. Öncül parola denetimi yöntemi ise kullanıcının ilk parola seçimi ve her parola yenilemesi sırasında seçtiği parolanın anında denetlenmesi, zayıf olduğu tespit edilirse kabul edilmemesi ve bu durumda kullanıcının yeni bir parola seçmesine itilmesi ilkesi üzerine kuruludur. Öncül parola denetim yazılımları temel olarak bir zayıf parola modeli oluşturur ve aday parolaları bu modele göre değerlendirerek modele uyanları zayıf olarak belirleyip onların sisteme girişine izin vermez. Türkçe kelimeleri dikkate alan bir öncül parola denetim yaklaşımının Türkiye deki bilgisayar sistemlerinin güvenliğinin sağlanması konusunda katkı sağlayabileceği düşünülmektedir [1]. Bu bildiride, ilk yazarın Yüksek Lisans Tezi [1] kapsamında, Türkçe parolaların denetlenebilmesi için öncül parola denetleme araçlarından Hyppocrates [4] yazılımının kullanımına yönelik araştırmaların verileri sunulmaktadır. Bu bildirinin ilerleyen bölümlerinde düzen şu şekildedir: 2. bölümde öncül parola denetimi hakkında literatür taraması aktarılmakta, 3. bölümde Hyppocrates programı kullanılarak Türkçe parola adayları ile yapılan deneyler sunulmakta, son bölümde de sonuçlar ve ilgili öneriler verilmektedir. 2. Öncül Parola Denetimi Bu bölümde öncül parola denetiminde kullanılan temel yaklaşımlar aktarılacak ve karar ağacı yöntemiyle öncül parola denetimi açıklanacaktır. 172 2.1 Öncül Parola Denetimi Yaklaşımları Öncül parola denetiminin temelinde, denetlenen aday parolanın güçlü veya zayıf olarak değerlendirilmesi yatmaktadır. Çeşitli yöntemler kullanılarak oluşturulan öncül parola denetimi mekanizmalarından geçirilen parolalar, ilgili prosedürler tarafından değerlendirilip kullanılan parola kriterlerine uygun değilse zayıf olarak, uygunsa güçlü olarak sınıflandırılır. Öncül parola denetimi için kullanılan yaklaşımlar; kural tabanlı modeller, Bloom filtreleri yaklaşımı, Markov modeli yaklaşımı ve karar ağaçları modeli bazlı denetim yöntemleri olarak sınıflandırılabilir. Kural tabanlı modellerin kullanıldığı öncül parola denetimi yöntemlerinde, belirlenen çeşitli kurallara uygun şekilde seçilen parolalar denetimden başarıyla geçerken, karakter nitelikleri açısından herhangi bir kurala uymayan parolalar zayıf olarak sınıflandırılmaktadır ve sistem tarafından bu parolaların seçimlerine izin verilmemektedir. Kurallara dayalı kullanılan denetleme politikaları içeriğinde, genel olarak, parolanın en az 8 karakter uzunlukta olması, parolanın ilk 8 karakteri içinde en az 1 büyük harf ve 1 rakamsal karakter bulunması gibi kurallar mevcuttur [3]. Ancak, bu yöntemde kuralların çok sıkı olması, kullanıcıları sistemden soğutabilir. Kural tabanlı modele dayalı olarak çalışan öncül parola denetleyici programları, merkezinde bir konfigürasyon dosyası barındırır. Bu dosya, ilgili kuralları ve bu kurallara dayalı denetlemenin kontrol yapılarını içerir. Genelde, bu dosya aracılığıyla, ilgili sistemlerin parola yönetim mekanizmalarına, öncül parola denetim mekanizması, yama (patch) şeklinde de eklenebilmektedir. Bu dosyanın sistem yöneticisi tarafından ayarlanması sonucu, program denetleme işlemine hazır duruma getirilir. UNIX sistemlerde kullanılmak üzere hazırlanmış bir öncül parola denetleyicisi olan pwcheck bu şekilde kullanılabilmektedir [5].

Diğer bir öncül parola denetimi yaklaşımı olarak, Bloom [6] filtresi kullanımına dayanan model öne sürülmüştür. Öncelikle Bloom filtresi tanımlanmak istenirse, bir Bloom filtresi, bir parolayı ilgili bir öz (hash) fonksiyonu aracılığıyla sonlu bir değerle eşleştirir. k. dereceden bir Bloom filtresi, k adet bağımsız öz fonksiyonundan oluşmaktadır. 0 ila N-1 arasındaki tamsayı değerlerini cevap olarak döndüren bu fonksiyonların her birisi, aynı parolayı N bitlik bir öz tablosu içindeki ilgili bit değeri ile eşleştirir. Tablodaki her bit 0 değerine kurulduktan sonra, hazır olarak bulundurulan mevcut sözlükte yer alan her parola için öz değeri hesap edilir ve sonuçlarla ilişkili bütün bit değerleri 1 olarak kurulur. Eğitim sırasında tüm parolaların aynı işleme tabi tutulması sonrasında kurulan bitlerle öz tablosu hazırlanmış olur. Denetleme amacıyla, bir aday parola değerlendirilirken, eğitimde kullanılan tüm öz fonksiyonlarından ayrı ayrı geçirilir ve eşleştirildiği sonuçla ilişkili bitler kontrol edilir. Eğer fonksiyonların döndürdüğü sonuçlarla ilişkili bit değerlerinin hepsi de tabloda kurulu konumda ise parola reddedilir. Eşleştirilen sonuçlara göre tabloda gösterilen herhangi bir bit kurulmamış konumda ise parola kabul edilir. Bloom filtreleri modeliyle oluşturulan bir öncül parola denetimi yazılımına Obvious Password Utility System (OPUS) [7] örnek verilebilir. Bu modelde parola kontrol zaman karmaşıklığı O(1) olarak sabit ve çok hızlı olsa da, düşük hata oranları için ihtiyaç duyulan çok sayıda parola adayı içeren sözlükten üretilen öz tablosunun kapladığı alan sorun olabilmektedir [7]. Yer ve zaman sorununa çözüm getirmek amacıyla düşünülen bir öncül parola denetimi yaklaşımı, Markov zinciri modeline dayanmaktadır. Genel olarak bir Markov modeli, [m, A, T, k] şeklinde bir dörtlü (quadruple) ile ifade edilebilir [3]. Bu ifadede, m, modeldeki durum (state) sayısını; A, modeldeki durum uzayını; T, geçiş olasılıkları matrisini; k ise modelin derecesini belirtmektedir. k. dereceden bir Markov modelinde, belirtilen bir harfe geçiş Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri 173 yapma olasılığı üretilmiş olan geçmiş k adet harfe bağlı olmaktadır. Markov modeli ile parola denetimi için öncelikle zayıf parolaları barındıran bir eğitim sözlüğü derlenir. Daha sonra, bu sözlükteki parolalar kullanılarak, modeldeki olası geçiş matrisleri hesaplanır. Böylece, sözlükteki parolaların yapısı modellenmiş olur. Test edilirken, değerlendirilen bir parolanın zayıf olup olmadığına, parolanın ilgili Markov modeli ile üretilip üretilememesi çıkarsamasına göre karar verilir [3]. Örnek olarak, BApasswd [8], üçlü harf grupları ile Markov modeli kullanan bir yazılımdır. Karar ağacı modeline dayanan bir yaklaşımla öncül parola denetimi yapabilmek üzere, eğitim safhasında, zayıf veya güçlü olarak sınıflandırılmış olan parolaları barındıran sözlükler ile bir karar ağacı yapısı derlenir. Oluşturulan karar ağacı yapısının kök düğümüne, denetlenmek üzere verilen bir aday parola, karar ağacı üzerinde çeşitli niteliklere göre değerlendirilerek yaprak düğümlere doğru yönlendirilir ve ulaştığı terminal düğümde verilen son karara göre zayıf veya güçlü olarak sınıflandırılmış olur. 2.2 Karar Ağacı Yöntemi ile Parola Sınıflandırılması ve Öncül Parola Denetimi Karar ağacı yapıları, çeşitli niteliklere göre, belirli bir sonlu küme içindeki sınıf değerlerinden birine karar vermek amacıyla birçok alanda kullanılabilmektedir. İlk defa Bergadano v.d. [2] tarafından, öncül bir parola denetleyicisinin eğitim aşaması bir çeşit makine öğrenme (machine learning) problemi olarak değerlendirilip karar ağacının öğrenme yöntemi ile kendisini oluşturması ve üretilen karar ağacı yapısının, parolaları zayıf veya güçlü olarak sınıflandırması düşünülmüştür. Sözlüklerde yer alan kelimeler zayıf parola adayları olarak, sözlüklerde yer almayacak şekilde rastgele üretilen parolalar da güçlü adaylar olarak kümelenerek, karar ağacı yapısı eğitilmiştir. Denetleme esnasında karar ağacının kök düğümüne verilen bir parola, düğümlerde sorgulanan niteliklere göre uy-

Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç gun olduğu değerin yönünde yapraklara doğru ilerletilerek, terminal düğümdeki değer ile sınıflandırılmış olacaktır. Eğitim safhasında zayıf olarak tanıtılan bir parolanın, denetleme anında zayıf olmadığı kararına varılırsa, bu sonuç hatalı negatif olarak, buna karşın eğer zayıf sözlükte yer almayan ve eğitim esnasında tanıtılmayan veya güçlü olarak tanıtılan bir parola adayı, denetleme sırasında değerlendiriliyorken zayıf olarak nitelendirilirse, bu sonuç ise hatalı pozitif olarak tanımlanmaktadır. Eğitim safhasında ne kadar çok parola kullanılırsa, kullanılan tüm parolaların karar ağacında doğru sınıflandırılabilmesi için ağaç yapısının uzunluğu da artacaktır. Çünkü ağacın herhangi bir yaprağında tek bir sınıf değeri kalana kadar yapı, kendini yinelemeli bir biçimde oluşturmaya devam edecektir. Eğitimde kullanılan tüm parolalar için doğru sınıflandırmayı yapabilecek olan bir karar ağacı için gereken bir diğer ön şart da ağaç yapısının düğümlerinde sorgulanacak olan kriterlerin belirlenmesidir. Bu kriterler, karar ağacı yapısındaki düğümlerde nitelik (attribute) olarak isimlendirilmektedir. Parolanın uzunluğu veya ilk karakterin sesli harf olması gibi çeşitli fonksiyonlar olarak gerçeklenen bu nitelikler sonucunda, tüm parolalar, aldıkları değerlere göre ağaç yapısında bir alt seviyedeki düğüme doğru gönderilirler. Bu işlem eğitilen her parolanın sınıflandırılması yapılana dek sürer. İstenirse, belirli seviyelerden sonra ağaç budanarak (pruning) ilgili dalların altındaki tüm parolalar çoğunluğa göre sınıflandırılabilir. Önemli olan, boyut ve doğru sınıflama açısından en uygun olan karar ağacı yapısını oluşturmaktır [1]. ProCheck [2] ve Hyppocrates [4] karar ağacına dayalı öncül parola denetleyici yazılımlarına örnektir. 3. Deneyler Bizim çalışmamızda, Türkçe parolaların sınıflandırılabilmesi için karar ağacına dayalı 174 yöntem kullanan Hyppocrates programı ele alınıp programın eğitim safhasında farklı tür parola sözlükleri kullanılarak değerlendirme sırasındaki performansı incelenmiştir. Bu deneylerde, Türk Dil Kurumu kelime sözlüğü yanı sıra Türk kullanıcıların çeşitli sistemlerde kullandıkları gerçek parolaları kullanılmıştır. Ayrıca, [1] çalışması içeriğinde yapılan parola kırma deneyleri sonucuna göre 2564 gerçek paroladan kırılan 777 si, bu programın eğitim safhasında zayıf parola adayı olarak, kırılamayan 1787 si de güçlü aday olarak tanıtılmıştır. Araç olarak Hyppocrates programının seçilmiş olma sebebi, yazarlarından elde edilebilmiş olması ve İngilizce parola adayları için uygun performansla çalışabildiğinin belirtilmiş olmasıdır [4]. Bu bildiride sunulan Türkçe parolalar ile yapılan ilgili deneyler ve denenen sözlükler, kriter olarak başka öncül parola denetleyici programların Türkçe kelimeler ile test edilmesinde de kullanılabilir. Hyppocrates programının görsel kullanımına burada değinilmeyip ilgili program aracılığıyla yapılan deneyler aktarılmıştır. Programın eğitim ve test süreçlerinde kullanılmak üzere derlenen sözlükler ile ilgili açıklamalar Tablo 1 de, ilgili deneylerin açıklamaları da Tablo 2 ve Tablo 3 içinde sunulmuştur. Tablolardaki MAP ifadesi barındıran sözlükler, içeriğindeki kelimelerdeki harflerde Türkçe karakterlerin ilgili yakın İngilizce harfe dönüştürülmesi ( ç yerine c, ğ yerine g kullanımı gibi) ile derlenmiştir. Böylece Türkçe kelimelerdeki her karakterin de 1 bayt ile kodlanmış durumda olması sağlanmıştır. 3. 1 İlk Deney ve Değerlendirmesi İlk deneyde, programın orjinal hali ve kendine ait nitelikleri ile kullanımının ifadesi Tablo 2 de H modunda belirtilmiş, programın nitelik değerleri içinde ilgili kriterlere göre Türkçe harfleri de kapsayacak biçimde yeniden derlenip içeriğinde UTF-8 kodlanmış sözlükler kullanımının ifadesi ise MH (Modified Hyppocrates) modunda belirtilmiştir. Tablo 1 deki

Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri oranlar, sistemin ilgili eğitilen sözlükler ve farklı test sözlükleri ile denenmesi sonucunda ortaya koyduğu hatalı negatif ve hatalı pozitif değerlerini sunmak adına, testlerin doğruluk oranlarını vermektedir. Örnek olarak, words ve dosyaları ile eğitilen sistem, güçlü parola barındıran dosyası ile test edildiğinde test parolalarının % 71 i için güçlü kararının doğru verildiği Tablo 1 den anlaşılmaktadır. Tablo 1 de ilk iki satırdaki verilerden anlaşıldığı üzere, eğitimde kullanılan sözlük dilinin test edilen parolalar üzerinde belirgin bir etkisi olmamıştır. Tablo 1 de üçüncü satırdan çıkarsanabilen durum, MH modunda çalışıldığında, Türkçe karakterlerin sisteme aynen katılmasında problem olabileceğidir. Tablo 1 deki son satırdaki sonuçlar anlamlı görülebilir fakat yine de karar olarak sistemin MH modunda kullanılmaması düşünülmüştür. 3. 2 İkinci Deney ve Değerlendirmesi İkinci deneyde, sistem hiç MH modunda çalıştırılmamıştır. Sözlüklerdeki her karakter 1 bayt ile ifade edilecek biçime dönüştürülmüştür. Eğitim safhasında, Türk Dil Kurumu kelimelerini baz alarak derlenen sözlüğün harf dönüşümü yapılmış hali ile eğitim dili farkını anlayabilmek adına İngilice kelimeler barındıran sözlük ve test safhasında da eldeki gerçek Türk kullanıcı parolalarının kırılabilen ve kırılamayanları ile bunların bazı karakterlerinin rastgele değiştirilerek gürültülendirilmiş halleri kullanılmıştır. Tablo 3 teki verilere göre, güçlü parolaların eğitim dilinden bağımsız olduğu teyid edilmiştir. Ayrıca, bu deneyde oluşan ağaç boyutunun eğitimde kullanılan zayıf sözlük boyutuna oranı % 0,03 tür. Bu modelin, eğitimde kullanılan parolaları sınıflandırmadaki hata oranı % 0 dır. Eğitim sözlüklerinde yer almayan parola dosyalarına karşı, dosyaların boyutları düşünülerek hesaplanan ortalama hata oranı, ~% 14 olarak bulunmuştur. Tablo 3 teki verilerde, zayıf test sözlüklerinde gürültü arttırıldığında daha az oranda zayıf parola kararı, güçlü test sözlüklerinde gürültü arttırıldığında daha fazla oranda güçlü parola kararı gözlenmesi tutarlıdır. Dolayısıyla, Türkçe parola denetiminde, eğitim safhasında zayıf sözlük adayı olarak, Türk Dil Kurumu sözlüğünde geçen kelimelerin, Türkçe alfabeye has ç,ğ,ı,ö,ş,ü harflerinin dönüştürülmüş hallerini barındıran bir dosya kullanılması; güçlü sözlük adayı olarak, sistem tarafından rastgele karakterlerin seçilmesi ile üretilen parolaları barındıran bir dosya kullanılması uygun bulunmuştur. Sözlük İçeriği hakkında açıklama Kelime Sayısı Türü words İngilizce sözlük 25486 Zayıf klm1utf.txt Türkçe UTF-8 olarak yazılmış sözlük 43804 Zayıf klm3map.txt Türkçe UTF-8 sözlükten ilgili karakterler dönüştürülerek 43804 Zayıf oluşturulmuş sözlük tdkutf.txt Türk Dil Kurumu sözcüklerinin UTF-8 olarak yazıldığı sözlük 61761 Zayıf tdkmap.txt Türkçe UTF-8 sözlükten ilgili karakterler dönüştürülerek 61761 Zayıf oluşturulmuş sözlük Kırılabilmiş olan gerçek parolalar 777 Zayıf weakutf8 dosyası içeriğinin UTF-8 hali 777 Zayıf.noise Kırılabilmiş parolaların 1 karakter açısından gürültülendirilmiş 777 Zayıf hali Program tarafından rastgele karakter seçimi ile üretilen parolaları 2334 Güçlü içeren sözlük Kırılamamış olan gerçek parolalar 1787 Güçlü.noise Kırılamamış parolaların 1 karakter gürültülü hali 1787 Güçlü.2noise Kırılamamış parolaların 2 karakter gürültülü hali 1787 Güçlü.3noise Kırılamamış parolaların 3 karakter gürültülü hali 1787 Güçlü Tablo 1. Deneylerde kullanılan sözlükler. 175

Öncül Parola Denetimi Yöntemiyle Parola Seçim Sistemi: Türkçe Parolalar için Bir Araştırma İlker Korkmaz, Mehmet Emin Dalkılıç Eğitim Test mod zayıf sözlük güçlü sözlük farklı zayıf sözlük farklı güçlü sözlük H H MH MH klm3map.txt words klm1utf.txt words weakutf8 %24 weakutf8 Tablo 2. İlk deneydeki doğru sınıflandırma oranları. %72 %71 strongutf8 %70 strongutf8 %69 Eğitim zayıf sözlük güçlü sözlük farklı zayıf sözlük farklı güçlü sözlük tdkmap.txt words.noise %80.noise %82 Test Tablo 3. İkinci deneydeki doğru sınıflandırma oranları. %72.1noise: %89.2noise: %91.3noise: %91 %71.1noise: %83.2noise: %90.3noise: %90 4. Sonuç ve Öneriler Bu bildiride, öncül parola denetim mekanizmaları için kullanılan yöntemler aktarılıp karar ağacına dayalı yaklaşımlardan Hyppocrates yazılımının Türkçe parolalar için bir parola seçim sisteminde etkin kullanılabilmesi amacıyla yapılan deneyler değerlendirilmiştir. Deneylerde, sistemin anlamlı test edilmesi için Türk kullanıcıların gerçekten kullandığı bilinen parolalarından yararlanılmıştır. Sonuç olarak, programın eğitim safhasında Türkçe kelimeler derlenirken ilgili Türkçe ye has karakterlerin İngilizce karşılıklarına dönüştürülmesi uygun görülmüştür ve Türkçe parola denetiminde Hyppocrates sisteminin bu şekilde kullanılması önerilmektedir. Ayrıca, diğer öncül parola denetimi yazılımlarının ilgili performans değerlendirmeleri için de, eğitim ve test safhalarında kriter olarak, bu çalışmadaki deneylerde kullanılanlara benzer içerikte sözlük derlemleri kullanılabilir. Zayıf Türkçe eğitim sözlüğünün, kitaplarda geçen kelimeler, özel isimler, film, semt isimleri v.b. derlenerek daha da genişletilmesi önerilmektedir [1]. Modelin dayanıklılığını arttırmak açısından, zayıf sözlük adayı anlamlı bir şekilde tekrar genişletilmek istendiğinde, çalışan sistemin tekrar baştan eğitilmesine ihtiyaç duyulacaktır. Sistem bir kez eğitildikten sonra budama yapılarak veya yapılmadan, aynı modelle sürekli kullanılabilir. 5. Kaynaklar [1] Korkmaz İ., Bilgisayar Sistemlerinde Parola Güvenliği Üzerine Bir Araştırma, Ege Üniversitesi Uluslararası Bilgisayar Enstitüsü, Yüksek Lisans Tezi, (2006). [2] Bergadano, F., Crispo, B. and Ruflo, G., High Dictionary Compression for Proactive 176

Akademik Bilişim 10 - XII. Akademik Bilişim Konferansı Bildirileri Password Checking, ACM Transactions on Information and System Security, 1(1):3-25, (1998). [3] Stallings, W., Cryptography and Network Security, Pearson Education, Inc., New Jersey, (2003). [4] Blundo C., D Arco P., De Santis, A. And Galdi C., HYPPOCRATES: a new proactive password checker, The Journal of Systems and Software, 71:163-175, (2004). [6] Bloom, B., Space/time Trade-offs in Hash Coding with Allowable Errors, Communications of the ACM, 13(7):422-426, (1970). [7] Spafford, E.H., OPUS: Preventing weak password choices, Computers and Security, 11(3):273-278, (1992). [8] Davies, C. and Ganesan, R., BApasswd: A New Proactive Password Checker, Proceedings of the 16th National Conference on Computer Security, Baltimore, MD, 1-12 (1993). [5] Bishop, M. and Klein D.V., Improving system security via proactive password checking, Computers and Security, 14(3):233-249, (1995). 177

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim