Veri ihlalleri olduğunda 2010’ların başlarında ara sıra ortaya çıkan bir tehdit olmaktan çıkıp hayatın kalıcı bir gerçeği haline geldiğinde, mağdur kuruluşlar, siber güvenlik araştırmacıları, kolluk kuvvetleri ve sıradan kişiler her olayın sonuçlarını değerlendirdikçe bir soru tekrar tekrar gündeme geliyordu: Hangi parola karma algoritmasının kullanıcılarının şifrelerini korumak için kullanılan hedef?
Yanıt, SHA-1 gibi hatalı bir kriptografik işlevse -hiç şifreleme karıştırması olmadan düz metin olarak saklanan parolaların kabusundan bahsetmiyorum bile- kurbanın endişelenecek daha çok şeyi vardı çünkü bu, verileri çalan kişi için daha kolay olacağı anlamına geliyordu. şifreleri kırmak, kullanıcıların hesaplarına doğrudan erişmek ve insanların onları tekrar kullanıp kullanmadıklarını görmek için bu şifreleri başka bir yerde denemek. Cevap bcrypt olarak bilinen algoritmaysa, paniğe kapılacak en az bir şey daha azdı.
Bcrypt bu yıl 25 yaşına giriyor ve kripto para mucitlerinden biri olan Niels Provos, geriye dönüp bakıldığında, açık kaynak kullanılabilirliği ve uzun ömürlü olmasını sağlayan teknik özellikleri sayesinde algoritmanın her zaman iyi bir enerjiye sahip olduğunu söylüyor. Provos, WIRED’e şunları söyledi: algoritma üzerinde geriye dönük bu hafta Usenix’te yayınladığı ;login:. Yine de pek çok dijital işgücü gibi, artık bcrypt için daha sağlam ve güvenli alternatifler var, bunlara scrypt ve Argon2 olarak bilinen karma algoritmalar dahildir. Provos, çeyrek asırlık dönüm noktasının bcrypt için yeterli olduğunu ve başka bir büyük doğum gününü kutlamadan önce popülaritesini kaybetmesini umduğunu söylüyor.
Bcrypt’in bir sürümü, ilk olarak Haziran 1997’de açık kaynak işletim sistemi OpenBSD 2.1 ile piyasaya sürüldü. Ancak Almanya’da büyüyen Provos, Almanya’da yaşarken ve okurken gelişimi için çalıştı.
“Bu kadar şaşırtıcı bulduğum bir şey, ne kadar popüler hale geldiğiydi” diyor. “Bence kısmen gerçek bir sorunu gerçekten çözdüğü için, ama aynı zamanda açık kaynak olduğundan ve herhangi bir ihracat kısıtlaması tarafından engellenmediğinden. Ve sonra herkes diğer tüm dillerde kendi uygulamalarını yaptı. Bu nedenle, bu günlerde, parola karma işlemi yapmak istemekle karşı karşıya kalırsanız, bcrypt, faaliyet gösterebileceğiniz her dilde mevcut olacak. Ama ilginç bulduğum diğer bir şey de, 25 yıl sonra bile hala geçerli olması. Bu sadece çılgınca.
Provos, bcrypt’i Stanford Üniversitesi’nde sistem güvenliği profesörü olan ve Provos ile bcrypt üzerinde işbirliği yaptığı sırada Massachusetts Teknoloji Enstitüsü’nde okuyan David Mazieres ile birlikte geliştirdi. İkisi açık kaynak topluluğu aracılığıyla bir araya geldi ve OpenBSD üzerinde çalışıyorlardı.
Karma parolalar, okunabilir bir şeyden anlaşılmaz bir karıştırmaya kriptografik olarak dönüştürülmek üzere bir algoritmaya konur. Bu algoritmalar, çalıştırması kolay ancak hash’i oluşturan kişi tarafından bile kodunun çözülmesi veya “kırılması” çok zor olan “tek yönlü işlevler”dir. Giriş güvenliği söz konusu olduğunda, fikir şu: Bir şifre seçersiniz, kullandığınız platform bunun bir hash’ini yapar ve daha sonra gelecekte hesabınızda oturum açtığınızda, sistem girdiğiniz şifreyi alır, hash’ler ve ardından sonucu, hesabınız için dosyada bulunan parola karması ile karşılaştırır. Karmalar eşleşirse, oturum açma başarılı olacaktır. Bu şekilde hizmet, parolaların kendisini değil, yalnızca karşılaştırma için karma değerleri topluyor.
Kaynak : https://www.wired.com/story/bcrypt-password-hashing-25-years/