Konu Başlıkları Gizle
"Entropi" kelimesi kulağa havalı gelse de, arkasındaki matematik aslında lise düzeyindedir. Bir şifrenin ne kadar güçlü olduğunu (yani kaç 'bit' entropiye sahip olduğunu) bulmak için şu basit formülü kullanırız:
E = L x log_2(R)
Burada:
Bu arkadaş "Ben her türden karakter kullandım, çok güçlüyüm" diyor. Bakalım öyle mi?
Bu arkadaş "Ben sadece küçük harfim, sembolüm bile yok" diyor.
Özetle; havuzu (R) büyütmek (sembol eklemek) entropiyi biraz artırır, ama uzunluğu (L) artırmak entropiyi uçurur. Matematik yalan söylemez.
Dipçe: Şifreleri birçok olasılığı deneyerek kırma işlemine Brute Forcing adı verilir ve bu tarz girişimlere genellikle off-line mecralarda girişilir. Zira on-line mecralarda Brute Forcing girişimlerini engellemek için Rate-Limiting - IP / HWID Ban / MFA / 2FA gibi engelleyici katmanlar görev yapar.
Peki sizin şifre entropiniz kaç?
Ben başlıyorum: 14 X log2(95) = 91.84 bit.
E = L x log_2(R)
Burada:
- E (Entropi): Şifrenin bit cinsinden gücü, entropi arttıkça bir makinenin şifreyi kırmak için harcayacağı mesai ve gereken işlem gücü artar.
- L (Uzunluk): Şifredeki toplam karakter sayısı.
- R (Havuz - Range): Şifreyi oluştururken kullandığınız karakter kümesinin büyüklüğü.
Karakter Havuzu
Şifrenizdeki her bir karakterin olma ihtimali olan seçenek sayısıdır.- Sadece Rakamlar (0-9): 10
- Sadece Küçük Harfler (a-z): 26
- Küçük + Büyük Harfler: 52
- Küçük + Büyük + Rakamlar: 62
- Hepsi + Semboller (!, @, #...): ~95
Örnek Karşılaştırma:
1. Köşedeki Yarışmacı: "Kısa ve Karmaşık" (Tr9!)Bu arkadaş "Ben her türden karakter kullandım, çok güçlüyüm" diyor. Bakalım öyle mi?
- Uzunluk (L): 4 karakter.
- Havuz (R): Sembol, sayı, büyük ve küçük harf olduğu için 95.
- Hesap: E = log2(95) yaklaşık 6.57 bit (karakter başına güç).
- Toplam Entropi: 4 x 6.57 = 26.2 bit.
- Sonuç: Modern bir bilgisayar bunu saniyeden kısa sürede kırar.
Bu arkadaş "Ben sadece küçük harfim, sembolüm bile yok" diyor.
- Uzunluk (L): 13 karakter.
- Havuz (R): Sadece küçük harf olduğu için 26.
- Hesap: log2(26) 4.70 bit (karakter başına güç).
- Toplam Entropi: 13 x 4.70 = 61.1
- Sonuç: İlk şifreden milyarlarca kat daha güçlüdür.
Kaç Bit Güvende Tutar?
- < 40 Bit: Tehlikeli bölge. Hemen kırılır.
- 40 - 60 Bit: Ev kullanıcısı için eh işte, ama riskli.
- 60 - 80 Bit: Güvenli. Kırmak için ciddi kaynak gerekir.
- > 100 Bit: Kırılması şu anki teknolojiyle evrenin yaşından uzun sürer. (Örneğin: 4 kelimelik mavi-kedi-ucan-yastik yaklaşık 100-bit üzerindedir).
Özetle; havuzu (R) büyütmek (sembol eklemek) entropiyi biraz artırır, ama uzunluğu (L) artırmak entropiyi uçurur. Matematik yalan söylemez.
Dipçe: Şifreleri birçok olasılığı deneyerek kırma işlemine Brute Forcing adı verilir ve bu tarz girişimlere genellikle off-line mecralarda girişilir. Zira on-line mecralarda Brute Forcing girişimlerini engellemek için Rate-Limiting - IP / HWID Ban / MFA / 2FA gibi engelleyici katmanlar görev yapar.
Peki sizin şifre entropiniz kaç?
Ben başlıyorum: 14 X log2(95) = 91.84 bit.