Blog
Parolalar, güvenlik ve bize öğretilen neredeyse her şeyin neden yanlış olduğu üzerine yazılar.
Şifren sızdığında gerçekte ne olur
Şifren sızıp kaybolmuyor: sızıp dolaşıma giriyor. Acelesi olmadan kırılıyor, başka listelerle çaprazlanıyor ve sonunda birinin bankanda denediği bir combo listesine düşüyor. Onu değerli kılan zayıf olması değil. Aynı olması.
Hash, tuz, bcrypt ve Argon2: düzgün bir site şifrenle ne yapar
Her içeri alındığında biri bir şeyi doğruluyor. Ama doğrulamak bilmek değildir. Şifreleri saklamamayı nasıl öğrendiğimizin ve onları koruyan fonksiyonun neden bilerek yavaş —ve pahalı— olması gerektiğinin hikâyesi.
Şifreni kırmak gerçekte ne kadar sürer
Sana “3 milyon yıl” diyen siteler denklemin yarısını saklıyor. Aynı şifre, üye olduğun sitenin onu nasıl sakladığına göre bir öğleden sonrada düşebilir de yüzyıllarca dayanabilir de — üstelik bu senin seçmediğin ve kimsenin sana öğretmediği bir şey. Sayının arkasında bu var.
Diceware: zarlar neden senden daha iyi şifre üretir
Birinden rastgele bir kelime iste; sana rastgele bir kelime vermez, kendi kelimesini verir. Arnold Reinhold bunu 1995’te beş zar ve 7.776 kelimelik bir listeyle çözdü. İşin güzelliği şu: zarların zevki yoktur, hafızası yoktur, o günkü modu hiç yoktur.
Entropi bitleri nedir ve size neden yüzde vermiyoruz
“%92 güçlü” hiçbir şey demek değildir: ulaşılacak bir 100 yok ki. Bitler ise çok somut bir şey söyler ve hep aynı şeyi söyler. Eklediğiniz her bit, sizi tahmin etmeye çalışanın işini ikiye katlar; yani 40 bit, 20 bitin iki katı iyi değildir — bir milyon katı iyidir.