Kullanıcı hesaplarını işleyen herhangi bir uygulama için şifreleri güvenli bir şekilde saklamak son derece önemlidir. Açık metin depolama son derece riskli ve kabul edilemez. Bu makale, modern en iyi uygulamalara odaklanarak ve eski yöntemlerin zayıflıklarını vurgulayarak MySQL’de güvenli şifre depolamayı ele almaktadır.
İçindekiler:
- Şifre Karma işlemi Nedir?
- Neden MD5 ve SHA1’den Kaçınılmalı?
- MySQL’in PASSWORD() Fonksiyonu
- MySQL’in ENCRYPT() Fonksiyonu
- Modern En İyi Uygulamalar: Bcrypt, Argon2 ve Scrypt
Şifre Karma işlemi Nedir?
Şifre karma işlemi, bir şifreyi sabit boyutlu bir dizeye (karma) dönüştüren tek yönlü bir kriptografik işlevdir. Bu işlemi tersine çevirmek hesaplama açısından mümkün değildir, yani orijinal şifreyi karma değerinden geri kazanamazsınız. Bu, veritabanı tehlikeye atılsa bile şifreleri korur.
Ancak, tüm karma algoritmaları eşit yaratılmamıştır. Güvenlik, çakışma saldırılarına (farklı şifrelerin aynı karmayı üretmesi) ve kaba kuvvet saldırılarına (birçok şifreyi deneme) karşı direnmeye bağlıdır. Eski algoritmalar savunmasızdır.
Neden MD5 ve SHA1’den Kaçınılmalı?
MD5 ve SHA1 eski ve kriptografik olarak şifre depolaması için kırılmışlardır. Çeşitli saldırılara karşı hassastırlar ve kullanıcı kimlik bilgilerini güvence altına almak için uygun değildirler. Asla kullanmayın.
MySQL’in PASSWORD() Fonksiyonu
MySQL’in yerleşik PASSWORD() fonksiyonu, MD5 veya SHA1’den biraz daha iyi güvenlik sunar, ancak modern uygulamalar için yine de önerilmez. Bir adım önde olsa da, daha güçlü algoritmalar kolayca kullanılabilir.
Örnek (yalnızca gösterim amaçlı; üretimde kullanmayın):
INSERT INTO users (username, password) VALUES ('john_doe', PASSWORD('mysecretpassword'));
Doğrulama (yalnızca gösterim amaçlı; üretimde kullanmayın):
SELECT * FROM users WHERE username = 'john_doe' AND PASSWORD('mysecretpassword') = password;
MySQL’in ENCRYPT() Fonksiyonu
MySQL’in ENCRYPT() fonksiyonu da zayıftır ve şifre depolaması için kullanılmamalıdır. Modern saldırılara karşı yetersiz koruma sağlar.
Modern En İyi Uygulamalar: Bcrypt, Argon2 ve Scrypt
bcrypt, Argon2 veya scrypt gibi güçlü, modern karma algoritmaları kullanın. Bunlar hesaplama açısından pahalı olacak şekilde tasarlanmıştır, bu da kaba kuvvet saldırılarını önemli ölçüde zorlaştırır. Çok önemli olarak, asla şifre karma işlemini kendiniz uygulamaya çalışmayın. Yaygın hatalardan kaçınmak ve tuzlama ve biberleme dahil olmak üzere uygun uygulamayı sağlamak için seçtiğiniz programlama dilinde yerleşik kütüphaneleri kullanın.
Bu kütüphaneler, güvenli şifre karma işleminin karmaşıklığını ele alır, bunlar arasında:
- Tuzlama: Karma işlemden önce şifreye rastgele bir dize ekleyerek, aynı şifre birden çok kez kullanılsa bile benzersiz hale getirir.
- Biberleme (isteğe bağlı): Güvenliği daha da artıran gizli, sunucu tarafı bir dize eklemek.
- Uyarlanabilir maliyet faktörleri: Mevcut kaynaklara bağlı olarak karma karmaşıklığını ayarlayarak, artan işlem gücüyle kırılmasını zorlaştırır.
Güvenli şifre işlemeyi doğru bir şekilde uygulama konusunda uzmanlığınız yoksa özel bir şifre yönetim sistemi kullanmayı düşünün.