Geri Dön

Expanding password dictionaries by generating new probable passwords using machine learning techniques

Makine öğrenmesi teknikleri ile yeni olası şifreler üreterek şifre sözlüklerinin genişletilmesi

PDF İndir

  1. Tez No: 848538
  2. Yazar: MEHMET GÖRKEM KESTANE
  3. Danışmanlar: DR. ÖĞR. ÜYESİ MURAT AK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: Akdeniz Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 157

Özet

Çevrimiçi hesaplar, kullanıcı adları ve farklı parola kombinasyonları kullanılarak korunmaktadır. Parolalar kullanıcıların hesaplarına ve bu hesaplarda bulunan banka hesap bilgileri, satın alma geçmişi, ev adresi gibi kişisel bilgilerine yapılan yetkisiz erişimlere karşı koruma sağlamaktadır. Şifre ne kadar güçlü oluşturulursa, kullanıcıların hesapları bilgisayar korsanı hacker'lardan ve kötü amaçlı yazılımlardan o kadar iyi derecede korunacaktır. Bu sebeple, sistem ve ağ güvenliğini sağlamak için, kullanıcıların sistemlerindeki tüm hesaplar için güçlü ve sağlam şifreler bulundurması gerekmektedir. Zayıf bir parola; sözlükteki sözcükler, özel adlar ve kullanıcı adlarından türetilen sözcükler de dahil olmak üzere tüm olası parolaların bir alt kümesini kullanan kaba kuvvet saldırısı gerçekleştirilerek tahmin edilmesi kolay olan paroladır. Ayrıca zayıf ve kolay kırılabilir bir parola, kısa, yaygın kullanılan veya sistem varsayılanı şifrelerdir. Zayıf şifrelerin zaafiyet oluşturduğu göz önünde bulundurulduğunda, yapılan hack saldırılarında zayıf şifreler önemli bir rol oynamaktadır. Bazı uygulamalar kullanıcılara kolaylık sağlamak için, kullanıcılarına her zaman güçlü şifre oluşturma ve kullandırma zorunluluğu şart koşmayabilmektedir. Bu durum, kullanıcıların password, password123, Password@123, 123456, telefon numaralarından oluşan parolalar gibi zayıf parolalar oluşturmalarında önemli bir etki teşkil etmektedir. Bir parola yeterli uzunlukta olup, özel karakter içerse bile, kolay tahmin edilebilen zayıf bir parola olabilmektedir. Örneğin Gorkem@12345 parolası karmaşık bir şifre gibi görünse de tahmin edilebilmektedir. Zayıf şifreler arasında kullanıcının adını, adresini veya telefon numarasını içeren şifreler bulunmaktadır. Bu tarz bilgiler ve pattern'lar içeren şifreler human-like parolalardır. Kullanıcılar şifreleri oluştururken özel karakter içeren rastgele string'ler kullanmalıdır ve oluşturulan bu şifrelerin uzunlukları çok kısa olmamalıdır. Çünkü zayıf şifreler saldırganlar tarafından kaba kuvvet saldırılarıyla kırılabilmektedir veya parolaların uzunlukları çok kısaysa tahmin edilebilir olabilmektedir. Hatırlaması zor olsa da, rastgele string veya özel karakterler içeren ve belli bir uzunluktan daha kısa olmayan parolalar güvenlik açısından oldukça güvenlidir. Bir şifre günlük hayattan ifadeler içeriyorsa zayıf bir şifre olarak nitelendirilmektedir. Bunun nedeni çoğunlukla tahmin edilebilir olmaları ve sözlük saldırılarıyla saldırıya uğrayabilir ve ele geçirilebilir olmalarından kaynaklanmaktadır. Parola sözlüğü, olası parolaları ihtiva etmekte olan bir listedir. Saldırgan, ele geçirilmiş bir şifre veri tabanından, bir şifrenin hash'ini elde ettiği zaman, bir parola sözlüğünde muhafaza edilen tüm şifrelerin hash'ini, elde edilen hash değeriyle karşılaştırabilmektedir ve bir eşleşme bulunursa hash değerine karşılık gelen şifreyi bulabilmektedir. Bu durum, sözlük saldırısı olarak adlandırılmaktadır. Sızdırılan şifreler analiz edilip incelendikten sonra en sık kullanılan şifrelerin basit sözlük kelimeleri olduğu, şifre hash'lerini kırmanın en yaygın yönteminin ise sözlük saldırıları olduğu görülmüştür. İnsanlar hatırlanması kolay şifreler oluşturma eğilimindedirler, bu nedenle genellikle şifre sözlüklerinde bulunan, günlük hayatta kullanılan yaygın ifadeleri seçmektedirler. Kelime Listeleri olarak da bilinen parola sözlükleri, sözlük saldırısı gerçekleştirerek şifreleri kırmak için kullanılmaktadır ve sızdırılmış veritabanlarından alınan gerçek şifre dökümlerinden oluşmaktadır. Rockyou.txt bu kelime listelerinden bir tanesidir. Diğerleri ise milyonlarca şifreden oluşan daha büyük yığınlardan alınmış ve en sık tekrarlanan öğelerle oluşturulmuştur. SecLists, WordList-Compendium, Kaonashi, Crackstation Wordlist Şifre Kırma Sözlüğü, RockYou ve Top-WPA-Probable sözlük saldırısı gerçekleştirmek amacıyla oluşturulmuş olan parola sözlüklerinden bazılarıdır. Sözlük saldırısı gerçekleştirirken, saldırganın kırmak istediği şifrenin, saldırı yapmak için kullanmış olduğu parola sözlüğünde bulunan muhtemel şifrelerden biri olma ihtimali ne kadar yüksek olursa, atak yapılan şifrenin kırılma olasılığı da o kadar artmaktadır. Bu tez çalışmasında sözlük saldırıları yapılırken bu kelime listelerini kullanmak ve sözlük saldırısıyla şifre kırma işlemini bir sonraki aşamaya taşımak için makine-benzeri-oluşturulmuş veya insan-benzeri-oluşturulmuş gibi sınıflandırılmış parola sözlükleri oluşturmaya çalışılmıştır. Zenginleştirilmiş parola sözlükleri, makine öğrenmesi ve derin öğrenme yöntemlerinden LSTM (RNN) kullanılarak oluşturulmuştur. Bu projede, makine öğrenimi teknikleri kullanılarak mevcut parola sözlüğü listelerinin genişletilmesi, mevcut şifre cümlelerinin diğer permütasyonlarla birleştirilmesi ve gerçek bir insan kullanıcının oluşturabileceği tarzda daha fazla potansiyel şifre geliştirilmesi üzerine yoğunlaşılmıştır. Üretilen şifrenin makine benzeri mi yoksa kullanıcı benzeri mi üretildiğine göre sınıflandırma işlemi yapıldıktan sonra kullanıcının oluşturabileceği tarzda şifreler oluşturulmakta ve yeni parola sözlük listeleri oluşturulmaktadır. İnsanların hatırlanması kolay şifreler oluşturma eğiliminde olmaları ve günlük hayatta kullanılan ortak ifadeleri seçmeleri nedeninden yola çıkılarak, insan-benzeri-üretilmiş parolalar oluşturularak ve bunlar kullanılarak zenginleştirilmiş parola sözlükleri oluşturulmuş ve bu insan kullanıcıların oluşturabileceği tarzda parolalarla oluşturulmuş sözlükler kullanılarak daha güçlü saldırılar gerçekleştirilmesinin mümkün olup olmadığı araştırılmıştır. Tezin amacı, sözlük saldırılarının kapasitesini arttırmak amacıyla gerçek insan kullanıcıların gelecekte oluşturabileceği potansiyel mantıksal şifreleri üretip zenginleştirilmiş sözlükler oluşturmaktır. Bu araştırmada parola sözlüğü saldırılarına ek güç vererek, sözlük saldırılarının aslında önceden inanıldığından daha etkili olduğunu göstermek mümkün olacaktır. Makine öğrenimi literatüründe amacımıza uygun yaygın bir yöntem RNN(LSTM)'dir. Bu nedenle Makine Öğrenmesi tekniklerinden biri olarak Yinelemeli Sinir Ağları (RNN) kullanılmaktadır. Bu çalışmada Yinelemeli Sinir Ağı (RNN) mimarisi olarak Uzun Kısa-Süreli Bellek (LSTM) kullanılmıştır. Ayrıca bu tezde şu soru ele alınmaktadır: Makine öğrenmesi tekniklerini kullanarak, mevcut şifreleri analiz edip, şifre sınıflandırma işleminden sonra yenilerini ekleyerek bir şifre sözlüğünü zenginleştirebilir miyiz? Şifre sözlüklerinin bu şekilde güçlendirilmesiyle sözlük saldırılarının aslında sanıldığından daha etkili ve efektif hale getirilmesi mümkün olacaktır.

Özet (Çeviri)

By using username and password combinations, online accounts are protected. Passwords provide protection against unauthorized access to a user's accounts and personal information, such as bank account information, purchase history, or home address. The stronger the password, the more protected account of users will be from hackers and malicious software. For this reason, users should maintain solid passwords for all accounts on their systems. A weak password is one that is easy to guess by performing a brute force attack utilizing a subset of all possible passwords, including words in the dictionary, proper names, and words derived from user names. In addition, they are short, common, or system default passwords. Any hack has a significant role played by weak passwords. Applications may not always require strong passwords for the ease of the user, which leads to users using weak passwords like password, password123, Password@123, 123456, their own mobile number, etc. A weak password might also be one that is easy to guess and doesn't always refer to length and character usage. For example, Gorkem@12345 appears to be a complicated password, but it is predictable. Weak passwords include those that contain the user's name, address, or phone number. While creating the passwords, users should use random strings with special characters and their length shouldn't be too short because weak passwords can be brute-forced by attackers or be predictable if their length is too short. Although it may be challenging to remember, that is actually quite secure from a security standpoint. If a password contains daily life phrases it is called a weak password. This is due to the fact that they are mostly predictable and can be attacked by dictionary attacks. A password dictionary is a list of possible passwords. When an attacker obtains the hash of a password from a compromised password database, they can compare the hash of all the passwords in a dictionary to an obtained hash value and if a match is found, the password that corresponds to the hash value is found. This is called a dictionary attack. After leaked passwords were analyzed, it was found that the most commonly used passwords were simple dictionary words, and the most common method to crack password hashes was dictionary attacks. People tend to create passwords that are easy to remember, so they choose common phrases that are used in daily life which usually exist in password dictionaries. The password dictionaries, also known as Wordlists are used to crack passwords and they consist of real password dumps from leaked databases, such as rockyou.txt. Others are taken from larger dumps of millions of passwords and resulted in the most commonly reoccurring items. Here are some of the more important wordlists for generic password cracking, such as SecLists, WordList-Compendium, Kaonashi, Crackstation Wordlist Password Cracking Dictionary, RockYou and Top-WPA-Probable. When performing a dictionary attack, the more and more likely the existing passwords in the wordlist used by the attacker are, the more likely the hacked password is to be cracked. In this thesis work, we tried to build classified worldlists such as machine-like-generated or human-like-generated in order to use those wordlists while dictionary attacks are performed and take the password-cracking to the next level. Enriched wordlists are created using machine learning and deep learning methods, especially LSTM(RNN) method. In this project, it is concentrated on expanding the existing password dictionary lists using machine learning techniques, combining existing password phrases with other permutations, and developing more potential passwords that a user could construct. High-accuracy passwords that the user can create are generated and new wordlists are built, after classifying operation of whether the password generated is machine-like generated or user-like-generated. Due to the fact that people tend to create passwords that are easy to remember and they choose common phrases that are used in daily life, In this way, it is investigated that it is possible to perform more powerful attacks by enriching the wordlist by utilizing human-like classified passwords. The goal of the thesis is to create enriched dictionaries after generating potential logical passwords that the user might construct in the future in order to increase the capacity of the dictionary attacks. By giving password dictionary attacks additional power in this investigation, it will be feasible to demonstrate that dictionary attacks are actually more effective than previously believed. In the machine learning literature, a common method suitable for our aim is RNN(LSTM). So that, Recurrent Neural Networks (RNN) is used as one of the Machine Learning techniques. As Recurrent Neural Network (RNN) architecture, Long Short-Term Memory (LSTM) is utilized in this work. Moreover, In this thesis, we consider the following question: Can we enrich a password dictionary by analyzing the existing passwords and adding new ones after password classification operation, by using machine-learning techniques? By empowering the password dictionaries using that way, it will be possible that dictionary attacks can actually be made more effective than previously thought.

Benzer Tezler

  1. Tez No

    182361

    Tek kullanımlık (atılabilir) kimlik doğrulamalı anahtar değişimi yazılım uygulamasının geliştirilmesi

    A software development of onetime (disposable) id authenticated key exchange application

    ALİ UMUT YÜKSEL

    Yüksek Lisans

    Türkçe

    Türkçe

    2006

    Elektrik ve Elektronik MühendisliğiHacettepe Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    Y.DOÇ.DR. MEHMET DEMİRER

  2. Tez No

    354313

    Expanding M-commerce possibilities through technology enabled devices

    Teknoloji uyumlu cihazlar sayesinde M-ticaretin genişletilme olanakları

    ENGİN ÖZBEY

    Yüksek Lisans

    İngilizce

    İngilizce

    2013

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolÇankaya Üniversitesi

    Matematik Bilgisayar Ana Bilim Dalı

    DOÇ. DR. ÖZGÜR TOLGA PUSATLI

  3. Tez No

    582071

    Expanding a counseling intake form and examining psychosocial problems of university students

    Bir danışmanlık ön-görüşme formunun genişletilmesi ve üniversite öğrencilerinin psiko-sosyal sorunlarının incelenmesi

    AKIN CİHAN

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Eğitim ve ÖğretimBoğaziçi Üniversitesi

    Eğitim Bilimleri Ana Bilim Dalı

    DOÇ. DR. DENİZ KAYMAK ALBAYRAK

  4. Tez No

    651762

    Aşırı plastik deformasyon uyfulanmış S500MC otomotiv çeliğinin mekanik özelliklerinin incelenmesi

    Investigation of mechanical properties of severe plastic deformed S500MC automotive steel

    İBRAHİM KARADEMİR

    Doktora

    Türkçe

    Türkçe

    2020

    Makine MühendisliğiKarabük Üniversitesi

    Makine Mühendisliği Ana Bilim Dalı

    PROF. DR. MUSTAFA BAHATTİN ÇELİK

  5. Tez No

    741240

    The impact of uncertainty and institutional design: UNHCR and IOM's competing discourses on climate change-related mobility

    Belirsizliğin ve kurumsal bağlamın etkisi: Birleşmiş Milletler Mülteciler Yüksek Komiserliği ve Uluslararası Göç Örgütü'nün iklim değişikliğine bağlı hareketlilik üzerine rakip söylemleri

    KÜBRA ERGÜN

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Uluslararası İlişkilerKoç Üniversitesi

    Uluslararası İlişkiler Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ AYŞEN EZGİ ÜSTÜBİCİ ÖNAY

Geri Dön