En çok kullanılan Şifreler (password) Joomla

Joomla /administrator/index.php admin panelinde yapmış olduğum testler neticesinde en çok kullanılan şifreler şu şekilde. Bu kadar basit şifreler kullanılması durumun vahametini gösteriyor.

Joomla adiministrator paneli için usarname: admin  default olarak gelmektedir.

Yapmış olduğum testlerde kullanacı adı admin olarak denemelerde bulunulmuştur.

100.000 civarında site üzerinden yapmış olduğum çalışmada

Kullanıcı adı   Admin sabit

1- Password (Şifre) : admin   oran %3

2- Password (Şifre) : 123456 oran % 2.6

3- Password (Şifre) : password oran % 1.2

4- Password (şifre) : 12345 oran % 0.86

5- Password (şifre) : admin123 %0.36

6- Password (şifre) : abc123 % 0.25

7- Password (Şifre) : 1234567 % 0.14

8- Password (Şifre) : 12345678 % 0.7

9- Password (şifre) : 123456789 % 0.4

10- Password (şifre) : 1234 % 0.2

gibi oranlarda seyretmektedir. Daha önceki yıllarda yapmış olduğum testlerde bu oran çok büyük rakamlardaydı. Daha önce 1 milyon url üzerinden yapmış olduğum security amaçlı şifre denemelerinde 60.000 gibi şifre kırılmış, %6 gibi basit şifre oranı yakalanmıştı.

Uyarılar neticesinde, Her geçen yıl basit şifre belirleme oranında büyük düşüşler yaşansa da rakamlardan da anlaşılacağı üzere halen daha rakamlar ürkütücü.

Bu basit şifreler kırıldıktan sonra hosting üzerinde bulunan diğer tüm sitelerde, çok büyük tehtid altına girmektedir. Admin paneline ulaşıldıktan sonra server üzerine shell upload edilmekte, server üzerinde gerekli güvenlik önlemleri alınmadıysa, root exploitleri, çeşitli shell’ler, sym’link scriptleri vasıtasıyla hosting üzerinde bulunan hazır scriptlerin configuration.php lerine ulaşılarak, sql veri tabanına bağlanılarak şifreler değiştirilebilmekte, zararlı yazılımların, virüslü yazılımların yüklenmesine sebebiyet verilmektedir.

Burada birinci derece sorumlu basit şifre belirleyen kullanıcılardır. Bilindiği üzere harf, rakam, büyük harf 8 karakter üzerinden belirlenen bir şifreyi internet üzerinden kırmak çok uzun zamanlar alacaktır. Denenen şifreler basit şifrelerdir. Kimse 8 karakter üzeri büyük harf, küçük harf, ascii ve rakamlardan oluşan şifreleri denemez. Neticeye ulaşması aylar yıllar alabilecektir veya hiç ulaşamayacaktır.

Şifre denemeyi önlemek için çok basit görsel doğrulayıcı, sabit admin ismini değiştirme, 5 denemeden sonra ip bannet gibi basit önlemler alınamamaktadır.

Eğer bu basit önlemler alınabilse şifre kırılma oranları çok düşük seviyelere inecektir.

Gene hosting yetkililelerinin permission yapılandırmalarını iyi bilmemeleri, dizinler arasında geçişlere müsaade etmeleri, sym link  ln -s komutlarını kapatmamaları, ödemli dosyaları kriptolamamaları gibi bir sürü alınması gereken önlemleri almaması da güvenilir hosting seçimini gündeme getirmektedir.

Lütfen basit şifreler kullanmayalım, basit şifre koyan website sahiplerini de iletişim panelinden veya site üzerinde telefon numarası mevcutsa telefon vasıtasıyla uyaralım.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir