Herneyse, ben şu OTP'yi anlatayım sizlere. Şimdi normal bir sisteme telnet çektiğinizde size önce Login: sorar, sonra da Password: . Şifrenin kullanıcı değiştirmedikçe hep aynı kaldığını biliyorsunuz. Böylece eğer sistemde bir şekilde shell elde etmeyi başarmışsanız, elinizdeki uygun snifferı kullanarak sizden sonra sisteme giren kullanıcıların loginlerini ve passwordlerini sniffer denen program seyesinde yakalayabilirsiniz. Ama bu yöntem OTP kullanan sistemlere işlemez. Neden mi? Çünkü OTP kullanan sistemlerde kullanıcılar her seferinde değişik şifre girerler. Bu da "challenge" denen ve her kullanıcı için ayrı olan bir değer sayesinde gerçekleşir.
Normal bir sistemde kullanıcı ismi ver şifre girilir, eğer değerler uyuyorsa kullanıcı sisteme alınır. OTP'de kullanıcının paroladan önce challenge denen bir değeri cevaplaması gerekir. Challenge iki değerden oluşur. Birincisi iteration değeri ve ikincisi ise seed değeridir. Kullanıcı sisteme ilk üye olduğunda bir parola seçer. Ama bu parola sisteme giriş için kullanılmaz. Kullanıcı daha önceden bir yerlerden aldığı hesaplayıcıyı kullanır. Nasıl mı? Nasıl olduğunu anlatmadan önce size bir örnek vereyim:
-------------------------------------<
SunOS UNIX (bilmemne.org)
login: dcluster
Challenge: 674 359nar
Password:
-------------------------------------<
Yukarıda basit bir OTP örneği var. 674 sisteme her girişte bir azalan iteration değeri ve 359nar'da kullanıcı için önceden belirlenmiş seed yani tohum değerir. Kullanıcı hesaplayıcısına challenge değerini ve önceden belirlediği parolasını girdiğinde sisteme giriş şifresi oluşur ve her seferinde değişik olan bu parolayı password: yerine yazar.
Bu da o sistemde sniffer kullanmanın bir anlamı olmadığının kanıtı. Iteration değerinin sıfır olması halinde kullanıcı sisteme asla giremez. Gördüğünüz gibi kullanıcının bilgisayarı ve hedef bilgisayar arasında asla gerçek parola alışverişi gerçekleşmez. Gerçek parola sadece challenge değeriyle birleştirilip sadece o seferlik kullanılabilecek bir parola oluşturmaya yarar. İşte başka bir örnek daha:
--------------------------------------------------
Red Hat Linux 4.2 (kurban.org)
login: dcluster
Challenge: 923 348mjr
Password:
Login incorrect
login:dcluster
Challenge: 923 348mjr
Password: was meu mnb mile ce
Last Login: Sun Oct 30 0:34:56 from 205.114.78.9
---------------------------------------------------
Yukarıda gördüğünüz örnekteki ismi dcluster olan kullanıcının iteration değeri "923", seed değeri 348mjr"dir. Daha önce de söylediğim gibi iteration değeri olan 923, kullanıcı bir daha girdiğinde 922 olacaktır. Seed değeri olan 348mjr ise hep aynı kalacaktır. Kullanıcı hesaplayıcısına parolasıyla beraber challenge değerini de girer ve hesaplayıcı da ona sadece bu seferki giriş için kullanabileceği geçici bir şifre sağlar. Bu da "was meu mnb mile ce"dir. Eğer siz inat ederek sniffer kullanırsanız, yakalayacağınız parola "was meu mnb mile ce" olur. Kısacası OTP güvenliği arttırır.
OTP bu yönteme verilen isimdir ve OTP'nin çeşitli yazılımları var. S/KEY, OPIE ve LogDaemon bunlardan en çok tercih edilenleri. Herneyse, detaya girmeden OTP'nin ne olduğunu anlatmaya çalıştım, herhalde başarmışımdır! Hehehe...Doğrusunu söylemek gerekirse bu tür koruma mekanizmaları benim canımı sıkıyor ama ne yapabilirim ki? Neyse, görüşmek üzere, kendinize iyi bakın...