Parola Güvenliği için Kullanılan Hash Algoritmalarının Karşılaştırmalı Analizi


Abstract views: 14 / PDF downloads: 22

Authors

  • Zeynep Gül Aslan Kocaeli Üniversitesi
  • Serdar Solak Kocaeli Üniversitesi

Keywords:

Parola Güvenliği, Hash Algoritmaları, Kriptografi, Veri Tabanı Güvenliği, Kriptografik Hash Algoritmaları

Abstract

Veri tabanı sistemlerinde kullanıcı parolalarının güvenli biçimde saklanması, güncel siber tehditlerin
artmasıyla birlikte her zamankinden daha önemli hale gelmiştir. Son yıllarda yaşanan veri sızıntıları,
parolaların düz metin olarak tutulmasının ya da zayıf koruma yöntemlerinin ciddi güvenlik sorunlarına yol
açtığını açık biçimde göstermektedir. Bu nedenle, kullanılan hash algoritmalarının niteliği ve uygulanan ek
güvenlik önlemleri, parola güvenliğini doğrudan belirleyen temel faktörlerdir. Bu çalışmada, veri
tabanlarında parolaları korumak için kullanılan güncel yöntemler bir arada ele alınmış; özellikle salt ve
pepper kullanımının sağladığı katkılar değerlendirilmiştir. Ayrıca MD5 ve SHA-1 gibi artık güvenli kabul
edilmeyen algoritmalar ile bcrypt, scrypt, PBKDF2 ve Argon2 gibi modern ve daha dirençli çözümler
mimari yapıları, bilinen saldırı türlerine karşı dayanıklılıkları ve performansları açısından karşılaştırılmıştır.
Bu karşılaştırma, zayıf algoritmaların neden risk oluşturduğunu ve modern yaklaşımların hangi sorunlara
çözüm getirdiğini daha net ortaya koymaktadır. Çalışmanın amacı, güvenli parola saklama konusunda hem
teknik hem de uygulamaya yönelik bir farkındalık oluşturmak ve geliştiricilere daha sağlam güvenlik
tasarımları yapabilmeleri için yol göstermektir.

Downloads

Download data is not yet available.

Author Biographies

Zeynep Gül Aslan, Kocaeli Üniversitesi

Bilişim Sistemleri Mühendisliği ABD/ Fen Bilimleri Enstitüsü, Türkiye

Serdar Solak, Kocaeli Üniversitesi

Bilişim Sistemleri Mühendisliği / Teknoloji Fakültesi, Türkiye

References

STALLINGS, William. Cryptography and network security, 4/E. Pearson Education India, 2006.

J. Bonneau, “The science of guessing: Analyzing an anonymized corpus of 70 million passwords,” in Proc. IEEE Symp. Security and Privacy (SP), 2012, pp. 538–552.

A. Gune, “The cryptographic implications of the LinkedIn data breach,” arXiv preprint arXiv:1703.06586, 2017.

B. A. Olaniran, A. Potter, K. A. Ross, and B. Johnson, “A gamer’s nightmare: An analysis of the Sony PlayStation hacking crisis,” J. Risk Anal. Crisis Response, vol. 4, no. 3, pp. 151–159, 2014.

PagerDuty. “Security Training: Salting Diagram.” [Online]. Available: https://sudo.pagerduty.com

PagerDuty. “Security Training: Pepper Diagram.” [Online]. Available: https://sudo.pagerduty.com

National Institute of Standards and Technology (NIST). (Feb. 2017) Research results on SHA-1 collisions. Computer Security Resource Center (CSRC). [Online]. Available: https://csrc.nist.gov/news/2017/research-results-on-sha-1-collisions

M. Stevens, E. Bursztein, P. Karpman, A. Albertini, and Y. Markov, “The first collision for full SHA-1,” in Proc. Annu. Int. Cryptology Conf. (CRYPTO), 2017, pp. 570–596.

H. Krawczyk, B. Kaliski, and J. R. Staddon, "PKCS #5: Password-Based Cryptography Specification Version 2.0," RFC 2898, IETF, Sept. 2000. [Online]. Available: https://datatracker.ietf.org/doc/html/rfc2898

Li, X., Zhao, C., Pan, K., Lin, S., Chen, X., Chen, B., ... & Guo, D. (2015). On the Security Analysis of PBKDF2 in OpenOffice. J. Softw., 10(2), 116-126.

N. Provos and D. Mazières, "A future-adaptable password scheme," in Proceedings of the 1999 USENIX Annual Technical Conference, Monterey, CA, USA, June 6–11, 1999. Berkeley, CA: USENIX Association, 1999, pp. 81–91.

C. Percival, "Stronger key derivation via sequential memory-hard functions," in BSDCan’09, Ottawa, Canada, May 8–9, 2009.

A. Biryukov, D. Dinu, and D. Khovratovich, “Argon2: New generation of memory-hard functions for password hashing and other applications,” in Proc. IEEE Eur. Symp. Security and Privacy (EuroS&P), 2016, pp. 292–302.

D. Khovratovich, S. Josefsson, and J. Somorovsky, "The memory-hard Argon2 password hash and proof-of-work function," RFC 9106, IETF, Aug. 2021. [Online]. Available: https://datatracker.ietf.org/doc/html/rfc9106.

X. Wang, Y. Yin, and H. Yu, "Finding collisions in the full SHA-1," in Advances in Cryptology – CRYPTO 2005: Proceedings of the 25th Annual International Cryptology Conference, Aug. 14–18, 2005, Santa Barbara, CA, USA, V. Shoup, Ed. Berlin: Springer, 2005, pp. 17–36.

J. Katz and Y. Lindell, Introduction to Modern Cryptography. Boca Raton, FL: Chapman and Hall/CRC, 2007, pp. 95–125.

T. Peron and H. Venter, "Making a hash of it: a study of password hashing in practice," in Proceedings of the Information Security South Africa (ISSA) Conf., Sept. 2008, Johannesburg, South Africa. IEEE, 2008, pp. 1–8.

NIST, "Recommendation for password-based key derivation: Part 1: Storage applications (SP 800-132)," National Institute of Standards and Technology, Gaithersburg, MD, USA, Dec. 2010.

M. Al-Fahdi and M. S. Hussain, "A survey of password attacks and their countermeasures," in Proc. of the 2019 Int. Conf. On Electrical, Computer and Communication Technologies (ICECCT), Coimbatore, India, Feb. 20–22, 2019. IEEE, 2019, pp. 1–7.

P. Oechslin, "Making a faster cryptanalytic time-memory trade-off," in Advances in Cryptology – CRYPTO 2003: Proceedings of the 23rd Annual International Cryptology Conference, Aug. 17–21, 2003, Santa Barbara, CA, USA, D. Boneh, Ed. Berlin: Springer, 2003, pp. 617–630.

H. Kim and J. Lee, "A survey of GPU-based password cracking and defenses," International Journal of Computer Science and Network Security, vol. 18, no. 11, pp. 1–8, Nov. 2018.

Digital Identity Guidelines: Authentication and Lifecycle Management, NIST Special Publication (SP) 800-63B, National Institute of Standards and Technology, Gaithersburg, MD, USA, 2017.

A. Melnikov and K. Zeilenga, “SCRAM-SHA-256 and SCRAM-SHA-256-PLUS,” Internet Engineering Task Force (IETF), RFC 7677, Oct. 2015.

PKCS #5: Password-Based Cryptography Specification Version 2.1, IETF RFC 8018, Nov 2017.

OWASP Foundation, “OWASP Password Storage Cheat Sheet / Application Security Verification Standard (ASVS),” [Online]. Available: https://owasp.org/

Downloads

Published

2025-12-20

How to Cite

Aslan, Z. G., & Solak, S. (2025). Parola Güvenliği için Kullanılan Hash Algoritmalarının Karşılaştırmalı Analizi . International Journal of Advanced Natural Sciences and Engineering Researches, 9(12), 430–438. Retrieved from https://as-proceeding.com/index.php/ijanser/article/view/2989

Issue

Vol. 9 No. 12 (2025): IJANSER

Section

Articles