
Turkish: 
Sanırım bugün sorduğumuz şey, şifrelerinizin rehin alınmış olması.
 
Çevrimiçi olarak güvende tuttuğum web sitelerinden biri, şu anda karıncalanmış olmamdı, bu web sitelerini seviyorum. Bu harika.
Truva avı denen bir adam tarafından çalıştırın ve ne zaman büyük bir sızıntı
Diyelim ki bir şirket saldırıya uğradı ve her zaman bu şifreleri kullanarak internetten çıkma
Açıkçası, şifreleri kırmaya ve hesaplarına girmeye çalışan insanlar
Bu şeylere bakıyor olacaklar
Ama yaptığı şey, onları topladığı ve sana haber verdiği.
Hesaplarınızın çoğu için kullandığınız bir e-posta adresiniz var.
Bunu web sitesine koydun ve eğer bu e-posta adresi hiç sızıntı yapıyorsa
Muhtemelen bir şifreye bağlı olduğunu sanıyorum ama zorunlu değil
Size bildirecek ve bu gerçekten iyi bir şey çünkü hiç kimse tüm sızıntıların tepesinde değil mi?
Ben kesinlikle değilim. Ve belki de bir e-posta adresim var. Bu yüzden verilmiş olmadığından emin olmak istiyorum
Yani bu harika bir web sitesi, biliyorsunuz, ona bir link koyacağız. Ama aslında bugün bahsettiğimiz şey bu değil.
bugün bahsettiğimiz şey Parola API'si
Aynı zamanda başka bir büyük varlık olan çevrimiçi hakkı koydu.

English: 
I guess what we were asking today is have your passwords been pwned
 
One of the websites I used to keep secure online is have I been pwned right now, I love this websites. It's great.
Run by a guy called Troy hunt and whenever it is a big leak
Let's say a company gets hacked and always using these passwords get leave out in internet
Obviously people who are trying to crack passwords and break into your accounts
They're going to be looking at these things
But what he does, is he collects them and lets you know
You've got an email address that you use for most of your accounts
You put this in the website and if that email address ever appears in a leak
I assume probably tied to a password but not necessarily
It will let you know and that's a really good thing because no one's on top of all the leaks, right?
I certainly am not. And so maybe I have an email address. So I want to make sure hasn't been given away
So this is a great website, you know, we'll put a link to it. But actually this is not what we're talking about today
what we're talking about today is the Password API
it's also put online right which is another great asset.

Turkish: 
Bu, parolanızı bir konuşma biçiminde gerçekten gönderebileceğiniz yerdir
ve size hiç sızdırılmış olup olmadığını söyleyecektir
Şimdi bu önemli çünkü şifreniz daha önce sızdırılmışsa
sizin tarafınızdan veya başka biri tarafından
O zaman sözlük saldırısı için kullanılan uzun bir kelime listesinde görünebilirdi.
Doğru, ve bu sadece şifrenizi daha savunmasız hale getiriyor
Genel olarak, şifreniz daha önce sızdırılmışsa, kullanımın gerçekten güvenli olmadığını savunurum.
Burada bazı ilginç sorular var
Parolanızı İnternet'teki saldırıya uğradığını söyleyeceğini söyleyen bir kutuya mı koymalısınız?
Genel olarak hayır!
Genel olarak, şifrenizi nereye yazdığınıza çok dikkat edin.
Bir web sitesi hazırlasam ve bana kesinlikle güvenmelisin derim çünkü o benim.
Hala bana güvenme. Tamam
Sadece bir başlangıç ​​için ne bildiğini biliyorum. Programlamanın yetersiz kalıyor olabilirim ve bir güvenlik açığım var
Yani bu k-anonimlik denilen ilginç bir mekanizma kullanır
şifrenizi gönderebileceğinizden ve bu büyük şifre veritabanında olup olmadığını öğrendiğinizden emin olmak için
ve kimse ne olduğunu bulamayacak.

English: 
This is where you could actually send in your password in a manner of speaking
and It'll tell you whether it's ever been leaked
Now that's important because if your password has ever been leaked before
by you or by someone else
Then it could be appearing in a long list of words that are being used for a dictionary attack
Right, and that just makes your password much more vulnerable
In general I would argue that if your password has been leaked before it's not really safe to use
There's some interesting questions here
Should you be putting your password into a box on the internet that says it will tell you if it's been hacked?
In general, no!
In general, be very careful about where you type in your password
Even if I make a website and I say you should definitely trust me because it's me.
Still don't trust me. All right
Just know what you know for a start. I might just be inept of programming and I've got a vulnerability
So this uses an interesting mechanism called k-anonymity
to make sure that you can send in your password and find out whether it's in this big database of passwords
and no one gets to find out what it was.

English: 
All right, which is using hashing, and it's really great
So we're going to talk about that now
so you can go on to haveibeenpwned.com/passwords
and you can type in your password there and you can look at the source code
That's probably okay. But actually it's got a REST API where you can actually visit specific URLs
and obtain information on whether your password is in that database
you can do this very often
you could do it for example for all the passwords in your collection in your password manager
and actually some password managers like 1Password actually do this automatically for you
and they check your password this way
I mean, that's a really good idea
If you type in a password that you think is great for a new website
Your password manager can say actually this one's already been leaked like previously
so don't use that one.
So, how does this work?
and how does it remain secure
because even if this website is fully trustworthy
It's not a good idea to be sending a hashed version of your password to this website, right?
this is the website that has all the lists of all the passwords
if yours shows up, suddenly your IP address is saying My passwords weak my passwords weak

Turkish: 
Pekala, karma kullanıyor ve bu gerçekten harika
Yani şimdi bunun hakkında konuşacağız
böylece haveibeenpwned.com/passwords adresinden devam edebilirsiniz.
şifrenizi buraya yazabilir ve kaynak koduna bakabilirsiniz.
Muhtemelen tamamdır. Ancak aslında, belirli URL’leri gerçekten ziyaret edebileceğiniz bir REST API’sı var.
şifrenizin veri tabanında olup olmadığı hakkında bilgi edinin.
bunu çok sık yapabilirsiniz
örneğin koleksiyonunuzdaki tüm şifreler için şifre yöneticinizdeki
ve aslında 1Password gibi bazı şifre yöneticileri bunu sizin için otomatik olarak yapar
ve şifrenizi bu şekilde kontrol ederler
Yani, bu gerçekten iyi bir fikir
Yeni bir web sitesi için harika olduğunu düşündüğünüz bir şifre yazarsanız,
Şifre yöneticiniz aslında bunun daha önce olduğu gibi sızdırılmış olduğunu söyleyebilir
bu yüzden onu kullanmayın.
Peki bu nasıl çalışıyor?
ve nasıl güvenli kalır
çünkü bu web sitesi tamamen güvenilir olsa bile
Parolanızın karma bir versiyonunu bu web sitesine göndermek iyi bir fikir değil mi?
bu, tüm şifrelerin listesini içeren web sitesidir.
seninki belirirse, aniden IP adresin benim şifrelerimin zayıf olduğunu söylüyor

Turkish: 
ve bu sadece olmasını istediğin iyi bir şey değil, değil mi?
Peki nasıl çalışıyor?
Tıpkı bütün şifrelerdeki gibi. Korumaya başlamak için bir başlangıç ​​olarak değerlendiriyoruz.
Öyleyse, şifrenizin benim olduğunu bildiğim kadarıyla Şifre1
bu, şifreyi kullanmadığımı söylediğim videoya bağladığımız yer.
Eğer şifrenizde herhangi bir değişiklik varsa veya içinde 1 2 3 4 sayıları varsa veya yapıyorsanız?
Bu şifreleri silmeniz gerekir. Belki de hesabını utanmadan sil
Bu, bu amaç için tamam olan SHA-1 kullanılarak birleştirilecektir, değil mi?
Şifrelerinizi bu formatta mutlaka kalıcı olarak saklamazsınız.
Ancak bu API için sorun yok ve bu 160 bitlik karma üretecek
Pekala, 160 bit için FA2 241C'ye benzeyebilir ...
160 bit?
Evet
Tamam. Şimdi sorun şu ki, eğer bunu web sitesine gönderirsem, onlara sadece şifremi verdim
Yani tam olarak değil çünkü
SHA-1 karma ama bu kırılabilir. Özellikle şifrem iyi değilse, doğru

English: 
and that's just not a good thing you want to have happen, right?
So how does it work?
Well, just like with all passwords. We hash it as a start to begin protecting it
So let's imagine I have my password which is you know Password1
this is where we link to the video where I said don't use that password
if there's any variation on the word password or have any of the numbers 1 2 3 4 in or doing it?
You need to delete those passwords. Maybe delete your account out of shame
This will be hashed using SHA-1 which for this purpose is okay, right?
You wouldn't necessarily permanently store your passwords in this format
But for this API is OK and that's going to produce 160 bit hash
Right, which might look something like FA2 241C... for 160 bits
160 bits?
Yeah
Ok. Now the problem is if I send this off to the website, I've just given them my password
I mean not quite because
SHA-1 is hash but that could be broken. Especially if my password is not good, right

English: 
and also he's got a bunch of these passwords and hashes already computed in this database
So as soon as he sees that I've got the hash.
He reverse looks up the password.
That's a vulnerability, right?
I trust the guy but I still wouldn't want to do that, right?
And so this API used a system called K anonymity
what happens is instead of me giving them the whole hash
I give them just enough of the hash
But they can give me back anything that might match
and I am the one that actually finds that whether it does, right?
and that's a really neat trick.
So I will give them the first
one, two, three, four, five
characters of the hex of this password hash
so I will send the pwned password API FA224, for example
and it will send me back some number of passwords
that have been leaked in the past whose hashes begin with those five characters now, there'll be a lot of them
there's some 550 million passwords in this database which is a kind of scary and
It will return to you all the passwords but could match this and how many times they've been seen in leaked passwords, right? And

Turkish: 
ve ayrıca, bu veri tabanında zaten hesaplanmış olan bu şifrelerden ve hash'lerden bir demet aldı.
Bu yüzden görür görmez en kısa sürede hash aldım.
Parolayı tersine çevirir.
Bu bir güvenlik açığı, değil mi?
Adama güveniyorum ama hala bunu yapmak istemem, değil mi?
Ve böylece bu API K anonimlik denilen bir sistem kullandı
ne olur benim yerine onlara bütün karmayı vermek yerine
Onlara sadece yeterince karmaşa veriyorum
Ama bana eşleşebilecek her şeyi geri verebilirler
ve aslında bunu olup olmadığını bulan kişi benim, değil mi?
ve bu gerçekten düzgün bir hiledir.
Onlara ilk vereceğim
bir iki üç dört beş
bu parolanın onaltılı karakterleri
bu yüzden, örneğin, örneğin FA224 kodlu şifresini göndereceğim
ve bana bazı şifreleri geri gönderecek
Geçmişte sızdırılmış olan, şimdi hash bu beş karakterle başlayan, birçoğu olacak
Bir çeşit korkutucu olan bu veritabanında 550 milyon parola var.
Size tüm şifreleri geri getirecek, ancak bununla eşleşebilir ve kaç kez şifreli şifrelerde görüldüğü, değil mi? Ve

English: 
Usually you'll get about 4 or 500 back right? That's when you go through the list yourself at your end and say ok
Actually, my password is or it's not in there, right?
Because there's going to be a lot of possible hashes and possible passwords are start with these 5 characters
This is called k-anonymity the idea is that the website only knows we're one of about 500
People that could have this password. It doesn't even know actually if we have one of these passwords
Which is quite nice, right?
So I've written some code to do this and we'll have a look before you get a code out if you've hashed it with SHA-1
Is this just the way that this system works that it uses SHA-1 or is it I was just trying to work out because yes
Exactly it isn't the case for these passwords all originally hashed in SHA-1 like this database includes both the plaintext and the hashed versions
These are passwords that are previously been cracked right, as opposed to leaked in hashed form
so for example
Maybe my password has been leaked in like bcrypt form and no one ever broke it right in which case it's have no real concern

Turkish: 
Genellikle yaklaşık 4 ya da 500 geri alırsınız? Sonunda listeden kendin geçip tamam dediğinde
Aslında, şifrem orada mı yok mu?
Çünkü çok fazla muhtemel karmaşası olacak ve bu şifreler bu 5 karakterle başlıyor
Buna k-anonimlik denir. Fikir şu ki, web sitesi sadece 500 kişiden biri olduğumuzu biliyor.
Bu şifreye sahip olabilecek insanlar. Aslında bu şifrelerden birine sahip olup olmadığımızı bile bilmiyor.
Hangisi oldukça iyi, değil mi?
Bu yüzden, bunu yapmak için bazı kodlar yazdım ve SHA-1’e sahipseniz bir kod almadan önce bir göz atacağız.
Bu, bu sistemin SHA-1 kullandığı şekilde mi çalışıyor yoksa sadece çalışmaya mı çalışıyordum?
Tam olarak bu parolalar için orijinal olarak SHA-1'de elde edilen, bu veritabanı gibi hem düz metin hem de karma sürümleri içeren durum böyle değil.
Bunlar, önceden karma bir şekilde şifrelenmiş, şifreli biçimde sızdırılmış şifrelerdir.
örneğin
Belki şifrem bcrypt formunda sızdırılmış ve hiç kimse onu doğru kırmadı, bu durumda gerçek bir endişesi yok

Turkish: 
Daha önce hiç sızdırılmamış olsa daha iyi olur, ama biliyorsun
Bu yüzden bunlar, sızdırılmış olan şifrelerdir ve zaten düz metin içinde oldukları için düz metin olarak da bitmiştir.
veya kırıldıkları için ve şimdi düz metin içindeler. Bir kodu var. Tamam, hadi bazı koda bakalım
Yani yapabileceğimiz ilk şey sadece bu API'yi çekmektir, doğrudan yapmak çok kolaydır.
Bir kısmı sizin karma değerinizin başlangıcı ve sonra bunu deniyoruz. Tamam, bir örnek verelim
Bu yüzden bir web sitesi almak için sağ kıvrımı kullanacağım.
Sadece bir HTTP isteği gönderecek ve bir cevap alacaksınız
Curl, bu sadece belirli bir adrese ve hangi web sitesine veya güne bir istek göndermek için kullandığım bir yazılım kütüphanesi.
Geri döner. Bunu komut satırına aldım, yani kıvrılacak
HTTPS, şifreleme işleminin yapıldığından emin olmak için yalnızca HTTPS için çalışır. API nokta şifreli şifreler
Bu tür ileri eğik çizgi için comm ve sonra

English: 
I mean it's better if it've never been leaked, but you know
So these are passwords that have been leaked and they ended up in plaintext either because they were already in plaintext
or because they've been cracked and they're now in plaintext. She's got some code. Ok, let's look at some code
So the first thing we can do is just pull this API directly very easy to do you simply go to a web address
Part of which is the beginning of your hash and then we try that. All right, so let's to give an example
So I'm gonna hit I'm gonna use curl right to obtain a website back
Just going to send an HTTP request and receive a response
Curl, it's just a software library that I'm using here to send off a request to a specific address and whatever website or day
Comes back. I received that onto the command line, so it's gonna be curl
HTTPS only works for HTTPS to make sure there's encryption involved. API dot pwned passwords
comm for such range forward slash and then the

Turkish: 
Bu durumda FA224 olan karma değerimin ön eki. Yani FA224 geri dönecek
Bu, o karma ile başlayan tüm olası şifreler büyük bir listesi ile yapıldı.
Şimdi FA224'ü geri göndermiyor
Sadece diğer bitleri döndürür, çünkü bu zamanların bir kısmı artık kırılıyor ya da belki bir kez görülüyor
Bu 169 kez görülmüş. Ne olduğu hakkında hiçbir fikrim yok. Öğrenmek için şifreyi kırmam gerekirdi
Verilen zaman, dokuz kez 106 kez sızdırılmış. Muhtemelen çok güçlü değil. Belki de Şifre1
Evet, şifrenizden herhangi birini bu şekilde deneyebilirsiniz.
Yapmanız gereken tek şey parolanızı doğru bir şekilde almanız. Komut satırında yapılması kolay olan veya bazılarını yazdım.
Python kodu ve
O zaman ilk birkaç parçayı bu API'ye gönderebiliriz ve sonra bir listeye geri dönebiliriz
Tam karmamızın orada olup olmadığını görmek için listeye bakarız. Ve eğer öyleyse, şifremiz bozuk değil
Bu yüzden bazı Python kodları yazdım, tam olarak bu şeyi yapacağız, değil mi?
Tek yaptığı, bir kriptografi kitaplığı kullanması.
Python'da SHA-1'deki parolayı özetleyen harika bir kütüphanedir.

English: 
Prefix of my hash which in this case was FA224. So FA224 that's going to come back
It's done it with a big long list of all the possible passwords that they have that start with that hash
Now it doesn't return the FA224
It just returns the other bits because it's a waste of time now some of these are being cracked or or seen maybe one time
This one's been seen 169 times. I have no idea what it is. I'd have to break the password to find out
Given it's been leaked 106 nine times. It's probably not very strong. Maybe it's Password1
Yeah, it could be you can try any of your password this way
all you have to do is take your password hash it right which is easy to do on the command line or I've written some
Python code and
Then we can fire off to this API the first few bits and then we get back a list
We look through the list to see if our full hash is in there. And if so, our password isn't broken
So I've written some Python code we'll do this exact thing, right?
So all it does is it uses a the cryptography library
which is a great library in Python to hash the password in SHA-1

English: 
It takes the first five characters of the hexadecimal representation and it sends them off to the password API
It comes back with let's say 500 of them. I split it all up
I look through and try find my password
And if I find it then it'll print that it's found right and obviously I should change it now, of course
I'm just typing this with random passwords, but you get the idea
So let's have a go - I've called it pwned.py And then let's use this one Password1 with a capital P
So it's been found the hash actually starts with 70CCD and it's been found a 111000 times
That isn't great what that means is that in different leaks. This password has occurred a hundred thousand times, right?
It's definitely in password list right it's a prime candidate. We already knew this is Password1, right?
Let's try something a little bit more difficult. So let's say Password1234
This is going to be in there. There's only 3000 times
Right, but it's still not very good
If your password appears any number of times just one
Then that means that theoretically someone that had access to this list and these are all publicly available these leaks could

Turkish: 
Onaltılık gösterimin ilk beş karakterini alır ve bunları parola API'sine gönderir.
Diyelim ki bunlardan 500 tanesi diyelim. Hepsini böldüm
Gözden geçiriyorum ve şifremi bulmaya çalışıyorum
Ve eğer onu bulursam doğru bulduğunu yazdıracak ve tabii ki şimdi değiştirmeliyim tabii ki
Bunu sadece rastgele şifrelerle yazıyorum, ama siz anladınız
Öyleyse hadi gidelim - ben buna pwned.py adını verdim Ve sonra hadi bu Şifre1'i büyük harfle P kullanalım
Böylece, hash aslında 70CCD ile başladığı bulundu ve 111000 kez bulundu.
Bunun anlamı, farklı sızıntıların olması demek değil. Bu şifre yüz bin kez meydana geldi, değil mi?
Bu kesinlikle şifre listesinde doğru bir aday. Bunun Şifre1 olduğunu zaten biliyorduk, değil mi?
Biraz daha zor bir şey deneyelim. Diyelim ki Parola1234
Bu orada olacak. Sadece 3000 kez var
Doğru, ama hala çok iyi değil
Şifreniz herhangi bir sayıda görünürse, yalnızca bir defa
Öyleyse bu teorik olarak bu listeye erişimi olan biri ve bunların hepsinin halka açık olduğu anlamına geliyor.

English: 
Could put that in there big big long list of things and just try them as a matter
Of course on any new leak that turns up. It doesn't mean that you're definitely going to get hacked
It just means that there's a better chance right and it's not ideal
So why not have a look and see so I mean so we've used this password
But perhaps we should use something slightly stronger any ideas in the password cracking video. iloveyoukate was it? All right
Let's try that. So I love you Kate. All right, there we go
It was found 93 times, I think some people might have started using it I mean, please don't use that bad passwords
You know, it's very nice. But yeah
Yeah, I mean any password that appeared in that list is
going to be is breakable enough that it's definitely going to be in there, right? So that's a huge problem
You know if you if you start to get a slightly more difficult passwords
Like some of the ones that we were looking at maybe in the choosing your password video
So for example 4 words, so let's say why don't you do correct horse battery staple
That is definitely in there and I can tell you about even running it.

Turkish: 
Oraya uzunca bir şeyler koyabilseydim ve onları bir mesele olarak deneyebilir miydim?
Elbette ortaya çıkan herhangi bir yeni sızıntıda. Bu kesinlikle saldırıya uğrayacağınız anlamına gelmez
Sadece daha iyi bir şans olduğu anlamına gelir ve bu ideal değildir
Öyleyse neden görünmüyor ve görmüyorsun yani demek istediğim bu şifreyi kullandık
Ama belki de şifre kırma videosundaki fikirlerden biraz daha güçlü bir şeyler kullanmalıyız. iloveyoukate öyleydi mi? Tamam
Bunu deneyelim. Bu yüzden seni seviyorum Kate. Tamam, gidiyoruz
93 kez bulundu, sanırım bazı insanlar kullanmaya başlamış olabilir, yani o kötü şifreleri kullanmayın.
Bilirsin, çok hoş. Ama evet
Evet, o listede görünen herhangi bir şifreyi
Olacak, kesinlikle orada olacağı kadar kırılabilir, değil mi? Yani bu büyük bir problem
Eğer biraz daha zor şifreler almaya başlarsanız, biliyorsunuz
Baktığımız bazı kişiler gibi, belki de şifrenizi seçerken
Öyleyse örneğin 4 kelime, diyelim ki neden doğru at batarya zımbalamıyorsunuz
Bu kesinlikle orada ve size onu çalıştırmayı bile söyleyebilirim.

Turkish: 
corrhorsebatterystaple bulundu. 114 kez. İnsansız. Doğrultu atıcılığı kullanmıyoruz
Peki ya rastgele bir karaktere itmek için ipucunu kullanmaktan başka?
Yani eğer doğru at pilini alırsam ve ortasına bir yıldız koyduğumu varsayalım.
Bu yüzden düzeltmekhorsebat * erystaple. Tamam, muhtemelen telaffuz edilemez
Tamam, o zaman sözlükte bulunamadı. Sağ? Şimdi kullanmayın, çünkü şimdi orada olacak
Ama bu fikir
Bu yüzden beklenmedik değişiklikler yapmak için, ancak bu API'yi doğru şekilde çekmek ve sadece sizi tanımak çok kolaydır
Bu yeni şifre. Ben zaten orada çalışıyorum
Doğru ve kullanmıyorsa, bu oldukça basit. Şifrelerinizin çoğunu rastgele üreten bir parsel yönetimi kullanıyorsanız
Orada olmaları muhtemel değillerdir, ama asla bilemezsiniz ve eğer öyleyse onu daha da zayıflatır
Tamam
Size bu noktada kendi şiir evinizde nasıl söyleyeceksiniz? Pwned mi? Bilmiyorum
Demek istediğim yanılıyorsam o zaman ben bir noob
Seni bekliyor sanmıştım
Kesinlikle hayır

English: 
correcthorsebatterystaple was found. 114 times. No people. We don't use correcthorsebatterystaple
What about but using your tip of pushing a random character?
So if I take correct horse battery staple and let's say I put a star in the middle of here
So correcthorsebat*erystaple. All right, not probably pronounceable
All right, then we'll find it wasn't found in the dictionary. Right? Don't use it now because it will be in there now
But this is the idea
So to sort of make unexpected changes, but it's very easy to just pull this API right and just see you know
It's this new password. I'm trying already in there
Right and if it is don't use it, that's quite simple. If you're using a parcel management generating most your passwords at random
They're unlikely to be in there, but you never know and it just makes it that much weaker if they are
Okay
Shall I ask you how do you say that point own poem home? Pwned is it? I don't know
I mean if I'm wrong then I'm a noob
I thought you were leet
Definitely not
