[By Darren James, Senior Product Manager, Outpost24]
İnsanlar bilim ve teknolojide hayal gücünü genişleten ve toplumu sonsuza dek değiştiren inanılmaz ilerlemeler kaydetti. Ancak çok önemli olsa da görünüşte sıradan bir bilgelik insanlığın gözünden kaçmaya devam ediyor: Doğru şifre yönetimi.
Bir sonraki büyük ihlalle ilgili manşetleri hepimiz gördük, çoğunluk Kullanıcı adları ve şifreler gibi güvenliği ihlal edilmiş veya çalınmış erişim bilgilerinin kullanılması da dahil olmak üzere, insan etkileşiminin temel nedenine atfedilebilen bu durumlar. Bu açıkça hem işletmeler hem de tüketiciler için kronik bir sorundur.
Ne yazık ki bu sonuç bir “ifşa” değil. Birey güvenlik zincirinin en zayıf halkası olmaya devam ediyor. Son kullanıcı eğitimi ve güvenlik hijyeni için sayısız kaynağa rağmen BT ekipleri hâlâ şirketlerinin ağına sızan zayıf veya güvenliği ihlal edilmiş parolaların kullanımına karşı mücadele ediyor.
Parolalara ve parola güvenliğini doğru bir şekilde sağlamaya bu kadar odaklanılmasının nedeni, kuruluşların %88’inin sistemlerini korumak için hâlâ birincil kimlik doğrulama yöntemi olarak parolaları kullanmasıdır.
Bu, doğal olarak, zayıf parolalardan yararlanmaya, kimlik bilgilerini çalmaya, bunları satmaya ve bunları ihlal eden kuruluşlar için ilk erişim noktası olarak kullanmaya odaklanan siber suçluların büyük ilgisini çekiyor.
Parolalar söz konusu olduğunda kesinlikle göründüğünden daha fazlası var. Bunu, ihlal edilen şifrelerin kalıplarını ve eğilimlerini, bunların nasıl ele geçirildiğini ve kullanıcıların sizi şaşırtabilecek en yaygın şifre hatalarını anlamak, bizi daha güçlü şifre güvenliğine doğru yönlendirecektir.
Zayıf Parolalar – Nasıl Kullanılırlar
Herhangi bir kuruluşta, güçlü şifreler oluşturma konusunda eğitim almamış bir çalışan bulmakta zorlanacaksınız. Eğer varsa bu ciddi bir sorundur. Uzun yıllara dayanan güvenlik sektörü tavsiyeleri ve en iyi uygulamalar meli bu evi dövdüm. Ancak bu önerilere rağmen araştırmalar, ihlal edilen şifrelerde kullanılan en yaygın temel terimlerin “şifre”, “yönetici” ve “hoş geldiniz” olduğunu ortaya çıkardı; bu terimlerin güvenlik konusunda bilgili herhangi bir taraf için açıkça yasak olduğu düşünülebilir. kullanıcı.
Zayıf şifreler bilgisayar korsanlarının almaya devam ettiği hediyeler olmaya devam ediyor. Kuruluşlara kolay giriş yolları, krallığın mücevherlerini, yani hassas verileri ortaya çıkarmak için yakalanıp kullanılabilecek alçakta asılı meyvelerdir.
Bilgisayar korsanlarının zayıf parolalardan yararlandığı üç yaygın yöntem vardır:
Sözlük saldırıları:
Bilgisayar korsanları, şifreleri veya şifre çözme anahtarlarını tahmin etmek için olası olasılıkların yer aldığı önceden tanımlanmış ‘sözlük listelerini’ kullanır. Bunlar, sık kullanılan şifrelerden ve ifadelerden belirli endüstrilerdeki yaygın terimlere kadar değişebilir ve şifre oluştururken insanın basitlik ve aşinalık tercih etme eğiliminden faydalanılır. Bilgisayar korsanları, belirli kullanıcılar ve kuruluşları hakkında bilgi toplamak ve seçebilecekleri potansiyel kullanıcı adları ve şifreler hakkında bilgi edinmek için sıklıkla sosyal medya platformlarını kullanır. Elbette birçok son kullanıcı bu terimlere en azından küçük bir miktar değişiklik ekleyecektir; bu noktada kaba kuvvet teknikleri devreye girer.
Kaba kuvvet saldırıları:
Kaba kuvvet saldırıları, doğru şifre veya şifre çözme anahtarı bulunana kadar tüm olası karakter kombinasyonlarını denemek için yazılım kullanır. Bu zaman alıcı gibi görünse de, daha kısa veya daha az karmaşık şifrelere karşı son derece etkili bir yöntem olabilir; özellikle de sözlük listelerinde bulunan ortak temel terimler kullanılarak bir avantaj sağlandığında. Tekniklerin bu şekilde birleştirilmesi hibrit saldırı olarak bilinir. Örneğin, “şifre” bir sözlük listesindeki temel terim olabilir. Bir kaba kuvvet saldırısı, “şifre, Şifre, P@$$w0rd,P455w0rD, Şifre1, Şifre!” gibi sonraki tüm varyasyonları deneyecektir. ve benzeri. Bu, kuruluşlarının karmaşıklık gereksinimlerini karşılamak için insanların zayıf temel terimler üzerinde yaptığı yaygın varyasyonlardan yararlanır.
Maske saldırıları:
Maske saldırısı, saldırganların ortak şifre yapılarının unsurlarını bildiği ve dolayısıyla bunu doğru yapmak için ihtiyaç duyacakları tahmin miktarını azaltabilecekleri bir kaba zorlama biçimidir. Örneğin, bir saldırgan birçok şifrenin sekiz karakterden oluştuğunu, büyük harfle başladığını ve “Hoş Geldiniz1!” gibi birkaç noktalama işaretiyle bittiğini biliyor olabilir. Dolayısıyla, yalnızca bu kalıpla eşleşen kombinasyonları deneyebilirler ve bu da denenecek toplam şifre miktarını azaltabilir. Alternatif olarak, belirli bir şirketin, şifreleri döndürürken geçerli ayı ve yılı şifrelerin sonuna eklemek gibi zayıf bir politikası olduğunu biliyor olabilirler. Bir parolanın yapısı hakkında her türlü kesin bilgiye sahip olmak, kaba kuvvet saldırısını büyük ölçüde hızlandırabilir.
Klavye yürüyüşleri
Şifreler için başka bir yaygın temel terim, geleneksel bir klavyeye bakıldığında bulunabilir. “Qwerty”, “asdfghjkl” veya “zxcvbnm” terimleri rastgele kombinasyonlar gibi görünse de klavyede yan yana gelen harflerden ibarettir. “Klavye yürüyüşleri” veya “parmak yürüyüşleri” olarak bilinen bunlar, çalışanlar için hızlı ve akılda kalıcı şifreler olarak görülüyor. Ne yazık ki, taviz vermeleri inanılmaz derecede kolaydır. En çok kullanılan klavye yürüyüş düzeni, 800 milyon ele geçirilmiş şifre listesinde 1 milyonun üzerinde kez görünen “Qwerty” idi. İhlal edilen bulut uygulaması kimlik bilgilerinin yeni listesinde “123456”nın bile en yaygın olarak ele geçirilen şifre olduğu görüldü.
Artık şifre sorununun yalnızca genel iş gücünden kaynaklandığı düşüncesi doğru değil. Aslına bakılırsa BT yöneticileri, konu parola seçimi olduğunda genellikle aynı derecede dikkatsizdir. Araştırma, taranan 1,8 milyon yönetici kimlik bilgisinden 40.000’den fazla yönetici portalı hesabının, bir kuruluş içindeki en yüksek erişim düzeylerine sahip en hassas hesaplardan bazılarına erişimi korumak için “yönetici” zayıf parolasını kullandığını ortaya çıkardı.
Hassas bilgilere erişimi korumanın bir kuruluştaki her çalışan için bir öncelik olması gerektiğini söylemeye gerek yok. Her şeyden önce bu, daha güçlü şifreler oluşturmakla başlar.
Peki bir şifreyi tam olarak güçlü yapan şey nedir?
Güç, uzunluk ve güvenlik
Şu anda Active Directory’de varsayılan şifre uzunluğu gereksinimi 8 karakterdir ve bu aynı zamanda birçok web sitesi için en yaygın uzunluktur. Ancak modern kırma teknolojisinin gelişmişliği göz önüne alındığında, bilgisayar korsanlarının 8 karakter uzunluğundaki şifreleri kırmaları için gereken süre 3 saatin altındadır. Üstelik eğer bir kişi, güvenliği ihlal edilmiş olduğu bilinen bir şifreyi kullanırsa, bu şifre anında kırılabilir. Kuruluşların, son kullanıcıları en az 15 karakter uzunluğunda parolalar oluşturmaya zorlamaları önemle tavsiye edilir.
Bazı çalışanların bunu hatırlaması zor olsa da, bunun üstesinden gelmenin bir yöntemi, rastgele üç kelimeden oluşan parolaların kullanımını teşvik etmek olabilir. Özel karakterlerin eklenmesi ve harf ve rakamların bir kombinasyonunun kullanılması yalnızca şifreyi güçlendirir.
Her alanda, ihlal edilen, yaygın ve kolay tahmin edilebilir şifrelerin sisteme girmesini önlemek için daha güçlü şifre politikalarına ihtiyaç duyulmaktadır. Bunu başarmak için, kuruluşun, iş yeri dışında ihlal edilmiş olsa bile, tehlikeye atılmış şifreleri tespit etmek için gerekli süreçleri uygulamaya koyduğu çok yönlü bir yaklaşım gereklidir. Şirket çapında bir parola politikasının uygulanması, bu sonuca ulaşmada faydalıdır; çünkü klavye yürüyüşlerinin, uzunluk ve/veya belirli bir kriteri karşılamayan parolaların kullanımını önlemek için kuruluşların Active Directory’sine entegre edilebilecek çözümler mevcuttur. karmaşıklık veya güvenliği ihlal edilmiş listelerde tespit edilen şifreler.
Active Directory şifrelerinin ihlal edilen şifre listelerine karşı taranması sürekli olarak yapılmalı ve kuruluş içinde ele geçirilen bir şifre kullanılıyorsa, BT ekibi anında uyarılmalı, böylece son kullanıcıyı bir sonraki oturum açışlarında değiştirmeye hemen zorlayabilmelidir.
Evet, şifre BT ekipleri için önemli bir sorun ve birçok işletme için savunmada büyük bir zayıf halka olmaya devam ediyor. Bununla birlikte, en iyi güvenlik uygulamalarını takip ederek ve güvenlik parametrelerini dağıtarak, BT ekibinin tüm kuruluş için parola konusunda gönül rahatlığı sağlamasına yardımcı olma konusunda ciddi iyileştirmeler sağlanacak. 2024’ün toplam şifre güvenliğine ulaşıldığı yıl olacağını hayal etmek zor olsa da, bu kesinlikle BT ekiplerinin ilerlemek için çabaladığı bir şey olabilir.
Reklam