Bir kurumsal ortamda zayıf ve sızdırılmış parolaların kullanımını önlemek BT departmanınız için yönetilebilir bir görevdir, ancak son kullanıcıların işlerini yapmak için kritik iş verilerini paylaştığı diğer hizmetler ne olacak? Kuruluşunuzu riske atıyor olabilirler ve Specops Software ekibi kesin olarak görmeye karar verdi.
Specops Software, sızdırılan parolaların Active Directory ağı dışında şirket bilgilerini arayan bilgisayar korsanlarına kapı açıp açamayacağını görmek için yaygın olarak kullanılan beş web hizmetinin gereksinimlerini araştırdı.
Başka bir deyişle, bir bilgisayar korsanı bir şirketin verilerine doğrudan erişemezse, şirketin nerede savunmasız olduğunu öğrenmek için şirket tarafından kullanılan bir hizmete erişmenin arka kapı yaklaşımını kullanabilir. Bu tür gölge BT’nin kuruluşlar için riskli olduğunu biliyoruz, çünkü çoğu BT güvenlik ekibinin yetki alanı dışında kalıyor – bu veriler bize ne kadar riskli olabileceğini gösteriyor.
Specops geliştirici ekibi, e-ticaret, proje yönetimi, e-posta pazarlaması ve müşteri desteği gibi çeşitli sektörlerden beş popüler hizmeti araştırdı.
Analiz, parola gereksinimlerini, 1 milyar bilinen güvenliği ihlal edilmiş parola içeren Specops İhlal Edilen Parola Koruması listesinin bir alt kümesiyle karşılaştırdı.
1. Shopify
E-ticaret devi Shopify, dünya çapında 3,9 milyondan fazla canlı web sitesi tarafından kullanılıyor. Shopify iki faktörlü kimlik doğrulama (2FA) sunarken, hesap oluştururken bu bir gereklilik değildir. Shopify, güvenliği ihlal edilmiş bir parola kontrolü gerçekleştirmez.
Shopify’ın şifre gereksinimleri:
- Şifreniz en az 5 karakter olmalı ve bir boşlukla başlamamalı veya bitmemelidir
Specops araştırmacıları, ihlal edildiği bilinen 1 milyar parola listesini kontrol ederken, parolaların %99,7’sinin Shopify gereksinimlerini karşıladığını buldu.
Shopify, hizmetteki parolalarda Shopify kelimesinin kullanılmasını engellemez ve bunun sonucunda shopifyseoexpert, shopify, shshopify, myshopify ve shopify123 gibi adı içeren 18 parola bulunur.
2. Zendesk
Müşteri iletişimi ve destek hizmetleri sağlayan bir SaaS şirketi olan Zendesk, hizmetle yeni bir hesap oluştururken 2FA sunuyor, ancak bu bir gereklilik değil. Zendesk, güvenliği ihlal edilmiş bir parola kontrolü gerçekleştirmez ve bu da parolanın kabul edilmesine neden olur. Ne yazık ki, test edilen bilinen güvenliği ihlal edilmiş şifrelerin %2’sinden daha azı Zendesk’in şifre politikası tarafından engellendi.
Zendesk’in parola gereksinimleri şunları içerir:
- En az 5 karakter olmalıdır
- 128 karakterden az olmalıdır
- E-posta adresinden farklı olmalıdır
Specops araştırması, güvenliği ihlal edilen 1 milyar analizden %99,03’ünün en az 5 karakter gerektiren Zendesk parola gereksinimlerini karşıladığını ve parola biçiminin @..
Zendesk, parolada şirket adının kullanılmasını engellemez, bu da Zendesk kelimesini içeren beş ele geçirilmiş parola bulunmasına neden olur.
3. Trello
Kanban tarzı proje yönetim hizmeti Trello, ihlal edildiği bilinen şifrelerin %13’ünden daha azını engelledi. Trello 2FA sunar, ancak bu bir hesap oluştururken bir gereklilik değildir ve güvenliği ihlal edilmiş bir parola kontrolü gerçekleştirmez.
Trello’nun parola gereksinimi, bir parolanın en az 8 karakterden oluşması gerektiğidir.
Denetlenen 1 milyar bilinen ihlal edilmiş parolanın %82,9’u Trello’nun 8 karakter uzunluğundaki gereksinimini karşılıyor. Trello, şifre oluşturma işleminde Trello kelimesini kullanmayı bırakmaz, bu da analiz edilen veri setinde 1454 şifre ile sonuçlanır.
4. Yığın Taşması
Geliştiricilerin öğrenmek ve bilgi paylaşmak için gittikleri halka açık bir forum olan Stack Overflow, analiz edilen 1 milyar ele geçirilmiş parolanın yaklaşık yarısını (%46) engelleyen parola politikasında daha fazla karmaşıklık kullanır. Yığın Taşması, 2FA sunmuyor veya güvenliği ihlal edilmiş bir parola denetimi gerçekleştirmiyor.
Stack Overflow’un parola gereksinimleri:
- Şifreler en az 1 harf ve 1 rakam olmak üzere en az sekiz karakter içermelidir
Stack Overflow, hizmet adının parolalarda kullanılmasını engellemez, bu da stackoverflow1993, stackoverflow1 ve stackoverflow1111 gibi güvenliği ihlal edilmiş parolalara izin verilmesine neden olur.
5. Posta Chimp’i
E-posta pazarlama hizmeti Mailchimp, analiz edilen ve bilinen güvenliği ihlal edilmiş parolaların %98’ini bloke eden işle ilgili hizmetlerin en iyi performansı gösterenidir. Bu, karmaşık bir parola ilkesinin uygulanması sayesinde gerçekleşir, ancak bu karmaşıklık düzeyi, parola yeniden kullanımı ve parolaların yazılması gibi diğer zayıf parola davranışlarına neden olabilir. Mailchimp 2FA gerektirmez, güvenliği ihlal edilmiş bir parola kontrolü gerçekleştirmez veya parolalarda mailchimp kelimesinin kullanımını engellemez.
Mailchimp’in şifre gereksinimleri:
- Bir küçük harf
- Bir büyük harf
- Bir numara
- Bir özel karakter
- En az 8 karakter
Mailchimp, yalnızca parola gereksinimlerine dayalı olarak, ihlal edildiği bilinen parolaların %98,7’sini başarılı bir şekilde engellerken, hizmetin güvenliği ihlal edilmiş parolaları kontrol etmemesi gerçeği, Specops İhlal Edilen Parola Korumasında görünen bir parola olan Password1!’e izin verildiği anlamına gelir.
Herhangi bir şirket bilgisine 3. taraf web sitelerine veya uygulamalara güvenirken, bu verileri ihlal riskiyle karşı karşıya bırakmış olursunuz. Özellikle ödeme bilgileri, kod veya hassas kullanıcı verileri gibi işle ilgili kritik verileri barındırdıklarında, iş yapmayı planladığınız satıcıları tam olarak incelemeniz hayati önem taşır.
Her şeyden önce, 2 milyardan fazla sızdırılmış parolayı engelleyen ve hepsini gerçek zamanlı olarak sayan Specops Password Policy gibi bir araçla kuruluşunuzun bilinen ihlal edilmiş parolalara maruz kalmadığından emin olun. Müşterilerinizin ve BT departmanınızın zihnini rahatlatmak için Active Directory’nizde ücretsiz olarak test edebilirsiniz.
Sonraki adımlar, şirket hesaplarını oluşturmadan önce bu 3. taraf siteleri BT departmanıyla incelediklerinden emin olmak için son kullanıcılarınızı döngüye sokmayı içerir. Çalışma ilkelerinizin standart bir parçası olan web uygulamalarını indirmek veya kullanmak için bir süreç oluşturun. Son kullanıcı eğitiminin, verilerinize güvenilmeyen bir ana bilgisayarla güvenmenin risklerini içerdiğinden emin olun.
Son olarak, bir şifre yöneticisi kullanmayı düşünmenin zamanı geldi. Oluşturulan parola ilkeleri, daha güvenli işbirliği için paylaşılan kasalar ve güvenli seçenekler oluşturan ve depolayan parola oluşturucular ile, sorumluluğu son kullanıcılarınızın ellerine bırakmak için harika bir alternatiftirler.
Specops’un sponsorluğunda