Bireylerin ve işletmelerin her gün kullandıkları hizmetlere erişim için güvendikleri gerekli bir mekanizma olan şifreler, siber güvenlik uzmanları tarafından çoğunlukla hor görülüyor. En azından, günümüzde mevcut olan en iyi ve evrensel olarak en çok benimsenen güvenlik özelliği olarak gönülsüzce kabul ediliyorlar.
“Parolalardan nefret ederim. İşe yaramıyorlar ve biz onlarla birlikte yaşadık,” dedi Netenrich CISO Chris Morales.
Parolalarla bağlantılı kasvetli deneyimlere rağmen, siber güvenlik endüstrisi ve genel olarak dijital platformlar parolalar üzerine kuruludur. Güçlü parolalar ve parola yöneticileri, Siber Güvenlik ve Altyapı Güvenliği Ajansı ile Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yapılan temel öneriler arasındadır.
Cybersecurity Dive, son birkaç aydır CISO’lara, güvenlik odaklı yöneticilere ve tehdit istihbaratı analistlerine şifrelerini ne yaptıklarını soruyor.
Yedi siber güvenlik uzmanının, her bireyin hizmetlere erişmesi gerektiğinde karşılaştığı karmaşık ve bazen cesaret kırıcı döngüleri nasıl yönettiği aşağıda açıklanmıştır.
Michael Sikorski, CTO ve tehdit istihbaratı Başkan Yardımcısı ve Palo Alto Networks’ün Unit 42 ekibi:
Sikorski şifre yöneticilerini kullanır. Sikorski, “Netflix hesabım veya banka hesabım için parolamın ne olduğunu size bile söyleyemem” dedi.
“Benim bile bilmediğim, rastgele oluşturulmuş devasa bir şifre. Kafama silah dayamış olsam bile yapabileceğin tek şey şifre yöneticimin kilidini açmamı sağlamak ama şifreyi benden alamayacaksın çünkü ben şifreyi bilmiyorum bile. Bu nedenle, onu tekrar kullanmıyorum ve öylece sıfırlayamazsınız.”
Sikorski, onu destekleyen her şey için çok faktörlü kimlik doğrulamanın açık olduğunu da söyledi.
Chris Morales, Netenrich’te CISO:
Morales, “Şifrelerimin hiçbirini bilmiyorum çünkü hepsi berbat” dedi.
Microsoft Kimlik Doğrulayıcı kullanıyor, ancak bu deneyim, parolalara kesin olarak veda etme çabasını etkili bir şekilde hızlandırdı.
Morales, “Temel olarak bu yıl bitmeden, artık şifrelere sahip olmak istemiyorum” dedi.
“Her şey için iki faktörlü kimlik doğrulamam var. Her zaman sahip oldum – tüm kişisel hesaplarım, işte, her şey iki faktörlü – ama bu sizi yalnızca bir yere kadar götürür.
Jaya Baloo, Rapid7’de CSO:
Baloo, “Şahsen ben parola yöneticilerini OG’yi benimseyenlerden biriyim,” dedi ve neredeyse on yıl öncesine gitti. “Kişisel olarak profesyonel olarak her zaman biraz paranoyak oldum, bence bu iş için biraz uygun.”
Baloo, profesyonel hizmetlerden ayrılıp CSO olduğu 2012’den beri donanımı, parolaları ve verilerinin nasıl depolandığı konusunda oldukça dikkatli davranıyor.
Baloo’nun savunma duruşunu sürdürmek için aldığı önlemlerin uygulanması, güvenlik kaygısı olmayan kişiler için her zaman kolay olmadı, ancak artık durum böyle değil, dedi.
Matthew Prince, CEO ve Cloudflare’nin kurucu ortağı:
İçerik dağıtım ağı ve güvenlik hizmetleri şirketinin başkanı, sıfır güven ağ erişim ürünü olan Cloudflare Access ile Keeper ve fiziksel geçiş anahtarlarını kullanır.
Prince, “Artık şirketimin tüm deneyimini aynı tür kurulumla yönetmekle kalmıyor, aynı zamanda tüm kişisel hayatımı da değiştirdim” dedi.
“Çünkü açıkçası, bir donanım anahtarıyla doğrulanmış bir parola yöneticisi kullanmak, telefonunuzu çıkarıp size gönderilen kısa mesajı aramak veya parolaları hatırlamak zorunda kalmaktan çok daha kolay ve daha iyi.”
Chester Wisniewski, Sophos’ta uygulamalı araştırmaların CTO’su:
Wisniewski, “Şahsen bir YubiKey belirteci taşıyorum ve onu her şey için kullanıyorum” dedi.
“Parolalarımı Bitwarden’da saklıyorum. Bitwarden’ı severim. Bulut hizmetlerini kullanmıyorum. Kendi küçük yöntemimle kullandığım ve koruduğum kendi barındırılan örneğim var. Bitwarden’ı herhangi bir tarayıcı eklentisi gibi kullanıyorum ve şifrelerimi doğru yerlerde otomatik olarak dolduruyorum ve şifre kasamı açmak için YubiKey’imi kullanıyorum.”
Bilgi güvenliği gazisi, fiziksel geçiş anahtarlarının iyi bir şekilde benimsenmeleri halinde oyunun kurallarını değiştirme konusunda gerçek bir potansiyel sergilediğini söyledi. Wisniewski, YubiKey gibi geçiş anahtarları başka bir belirteç ihtiyacını ortadan kaldırıyor, ancak “ne yazık ki uygulama tarafında onu yavaşlatabilecek biraz karmaşıklık var” dedi.
John Dwyer, IBM Security X-Force araştırma başkanı:
“Bir şifre yöneticisi kullanıyorum ama bulut tabanlı bir şifre yöneticisi kullanmıyorum. Sahip olduğum başka bir şifreli sabit diskte yedeklenmiş yerel bir disk kullanıyorum. Ve bunu her yerde yanımda taşıyorum, ”dedi Dwyer.
“Şifre yöneticilerim için bir bulut sağlayıcı kullanma riskini henüz kabul etmedim, bu yüzden şifre zulamı her zaman benim için erişilebilir kılmak için manuel çaba harcıyorum. Ama o sabit sürücüye veya canlı kopyama erişimi kaybedersem, birçok unutulmuş parola bağlantısı kurma riskini alıyorum.”
Chris Niggel, Okta’da Amerika’nın bölgesel CSO’su:
“Parola yöneticileri, bu bilgi faktörlerini, kimlik bilgilerini yönetmek için mükemmel bir araçtır. Elbette bende var, onları aileme yerleştirdim. Sadece farklı sistemleri yönetmek için çok iyiler,” dedi Niggel.
“Kişisel hayatımda kullandığım pek çok uygulama var ve kolaylık olsun diye bunları Okta’ya da koyacağım, ancak birçok kişi bunu kişisel ve işle karıştırmaktan çekiniyor, bu yüzden her ikisi için de bir seçenek olacak.”