Yakın zamanda yapılan bir denetim, departmanın şifrelerinin yüzde 21’ini kırdı.
ABD İçişleri Bakanlığı için kötü bir haber; bir Hükümet gözlemcisinin güvenlik denetimi, şifrelerinin kırma girişimlerini savuşturmak için uygun olmadığını ortaya çıkardı.
Denetimin uzun başlığı nazik değildi:
ABD İçişleri Bakanlığı’nda P@s$w0rds: Kolayca Kırılan Parolalar, Çok Faktörlü Kimlik Doğrulama Eksikliği ve Diğer Hatalar Kritik DOI Sistemlerini Risk Altına Koyar
“1,5 milyardan fazla kelime” içeren bir liste kullanan ve özel bir kırma donanımıyla elde edilmesinin yalnızca yaklaşık 15.000 $’a mal olduğu denetim, sözcükleri departmanın aktif dizin hesapları için kriptografik hash’lere karşı test etti. Sözcükler, genel parola listelerinin, popüler kültür ve hükümet terminolojisinin ve çeşitli dillerde yazılmış çeşitli sözlüklerin bir bileşimiydi.
86.000 kadar hash ne kadar iyi dayandı? Cevap, ne yazık ki, pek cesaret verici değil.
Kötü bir güvenlik uygulamaları gösterisi
Sonuçlara göre:
- Test edilen 85.944 karmanın yüzde 21’i kırıldı
- 300’e yakın hesap, yalnızca “normal” hesaplar olmanın aksine yükseltilmiş ayrıcalıklara sahipti
- 362 hesap üst düzey çalışanlara aitti.
Belki de daha endişe verici olan, çok faktörlü kimlik doğrulamanın (MFA) olabileceği kadar yaygın olarak kullanılmamasıdır. Bu, normal okuyucular için sürpriz olmayabilir. Düşük MFA benimseme oranlarından sık sık bahsettik ve bu, Google gibi büyük kuruluşların insanları bu tür kurulumlara yönlendirmek için mümkün olan her şeyi yapmasına rağmen.
29 sözde yüksek değerli varlıktan 25’i MFA tarafından korunmadı. Denetime göre, bu hesapların “acente operasyonlarını ciddi şekilde etkileme” potansiyeli vardı.
Tüm aktif kullanıcı hesaplarının yüzde 4,75’i “şifre” kelimesini temel alıyordu ve departmanın karmaşıklık gereksinimleri, “1234” ile birleştirilmiş “şifre” varyasyonlarının kırılması kolay olmasına rağmen kriterleri karşıladığı anlamına geliyordu.
Rapor, daha iyi güvenlik uygulamaları için birkaç tavsiyede bulunur, ancak Ars Technica bunlardan en az birinin kendisinin belki de en iyi tavsiye olmadığını belirtir. Denetim, İçişleri Bakanlığı’nı 60 günde bir şifre değişikliklerine bağlı kalmamakla görevlendiriyor. Bazı kişiler, bu uygulamanın yalnızca zayıf parola değişikliklerine yol açtığı konusunda ısrar ediyor. (Personeliniz password1’in uygun bir parola olduğunu düşünürse, 60 gün sonra bunu password2 olarak değiştirirler.)
Parola sorunlarınızı çözme
Kuruluşunuzun parola rutini hakkında endişeleriniz varsa, umarım çok daha güvenli hale getirmek için atabileceğiniz adımlar vardır.
- Çok faktörlü kimlik doğrulama (MFA). MFA, parolanız ne kadar zayıf olursa olsun, parola kırma işlemini neredeyse işe yaramaz hale getirir. En iyi MFA biçimi, bir donanım anahtarı gibi bir FIDO2 aygıtıdır, ancak hemen hemen her MFA biçimi hiç yoktan iyidir.
- güçlü şifreler. Çoğu insan tek bir güçlü parola bulma konusunda berbattır ve çoğumuzun yaklaşık 100 parolaya ihtiyacı vardır. Parola yöneticileri, güçlü parolalar oluşturarak ve bunları hatırlayarak bu sorunu çözer. Buradaki kilit nokta, ana parolanın da güçlü olmasını ve parola yöneticisi erişiminin kendisinin de ek bir oturum açma güvenliği katmanının arkasına geçmesini sağlamaktır.
- Parola gereksinimleri. Karmaşıklık gereksinimleriniz kağıt üzerinde iyi görünüyorsa, ancak “p@ssw0rd123” gibi parolalara izin veriyorsa, bunları gözden geçirmeye başlamanız gerekir. Araştırmalar, kullanıcıları bir formülden geçen bir parola oluşturmaya zorlamanın pek yardımcı olmadığını gösteriyor. Yaygın parolaları basitçe engellemek ve kullanıcıların daha kısa, daha karmaşık parolalar yerine uzun parolalar seçmeye odaklanmalarını sağlamak daha iyidir.
- Hız limiti giriş denemeleri. Oturum açma bir tür çevrimiçi bileşen gerektirdiği sürece, saldırganları bir süreliğine kapatmadan önce yalnızca 3 veya 4 oturum açmaya izin vererek hayatı çok zorlaştırabilirsiniz.
Orada güvende kalın!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.