Parola yönetimi ve kullanıcı kimlik doğrulama çözümleri sağlayıcısı Specops Software bugün, 800 milyondan fazla ihlal edilmiş parolayı analiz eden ve parolaların bir kuruluşun ağında zayıf bir nokta olmaya devam ettiğini öne süren yıllık Zayıf Parola Raporunu yayınladığını duyurdu.
Çalışma, başarılı saldırılarda kullanılan şifrelerin %88’inin 12 veya daha az karakterden oluştuğunu ve en yaygınının 8 karakter (%24) olduğunu buldu. Parolalarda kullanılan en yaygın temel terimler şunlardı: ‘şifre’, ‘yönetici’, ‘hoş geldiniz’ ve ‘[email protected]’. Yalnızca küçük harf içeren şifreler, bulunan en yaygın karakter kombinasyonuydu ve şifrelerin %18,82’sini oluşturuyordu. Saldırılarda kullanılan şifreler.
İronik olarak, çalışma, güvenliği ihlal edilmiş parolaların %83’ünün NIST, PCI, ICO for GDPR, HITRUST for HIPAA ve Cyber Essentials for NCSC gibi siber güvenlik uyum standartlarının hem uzunluk hem de karmaşıklık gereksinimlerini karşıladığını ortaya koydu.
Specops Software Ürün Müdürü Darren James, “Bu, kuruluşların en iyi parola uygulamalarını ve endüstri standartlarını takip etmek için ortak çaba sarf ederken, parolaların güçlü ve benzersiz olmasını sağlamak için daha fazlasının yapılması gerektiğini gösteriyor” dedi. “Modern parola saldırılarının karmaşıklığıyla, hassas verilere erişimi korumak için her zaman ek güvenlik önlemleri gerekir.”
Ayrıca kaba kuvvet saldırıları, siber suçlular tarafından hassas verileri çalmak amacıyla bir kuruluşun ağına erişim elde etmek için kullanılan yaygın bir taktiktir. Tehdit aktörleri, belirli bir hesaba erişim elde etmek için bunları bir kullanıcının e-postasında sistematik olarak çalıştırmak için yaygın, olası ve hatta ihlal edilmiş parolalar kullanır. Örneğin, Specops araştırmacıları, 2016 MySpace veri sızıntısında bulunan bir parola terimi olan ‘homelesspa’nın da dahil edildiğini fark etti ve bu, ‘eski’, ihlal edilmiş parola terimlerinin bilgisayar korsanları tarafından yıllar sonra hala kullanıldığını kanıtladı. Bu, kuruluşların güçlü parola politikası uygulamasına ihtiyaç duymasının kritik bir nedenidir.
Araştırma, büyük ölçüde, 3 milyar benzersiz parolanın bir alt kümesi olan 800 milyon ihlal edilmiş parolanın analizi yoluyla derlendi. Specops İhlal Edilmiş Şifre Koruması.
Gerçek dünya örneği: Nvidia
İçinde Nvidia’nın Binlerce çalışan şifresinin sızdırıldığı 2022 yılında birçok çalışan ‘Nvidia’, ‘qwerty’ ve ‘nvidia3d’ gibi şifreler kullanmıştı. Kuruluşla ilgili parolalara sahip olmak, bilgisayar korsanlarının ağa girmesi için kolay bir yoldur. Kolayca tahmin edilebilen parolalara karşı endüstri uyarılarına rağmen, kullanıcılar hala ortak parolalara başvuruyor.
James, “Zayıf Parola Raporu’nun 2023 baskısı, kurumsal BT ortamındaki en zayıf halkayı korumanın süregelen zorluklarını yineliyor” dedi. “Günümüzün kimlik bilgisi saldırılarının üstesinden gelmek için, tüm şirketler, kuruluşla ilgili özel sözlükler de dahil olmak üzere, güçlü parola politikası uygulamaları uygulamalıdır.”
Parola Koruması En İyi Uygulamaları
Specops tarafından önerilen üç temel yaptırım önlemi şunlardır:
- Çoğu işletme için bu, Windows etki alanı ağları için evrensel kimlik doğrulama çözümü olan Active Directory’yi korumakla başlar.
- Active Directory’deki varsayılan parola ilkesi ayarları yeterince ileri gitmiyor. Üçüncü taraf parola güvenlik yazılımı, Active Directory hesaplarını güçlendirebilir.
- Güvenliği ihlal edilmiş parolaların ve yaygın olarak kullanılan terimlerin özel sözlüklerle kullanımını engelleyebilecek bir çözüm arayın.
Araştırma hakkında daha fazla bilgi için tüm verileri ve analizleri inceleyin Burada.