İnternet genelindeki şifre politikalarının mevcut durumunu inceleyen yeni bir çalışma, en popüler web sitelerinin çoğunun kullanıcıların zayıf şifreler oluşturmasına izin verdiğini gösteriyor.
Georgia Tech araştırması için araştırmacılar, bir web sitesinin şifre politikasını otomatik olarak belirleyen bir algoritma tasarladılar. Makine öğreniminin yardımıyla sayılar, büyük ve küçük harfler, özel semboller, kombinasyonlar ve başlangıç harflerine ilişkin uzunluk gereksinimleri ve kısıtlamaların tutarlılığını görebiliyorlardı. Ayrıca sitelerin sözlük kelimelerine veya bilinen ihlal edilmiş şifrelere izin verip vermediğini de görebilirler.
Bu aracı kullanarak şunları buldular:
- Baktıkları web sitelerinin %12’si şifre uzunluğu gereksinimlerinden tamamen yoksun
- 4 kişiden 3’ü minimum gereklilik standartlarını karşılayamıyor, bu da şu anlama geliyor:
- Çok kısa şifrelere izin ver
- Yaygın şifreleri engellemeyin
- Karmaşık karakterler gibi güncel olmayan gereksinimleri kullanın
Araştırmaya katılan web sitelerinin yarısından fazlası altı veya daha az karakter içeren şifreleri kabul ederken, %75’i önerilen minimum sekiz karakterlik şifreyi zorunlu kılmadı. Web sitelerinin yaklaşık %12’sinde uzunluk şartı yoktu ve %30’u boşluk veya özel karakterleri desteklemiyordu.
Kullanıcılara bu tür bir özgürlük vermek, onların aldatılmalarını istemektir. Bir süre önce belirttiğimiz gibi, BT yöneticileri gibi teknolojiden anlayan kullanıcılar bile fırsat verildiğinde berbat şifrelere başvuruyor.
Standartların uygulanmamasının nedenleri açıktır. Çoğu web sitesi güvenlikten çok müşteri memnuniyetine önem verir ve hangisinin iş için daha iyi olduğunu tahmin edebilirsiniz.
Kullanıcılar şifrelerden hoşlanmaz, özellikle de şifre durumu, kullanıcılardan formüllere uygun şifreler seçmelerinin istenmesi veya kullanıcıların birkaç ayda bir şifrelerini değiştirmeye zorlanması gibi saçma ve gereksiz kurallar nedeniyle daha da kötü hale getirildiği için. Her iki kural da geçerliliğini yitirdi ancak bizi rahatsız etmeye devam ediyor. Formüller, kullanıcının seçebileceği olası şifrelerin sayısını azaltır ve düzenli şifre sıfırlamalar, kullanıcıları öngörülebilir bir kalıba uyan şifreler seçmeye teşvik eder; bunların her ikisi de şifreleri tahmin etmeyi kolaylaştırır, ki bu da istediğimizin tam tersidir.
Bu konuda daha fazlasını okumak isterseniz, “Şifreler hakkında size söylediğimiz (neredeyse) her şey neden yanlıştı?” konusunu okuyun. Makale, yıllar boyunca şifreler hakkında size söylenenlerin çoğunun ne kadar yanlış (şifrelerinizi iç çamaşırınız kadar sık değiştirin), yanlış yönlendirilmiş (uzun, karmaşık şifreler seçin) veya amacına aykırı (şifreleri yeniden kullanmayın) olduğunu özetlemektedir. .
Kullanıcıların şifre oluşturmasını ve hatırlamasını gerektiren modelden tamamen uzaklaşmamız gerektiğini düşünüyoruz. Daha güvenli VE kullanıcı dostu bir şeyin zamanı geldi. Ve bu sistemler mevcut değil (merhaba Geçiş Anahtarları), sadece onları daha geniş çapta benimsememiz gerekiyor.
İlk faktör olarak parola kullanmanın oturum açma prosedürüne çok fazla ekstra güvenlik sağlamayacağını düşünsek bile, mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirelim. Yalnızca şifrelere güvenmemiz gerekiyorsa bir şifre yöneticisi kullanmayı deneyin. Karmaşık şifreler oluşturmanıza ve bunları sizin için hatırlamanıza yardımcı olurlar.
Araştırmacıların tam raporu bu ayın sonunda Danimarka’nın Kopenhag kentinde düzenlenecek Bilgisayar ve İletişim Güvenliği ACM Konferansı’nda (CCS) sunulacak.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.