Georgia Teknoloji Enstitüsü’ndeki araştırmacılar, önemli sayıda popüler web sitesinin hâlâ kullanıcıların zayıf ve hatta tek karakterli şifreler seçmesine izin verdiğini ortaya çıkardı.
Web sitelerinin şifrelere ilişkin gevşek oluşturma politikaları
Araştırmacılar, Tranco’nun ilk 1M’sindeki 20.000’den fazla web sitesini değerlendirmek ve kullanıcıların uyması gereken şifre oluşturma politikalarını değerlendirmek için otomatik bir hesap oluşturma yöntemi kullandı.
Web sitelerinin %75’inin şifrelerin önerilen 8 karakterden daha kısa olmasına izin verdiğini buldular (%12’si tek karakterli şifrelere izin veriyor).
Ayrıca şunu da buldular:
- Sitelerin %40’ı şifre uzunluklarını önerilen 64 karakterin altında sınırlıyor
- Sitelerin %72’si sözlük kelimelerinin şifre olarak kullanılmasına izin veriyor ve %88’i kullanıcıların bilinen ihlal edilmiş şifreleri seçmesine izin veriyor
- Web sitelerinin üçte biri seçilen şifrelerde özel karakterleri desteklemiyor
- %39’u en popüler şifreyi (“123456”) kabul ederken, neredeyse yarısı en sık kullanılan dört şifreden birini (“123456”, “123456789”, “qwerty” ve “password”) kabul ediyor
Ayrıca çoğu web sitesinin (%42,1) 2017’de güncellenmiş olmasına rağmen hala NIST’in 2004 şifre politikası kurallarına uyduğunu buldular. Web sitelerinin önemli bir kısmı (%16,7) hala NIST’in 1985’teki tavsiyelerine bağlı kalıyor!
“Ayrıca daha güçlü güvenlik seviyelerinin önemli ölçüde daha az benimsendiğini de gözlemliyoruz. Örneğin, sitelerin yalnızca %5,5’i NIST 2004 Düzey 2’yi karşılayan politikalara sahipken, Düzey 1 için bu oran %42,1’dir. Ayrıca US CERT, NCSC ve OWASP gibi daha katı parola yönergelerinin benimsenme oranının düşük olduğunu da görüyoruz,” araştırmacılar Suood Alroomi ve Frank Li dikkat çekti.
Zayıf şifre oluşturma politikaları neden hala bu kadar baskın? Araştırmacılar çeşitli nedenlerden dolayı bunu öne sürüyorlar.
“Örnek olay çalışmalarımız (…), güvenli olmayan şifre politikası kararlarının popüler web yazılımlarının (WooCommerce ve Shopify gibi) varsayılan yapılandırmalarıyla yakından uyumlu olduğunu belirledi” diyorlar.
“Popüler web yazılımı önerilen şifre politikası yapılandırmalarını varsayılan olarak uygularsa, birçok web sitesi daha güçlü şifre politikalarına taşınabilir.”
Birçok web sitesi oluşturucusu, daha modern şifre oluşturma politikası seçeneklerinin farkında olmayabilir ve bu, eğitim ve sosyal yardım çabalarıyla giderilebilir.
Çok çeşitli şifre oluşturma politikaları muhtemelen bir kullanılabilirlik yüküdür. “Şifre politikalarının standartlaştırılması, web genelinde birleşik bir politika sağlayarak bu kullanıcı anlaşmazlıklarını önemli ölçüde azaltacaktır” sonucuna vardılar.
Web sitesi giriş politikaları
Alroomi ve Li yakın zamanda Google CrUX En İyi 1 Milyon alanı genelinde 18.000 ila 359.000 web sitesindeki (dikkate alınan giriş aşamasına bağlı olarak) web sitesi giriş politikalarını da değerlendirdi.
Şunu buldular:
- Yaklaşık 2.000 alan adı, oturum açma sayfalarını yalnızca HTTP üzerinden sunuyor; bu, şifreleri düz metin olarak ilettikleri ve sakladıkları anlamına geliyor ve 21.2K alan adı, oturum açma sayfasını HTTPS’ye ek olarak HTTP üzerinden de sunuyor. Bunlar arasında Asya ve Güney Amerika’daki birçok hükümet ve eğitim alanı bulunmaktadır.
- 3.200 web sitesinde e-posta/kullanıcı adı veya şifre alanı için kopyalama-yapıştırma devre dışı bırakıldı (modern yönergeler aslında kopyalayıp yapıştırmaya izin verilmesini zorluyor)
- Yüzlerce web sitesi, parola tahmin etme, kimlik bilgisi doldurma ve ince ayar saldırılarına dayanan saldırılar sırasında kötüye kullanılabilen, yazım hatasına dayanıklı parola kimlik doğrulaması kullanıyor
- Yaklaşık 6.000 web sitesi, kullanıcı numaralandırma saldırılarını kolaylaştıran oturum açma hatası mesajları döndürüyor
- Az sayıda web sitesi, çevrimiçi kaba kuvvet şifre tahmin saldırılarını engelleyebilecek oturum açma hızı sınırlamasını kullanır
- 570 web sitesi, kayıt sırasında, e-posta doğrulamasından sonra veya şifre sıfırlama talebinden sonra e-postalarda düz metin şifreler gönderiyor.
Düz metin şifreleri içeren e-postalar. (Kaynak: Suood Roomi, Frank Li)
“E-postalarda düz metin şifreleri gönderdiği tespit edilen 570 alan adından büyük bir kısmının (147 veya %26) Avrupa Birliği’ndeki bir ülkeye ait ccTLD’ye sahip alan adları olduğunu belirtiyoruz (Bulgaristan’da 35 alan adı, İtalya’da 18 alan adı, Polonya’da 14 alan adı) ve hem Fransa hem de Almanya’da 12). Araştırmacılar, düz metin şifrelerin bu siteler tarafından saklanmasının, Avrupa web sitelerinin kullanıcı verilerini güvenli bir şekilde şifrelemesini gerektiren AB GDPR Madde 32’yi potansiyel olarak ihlal edebileceğini söyledi.
Bu nedenle GDPR’nin bu tür güvensiz uygulamaları cezalandırmak ve güvenli olmayan web sitesi davranışlarının iyileştirilmesini teşvik etmek için kullanılabileceğini eklediler.
Sosyal yardım kampanyaları, HTTP üzerinden giriş sayfalarını hâlâ destekleyen sitelerin sayısını azaltmada etkili olabilir. Ve yine popüler web çerçevelerindeki değişiklikler birçok oturum açma güvenliği sorununu çözebilir.
“Örneğin, kullanıcı numaralandırmasına karşı savunmasız olan alanların yaklaşık beşte biri, WordPress’in varsayılan oturum açma hatası mesajlarını kullanıyor gibi görünüyor. Benzer şekilde, en yaygın yazım hatası toleransı politikasının da muhtemelen popüler sunucu tarafı yazılımının şifreleri değiştirmesinden kaynaklandığı belirtiliyor.”
“Bu web çerçeveleri yaygın kimlik doğrulama sorunlarının nedeni olsa da çözümlerin kaynağı da olabilir. Kimlik doğrulama endişelerini gideren yazılım güncellemeleri, savunmasız popülasyonları büyük ölçüde azaltabilir. Bu arada, eğer popüler web çerçeveleri, hız sınırlaması gibi önerilen uygulamaları varsayılan olarak destekliyorsa, muhtemelen önemli ölçüde daha yüksek benimseme seviyeleri gözlemleyeceğiz.”