BT yöneticileri uygun şifreler bulma konusunda daha mı iyi? Araştırmalar öyle olmadığını söylüyor.
Anahtar ön kapının yanındaki paspasın altında.
Yönetici şifresi “admin”dir.
Güvendiğiniz birine giriş izni verirken bunlar hatırlanması kolay ipuçlarıdır. Sorun şu ki, tahmin edilmeleri de son derece kolay. İstenmeyen bir ziyaretçinin alet kutusunu açmadan önce ilk olarak kontrol etmesini beklediğimiz yer burasıdır.
Rastgele son kullanıcıların bu kadar güvensiz alışkanlıklara güvenmeleri affedilebilir, peki ya işleri güvende ve emniyette tutmakla görevli profesyoneller? Araştırmalar, BT yöneticilerinin de anahtarı paspasın altına koymanın teknolojik eşdeğerini son kullanıcılar kadar yapma eğiliminde olduklarını ve her iki grubun da benzer şekilde öngörülebilir şifreler kullandığını ortaya çıkardı.
Araştırmacıların derlediği en iyi 10 şifre şu şekilde:
-
- Yönetici
- 123456
- 12345678
- 1234
- Şifre
- 123
- 12345
- yönetici123
- 123456789
- yönetici
İnternette bulduğumuz şifre sözlüğündeki ilk 10 giriş:
-
- 123456
- Şifre
- 12345678
- Qwerty
- 12345
- 123456789
- Hadi gidelim
- 1234567
- Futbol
- Seni seviyorum
Admin, şifre ve 12345 gibi şifrelerin popülaritesinin bir kısmı, bunların sıklıkla varsayılan olarak kullanılmasından kaynaklanıyor olabilir. Biliyorsunuz, ilk kurulum sırasında kullanılanların değiştirilmesi gerekiyor. Varsayılan şifreler, daha karmaşık olsalar bile, bir arama motorunda yalnızca ürün belgelerine bakılarak bulunabilmeleri gibi büyük bir dezavantaja sahiptir.
Bu nedenle varsayılan şifrelerin kullanılması ciddi bir güvenlik riski olarak değerlendirilmektedir. Admin veya 12345 gibi şifreleri hemen keşfedecek üç farklı şifre saldırısı türü vardır:
- Parola püskürtme, mümkün olduğu kadar çok bilgisayarda en iyi bilinen parolaların kısa listelerini kullanır.
- Kimlik bilgisi doldurma, ihlal edilen web sitelerindeki kullanıcı adlarını ve şifreleri deneyerek yeniden kullanılan şifreleri arar.
- Sözlük saldırıları, yaygın sözcüklerin parola sözlüklerini deneyerek parolaları arar.
Benzerliği görüyor musunuz? Gerekli şifre uzunluğu hakkında biraz bilgi de eklendiğinde saldırganın bir gün geçirmesi sağlanır. Bu seçenekleri denemek için bir programa bile ihtiyaç duymazlar. Bu, yeterince kolay bir şekilde manuel olarak yapılabilir.
Bunu okuduktan sonra geriye bir umut ışığı kaldı. BT yöneticilerinin, parolaların önemli varlıklar için tek başına yeterince güvenli olmadığını ve çok faktörlü kimlik doğrulama (MFA) şeklinde ekstra bir güvenlik katmanı eklemiş olacaklarını bilmelerini umuyoruz.
Daha önce yazdığım ve muhtemelen gelecekte de tekrarlayacağım gibi, çok faktörlü kimlik doğrulama tek başına parola kullanmaktan çok daha güvenli ve dolayısıyla çok daha bağışlayıcıdır. Tavsiye etmem ama şifrenizi bir Post-It’e yazıp monitörünüze yapıştırmanız, eğer MFA’nızı doğru kurduysanız saldırganın hiçbir işine yaramaz. Ayrıca önerilmez, ancak tüm hesaplarınız MFA’nın en etkili biçimiyle korunduğu sürece zayıf şifrenizi her sitede yeniden kullanabilirsiniz.
Bu nedenle sevgili BT yöneticileri, MFA’nın savunma stratejiniz olmasını ancak umut edebiliriz. Ancak şifrelerinizi bu kadar kolay tahmin edilebilir hale getirerek “çoklu” faktörlü kimlik doğrulama olarak sınıflandırılmayı gerçekten hak etmediğini anlamalısınız çünkü ilk faktörü ele vermiş oluyorsunuz.
Erişim haklarınız her siber suçlunun devralmak isteyeceği bir şeydir. Sizin adınıza giriş yaparak neler yapabileceklerini düşünün, bu yüzden onlara bu şansı vermeyin. Zayıf halka olmayın. Son kullanıcılar bazen şifre yöneticisi kullanmanın zorluğundan şikayet etseler de, bunlar sizin için gerçekten sorun teşkil etmemelidir. Parlak bir örnek olun.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE