Specops Software’e göre, 800 milyondan fazla ihlal edilmiş parola analizinin kanıtladığı gibi, parolalar bir kuruluşun ağındaki en zayıf halka olmaya devam ediyor.
Çalışma, başarılı saldırılarda kullanılan şifrelerin %88’inin 12 veya daha az karakterden oluştuğunu ve en yaygınının 8 karakter (%24) olduğunu buldu.
Parolalarda kullanılan en yaygın temel terimler şunlardı: ‘şifre’, ‘yönetici’, ‘hoş geldiniz’ ve ‘p@ssw0rd’.
Saldırılarda kullanılan şifrelerin %18,82’sini oluşturan, yalnızca küçük harf içeren şifreler bulunan en yaygın karakter kombinasyonu oldu.
Modern parola saldırılarının karmaşıklığı
İronik olarak, çalışma, güvenliği ihlal edilmiş parolaların %83’ünün NIST, PCI, ICO for GDPR, HITRUST for HIPAA ve Cyber Essentials for NCSC gibi siber güvenlik uyum standartlarının hem uzunluk hem de karmaşıklık gereksinimlerini karşıladığını ortaya koydu.
Specops Software ürün müdürü Darren James, “Bu, kuruluşların en iyi parola uygulamalarını ve endüstri standartlarını takip etmek için ortak çaba sarf ederken, parolaların güçlü ve benzersiz olmasını sağlamak için daha fazlasının yapılması gerektiğini gösteriyor” dedi.
James, “Modern parola saldırılarının karmaşıklığıyla, hassas verilere erişimi korumak için her zaman ek güvenlik önlemleri gerekir,” diye devam etti.
Ayrıca kaba kuvvet saldırıları, siber suçlular tarafından hassas verileri çalmak amacıyla bir kuruluşun ağına erişim elde etmek için kullanılan yaygın bir taktiktir. Tehdit aktörleri, belirli bir hesaba erişim elde etmek için bunları bir kullanıcının e-postasında sistematik olarak çalıştırmak için yaygın, olası ve hatta ihlal edilmiş parolalar kullanır.
Örneğin, Specops araştırmacıları, 2016 MySpace veri sızıntısında bulunan bir parola terimi olan ‘homelesspa’nın da dahil edildiğini fark etti ve bu, ‘eski’, ihlal edilmiş parola terimlerinin bilgisayar korsanları tarafından yıllar sonra hala kullanıldığını kanıtladı.
Bu, kuruluşların güçlü parola politikası uygulamasına ihtiyaç duymasının kritik bir nedenidir.
Güçlü parola politikası uygulaması
Nvidia’nın 2022’de binlerce çalışan şifresinin sızdırıldığı veri ihlalinde birçok çalışan ‘Nvidia’, ‘qwerty’ ve ‘nvidia3d’ gibi şifreler kullanmıştı.
Kuruluşla ilgili parolalara sahip olmak, bilgisayar korsanlarının ağa girmesi için kolay bir yoldur. Kolayca tahmin edilebilen parolalara karşı endüstri uyarılarına rağmen, kullanıcılar hala ortak parolalara başvuruyor.
James, “Zayıf Parola Raporu’nun 2023 baskısı, kurumsal BT ortamındaki en zayıf halkayı korumanın süregelen zorluklarını yineliyor” dedi. “Günümüzün kimlik bilgisi saldırılarının üstesinden gelmek için tüm şirketler, kuruluşla ilgili özel sözlükler de dahil olmak üzere güçlü parola politikası uygulamalarını uygulamaya koymalıdır.”
Son kullanıcı eğitiminde bile parolanın yeniden kullanımı ve diğer riskli uygulamalar çok yaygındır.