Specops Software’e göre kuruluşların %88’i birincil kimlik doğrulama yöntemi olarak hâlâ parola kullanıyor.
Rapor, 31,1 milyon ihlal edilmiş şifrenin 16 karakterden fazla olduğunu ortaya çıkardı; bu da daha uzun şifrelerin kırılmaya karşı güvenli olmadığını gösteriyor. 40.000 yönetici portalı hesabının parola olarak ‘admin’i kullandığı tespit edildi ve kuruluşların yalnızca %50’si, güvenliği ihlal edilmiş parolaları ayda bir defadan fazla tarıyor.
123456, KrakenLab’ın yeni ihlal edilen bulut uygulaması kimlik bilgileri listesinde en yaygın olarak ele geçirilen şifreydi. Pass@123 ve P@ssw0rd gibi Active Directory’nin temel yerleşik kurallarını geçebilecek basit şifreler de yaygındı; bu da güçlü şifre kontrolleri uygulamayan kuruluşlar için şifrelerin yeniden kullanılması riskinin arttığını gösteriyordu.
Önemli miktarda siber suç hâlâ şifrelere odaklanıyor: Kimlik bilgilerinin çalınması, satılması ve kuruluşların ihlalleri için ilk erişim noktası olarak kullanılması. Verizon, çalınan kimlik bilgilerinin tüm veri ihlallerinin %44,7’sinden kaynaklandığını tahmin ediyor ve çalınan veriler ve kimlik bilgileri için gelişen bir yeraltı pazarının olduğunu biliyoruz.
Bilgisayar korsanlarının zayıf parolalardan yararlanmasının üç yolu
Sözlük saldırısı
Bilgisayar korsanları, şifreleri veya şifre çözme anahtarlarını tahmin etmek için olası olasılıkların yer aldığı önceden tanımlanmış ‘sözlük listelerini’ kullanır. Bunlar, sık kullanılan parolalardan ve yaygın ifadelerden, belirli endüstrilerdeki yaygın terimlere kadar değişebilir ve parola oluştururken insanın basitlik ve aşinalık tercih etme eğiliminden faydalanılabilir.
Bilgisayar korsanları, belirli kullanıcılar ve kuruluşları hakkında bilgi toplamak ve seçebilecekleri potansiyel kullanıcı adları ve şifreler hakkında bilgi edinmek için sosyal medya platformlarını kullanıyor. Elbette birçok son kullanıcı bu terimlere en azından küçük bir miktar değişiklik ekleyecektir; bu noktada kaba kuvvet teknikleri devreye girer.
Kaba kuvvet saldırısı
Kaba kuvvet saldırıları, doğru şifre veya şifre çözme anahtarı bulunana kadar tüm olası karakter kombinasyonlarını denemek için yazılım kullanır. Bu zaman alıcı gibi görünse de, daha kısa veya daha az karmaşık şifrelere karşı son derece etkili olabilir; özellikle de sözlük listelerinde bulunan ortak temel terimler kullanılarak bir avantaj sağlandığında. Tekniklerin bu şekilde birleştirilmesi hibrit saldırı olarak bilinir.
Örneğin, “şifre” bir sözlük listesindeki temel terim olabilir. Bir kaba kuvvet saldırısı, “şifre, Şifre, Şifre1, Şifre!” gibi sonraki tüm varyasyonları deneyecektir. ve benzeri. Bu, kuruluşlarının karmaşıklık gereksinimlerini karşılamak için insanların zayıf temel terimler üzerinde yaptığı yaygın varyasyonların avantajlarından yararlanır.
Maske saldırısı
Maske saldırısı, saldırganların ortak şifre yapılarının unsurlarını bildiği ve bunu doğru yapmak için ihtiyaç duyacakları tahmin sayısını azaltabildiği bir kaba zorlama biçimidir. Örneğin, bir saldırgan birçok şifrenin sekiz karakterden oluştuğunu, büyük harfle başladığını ve “Hoş Geldiniz1!” gibi bir dizi noktalama işaretiyle bittiğini biliyor olabilir. Bu nedenle, yalnızca bu kalıpla eşleşen kombinasyonları deneyerek denenecek şifre sayısını azaltabilirler.
Alternatif olarak, belirli bir şirketin, şifreleri döndürürken geçerli ayı ve yılı şifrelerin sonuna eklemek gibi zayıf bir politikası olduğunu biliyor olabilirler. Bir parolanın yapısı hakkında her türlü kesin bilgiye sahip olmak, kaba kuvvet saldırısını büyük ölçüde hızlandırabilir.
Klavyenin oluşturduğu tehdit şifre güvenliğine giriyor
İlk bakışta “asdfghjkl” bir şifre için rastgele bir temel terim gibi görünebilir. Ancak bu, karakterlerin klavyede yan yana olduğu klavye yürüyüşü olarak bilinir. İnsanlar bu ‘parmak yürüyüşlerini’ şifre olarak seçiyorlar çünkü bunlar yazılması hızlı ve klavyeye bakarken hatırlanması kolay.
Çıktı gerçek bir kelime olmasa da, bilgisayar korsanları bu ortak kalıpları sözlüklerine ve kaba kuvvet saldırılarına dahil etmeyi biliyorlar.
En sık kullanılan klavye yürüyüş modeli, Specops Software’in ele geçirilen şifreler listesinde 1 milyonun üzerinde kez görünen “Qwerty” idi. Bunu “qwert” ve “werty” gibi varyasyonların yanı sıra “Azerty” gibi farklı klavye düzenlerine özgü desenler takip etti. Kuruluşlara, yalnızca yaygın sözcükleri değil, her türlü tahmin edilebilir parola davranışını engellemenin önemli olduğunu hatırlatır.
Her hesap önemlidir
Yetenekli bilgisayar korsanları normal bir kullanıcı hesabının ayrıcalıklarını yükseltebilir, dolayısıyla tüm hesaplar korunmaya değerdir. Yine de mevcut yönetici hesapları, herhangi bir ayrıcalık artışına ihtiyaç duymadan sahip oldukları erişim düzeyi nedeniyle “krallığın anahtarlarını” zaten elinde tutuyor.
Bir yönetici hesabının ele geçirilmesi, bir bilgisayar korsanı için bir rüya senaryosudur çünkü bir kuruluşa ilk erişim kazandıktan sonra daha fazla seçeneğe sahip olacaklardır.
Ayrıcalıklı kullanıcılar bilgisayar korsanları için altın hedeflerdir. Her hesap için, özellikle de hassas kaynaklara erişimi olan hesaplar için güçlü, benzersiz şifrelere ihtiyaç vardır. Son kullanıcıların zayıf parolalar oluşturmasını engelleyen bir parola politikasının olması önemlidir. Ancak güçlü parolalar bile veri ihlalleri, kimlik avı ve parolaların yeniden kullanımı yoluyla ele geçirilebilir.
Kaba kuvvet ve hibrit sözlük saldırıları yoluyla tahmin edilmesi ve kırılması daha zor olduğundan daha uzun şifreler önerilir.
Specops Software Kıdemli Ürün Müdürü Darren James, “Şifre hâlâ BT ekipleri için bir sorundur ve birçok kuruluşun siber güvenlik stratejilerinde zayıf bir noktadır” dedi.