2024 Dünya Şifre Günü! Açık olan şu ki, şifreler ve iyi şifre hijyeni oluşturup bunu sürdürmek, işletmeleri korumanın hala en etkili yollarından biri. Aşağıdaki şifreler hakkında söz sahibi olan siber güvenlik uzmanlarından, burada kalıcı olup olmadıkları, daha güvenli alternatifler ve aradaki her şey hakkında bazı bilgiler topladık.
Thomas Richards, Synopsys Yazılım Bütünlüğü Grubu’nda Baş Güvenlik Danışmanı şifrelerin kalıcı olacağı konusunda ısrar ederek şu yorumu yaptı: “Kullanıcıların kimliğini doğrulamak için şifre kullanmak, öngörülebilir gelecekte kimlik doğrulamanın ana yolu olmaya devam edecek. Kimlik doğrulama mekanizmaları, sisteme erişmeye çalışan bir sahtekarın değil, amaçlanan kullanıcının doğrulanması için çok faktörlü kimlik doğrulamanın kullanılmasıyla daha da güçlendirilir. Son zamanlarda gördüğümüz şey, kimlik doğrulaması doğru olduğu sürece kullanıcının şifresini yeniden girmesi gereken durumları azaltmak için kuruluşların kimlik yönetimi sistemlerine geçiş yapmasıdır.”
Nathan Dove – Yönetici Danışman Pentest Kişileri eklendi: “Şifre yöneticileri, kimlik bilgilerini güvenli bir şekilde yönetmek ve saklamak için gerekli araçlardır ve bireylere tüm hesaplarında güçlü ve benzersiz şifreler kullanma yetkisi verir. Bazı çalışanlar başlangıçta BT süreçlerindeki değişikliklere dirense de, ben kişisel olarak bu kişilere şifre yöneticilerinin aslında hayatı kolaylaştırdığını iddia ediyorum! Bu araçlar, yeni hesaplar için otomatik olarak karmaşık parolalar oluşturabilir ve saklanan kimlik bilgilerini manuel olarak yazmak yerine kolayca kopyalayıp yapıştırmanıza olanak tanıyarak oturum açma sürecini kolaylaştırabilir. Bazıları otomatik doldurma özelliğini bile destekliyor; bu, bazı uygulamalarınızda oturum açmak için tek bir düğmeye tıklamanıza bile gerek kalmayacağı anlamına geliyor.”
Keeper Security’nin güvenlik ve uyumluluktan sorumlu başkan yardımcısı Patrick Tiquet şunları ekledi: “Basic şifre hijyeni en önemli siber güvenlik önlemi olmaya devam ediyor. Bir parola yöneticisinin kullanılması, kapsamlı parola politikalarının uygulanmasının ayrılmaz bir parçasıdır. Bu, çalışanların her web sitesi, uygulama ve sistem için yüksek güçlü rastgele şifreler kullanmasını sağlayacak ve ayrıca uzaktan veri ihlallerine karşı koruma sağlamak için kimlik doğrulama uygulaması gibi iki faktörlü kimlik doğrulamanın güçlü formlarını etkinleştirecek.
“Şifre politikalarını güçlendirmenin yanı sıra kuruluşların, çalışanların siber güvenlikle ilgili en iyi uygulamaları anlamalarını ve takip etmelerini sağlamak için eğitim ve farkındalık girişimlerine öncelik vermesi gerekiyor. Bu, onları kolayca tahmin edilebilir şifreler kullanmak veya şifreleri birden fazla hesapta yeniden kullanmak gibi yaygın şifre hataları konusunda eğitmeyi içerir. Düzenli eğitim ve kimlik avı simülasyonu egzersizleri, en iyi uygulamaların güçlendirilmesine ve endişe duyulan alanların belirlenmesine yardımcı olabilir.
“Bir tehdit aktörü ağa nasıl erişirse erişsin, bir sonraki adım daha ileri gidemediğinden emin olmaktır. Büyük ve küçük kuruluşlar, çalışanların yalnızca işlerini yapmak için ihtiyaç duydukları şeylere erişebilmelerini sağlamak için en az ayrıcalıklı erişime sahip sıfır güven mimarisini uygulamalıdır. Şirketler ayrıca güvenlik olaylarını da izlemelidir. Ayrıcalıklı erişim yönetimi yazılımı, ayrıcalıklı hesap ve oturum yönetimi, sır yönetimi ve kurumsal parola yönetimi konusunda yardımcı olabilir. Kurumsal liderler, altyapılarında sıfır güven çerçevesini benimseyerek yalnızca kuruluşlarına yönelik saldırıları tespit etmek ve bunlara tepki vermekle kalmayacak, aynı zamanda olası zararları azaltmak konusunda da daha güçlü bir konumda olacaklar.”
Ekstra güvenli olmak için, Roger Grimes, KnowBe4’teki veriye dayalı savunma misyoneri Şifreler konusunda dünyanın önde gelen uzmanlarından biri olan bu videoda, kimlik avına karşı dayanıklı MFA kullanımına ilişkin bazı tavsiyeler de verilmektedir:
Şifreye bir alternatif arıyorsanız, Darren James, Bir Outpost24 şirketi olan Specops’un kıdemli ürün müdürü tavsiye edilen:
“Yıllardır bize şifrelerin artık geçerli olmadığı söylendi ama yine de her yıl insanlara iyi şifreler koymalarını hatırlatacak bir günümüz var. Bu sefer, birçok web uygulaması için şifrelerin yerini alacak Geçiş Anahtarlarına olan ilginin arttığını görüyoruz, ancak bu çözümler, doğru yönde atılmış büyük bir adım olsa da, yine de her durumda şifre ihtiyacını ortadan kaldırmıyor.
“Bir şirkette yeni işe başlayan birinin, makinesinde ilk kez oturum açmasını nasıl sağlarsınız? Peki ya bugün çoğumuz gibi onlar da yalnızca uzaktaysa? Onlara İlk Gün Şifrelerini düz metin olarak hava yoluyla mı gönderiyoruz, elbette kimse bunu arayamayacak mı? Son 2024 İhlal Edilen Şifre Raporumuzda, en yaygın ihlal edilen şifrelerden birinin “Yeni İşe Alınan” terimini içerdiğini keşfettik.
“Dolayısıyla, kimlik bilgilerini yalnızca bir e-posta veya SMS metni üzerinden göndermeye alternatifler aramak, ideal olarak kullanıcıyla İlk Gün Şifresini paylaşmaya dayanmayan alternatifler aramak hâlâ iyi bir fikir.
“Elbette, yeni başlayan kişi şifresini belirlediğinde, şifrenin zaten ihlal edilmediğinden ve tahmin edilmesinin kolay olmadığından emin olmamız gerekiyor. Yine de harika bir seçenek olarak, belki de kasıtlı bir yazım hatası içeren 3 rastgele, akılda kalıcı kelime parolası öneriyoruz; düzenli olarak yazmanız gereken bir şeyse, onu tekrar kullanma eğiliminde olmayın.”