Dünya Şifre Günü’nün devam eden varlığı, siber güvenlikte bir şeylerin fena halde ters gittiğini gösteriyor.
Şimdi onuncu yılında, günün, insanlara iyi bir parola hijyenine uymaları için yıllık bir hatırlatma işlevi görmesi bekleniyor: Parolaları tekrar kullanmayın; uzun şifreler kullanın; hayır, bundan daha uzun şifreler; rastgele sözcüklerden oluşan bir koleksiyon kullanın; hayır, o kelimeler değil; bir cümle kullanın; bir dizi kelime öbeği kullanın; garip karakterleri unutma; vesaire vesaire.
Bu kötü. Kritik teknolojinin düzgün çalışması için yıllık bir moral konuşması gerektirmemelidir. Her yıl “nükleer erime nasıl önlenir” günü yoktur.
Ve hiç şüpheniz olmasın, parola doğrulama kritik bir teknolojidir. Güvenliğin üzerine inşa edildiği temel kayadır. Kimlik doğrulamada başarısız olun ve şifrelemenizin ne kadar “askeri düzeyde” olduğunun veya diş ipi kullanmadan önce günde iki kez yama yaparsanız, kızarmışsınız.
Dünya Şifre Günü’nün varlığı iki sorunun belirtisidir.
Birincisi, parola doğrulamasının korkunç bir tasarım olmasıdır. Başarısı, insanların gerçekten kötü olduğu bir şeyde iyi olmasına bağlıdır: Uzun rastgele karakter dizileri oluşturmak ve hatırlamak.
Kullanıcıların artık her birinin yaklaşık 100 şifreyi hatırlaması gereken bir ortamda, şifreleri yardım almadan iyi kullanmak imkansızdır. İşe yaraması için sahip olduğunuz tek şans, gerçekten kötü olduğunuz “yaratma ve hatırlama” kısmını bir şifre yönetim yazılımı şeklinde bir bilgisayara devretmektir.
Parola yöneticileri harikadır—Windows’ta oturum açtığınız zamanlar gibi olmadığı durumlar dışında—ama söyleyebileceğimiz kadarıyla çoğu insan hâlâ parola yöneticileri kullanmıyor ve kullananlar neredeyse kesinlikle en güvenli olanlar. – aramızda farkında; başka bir deyişle, yardımına en az ihtiyacı olan insanlar.
Ve “imkansız” yazarken abartmıyorum. 100 farklı, güçlü şifreyi hatırlayamazsınız. Yapamazsın. Neredeyse hepimiz ondan daha azını hokkabazlık yaparken ciddi sorunlarla karşılaşıyoruz. (Hâlâ şüpheniz varsa, Parolalar hakkında size söylediğimiz (neredeyse) her şeyin neden yanlış olduğunu okuyun, daha fazla ayrıntı ve araştırma bağlantıları var.)
İkinci sorun ise, şifreleri çok uzun süre BT veya güvenlik sorunu yerine kullanıcıların çözmesi için bir sorun haline getirmemizdir. Sorumluluğu bu şekilde dağıtmak, anlatılmamış kaynakları tüketen muazzam bir baş ağrısı yarattı. Bir sistem, yalnızca en kötü parola seçimi kadar güçlüdür, ancak en kötü seçeneğin ne olduğunu veya bunu kimin yaptığını neredeyse hiçbir zaman bilemeyiz. Bu, güvenliği iyileştirmenin bizim yeteneğimize bağlı olduğu bir durum yaratır. her kullanıcıyı iyileştir en kötüsüne ulaşacağımız ümidiyle.
Kullanıcıların seviyesini yükseltme girişimleri, genellikle, her parolanın büyük ve küçük harflerin bir karışımını içerdiğinden ve parolaların yeniden kullanılmadığından emin olmak gibi, parolaların nasıl daha iyi yapılacağına ilişkin fermanlara indirgenir.
Kapıcıdan güvenlik duvarı kurallarını yapılandırmasını istedik ve ardından bir güvenlik duvarı uzmanına güvenlik duvarını bozmamak konusunda sürekli olarak kapıcıya ders vererek korkunç hatamızı düzeltmeye çalıştık.
On yıllardır tekrarlanan şifre ihlalleri – ki bu bize gerçek kullanıcıların şifre seçimlerini gösteriyor – bu fermanların çok az etkili olduğunu gösteriyor. Bu sürpriz olmamalı. Parolaları yeniden kullanmak ve parolaları daha basit hale getirmek güvenlik açısından kötü olabilir, ancak en acil sorununuz yönetilemeyecek kadar büyük bir parola portföyünü nasıl idare edeceğinizi bulmaksa, bunlar çok mantıklıdır.
Sorumluluğu ve suçu kullanıcılara yükleme denememiz işe yaramadı. Fidye yazılımı çeteleri, VPN’ler veya uzak masaüstleri aracılığıyla kurumsal ağlara girmek için rutin olarak kimlik avı, çalıntı veya tahmin edilen parolalara güvenir ve açıklanamayan hasara ve kesintiye neden olur.
İyi haber şu ki, bir numaralı sorunla ilgili yapabileceğimiz fazla bir şey olmasa da, ikinci sorun bir seçimdi ve bu, geri alabileceğimiz bir seçim. Başka bir yol daha var, ama bu bir zihniyet değişikliği gerektiriyor.
İşletmeler, kullanıcıları daha güçlü parolalar seçmeye nasıl ikna edeceklerini düşünmek yerine, kendilerini kullanıcıların kötü parola seçimlerinden korumaya odaklanmalıdır.
Bunu yapmanın en güçlü yolu, şifreleri tamamen kaldırmaktır. Neyse ki, onlarca yıllık yanlış başlangıçlardan sonra, Apple’ın Touch ID’si, Windows Hello ve FIDO2 gibi bir dizi teknoloji ortaya çıktı ve bu teknolojiler artık bunu birçok alanda geçerli bir seçenek haline getiriyor.
Parolalar henüz uzun bir süre bizimle olacak, bu nedenle parolasız kimlik doğrulamanın kullanılamadığı kötü parolalarla başa çıkmanın yollarına hâlâ ihtiyacımız var.
Parolalardan vazgeçemeyeceğiniz durumlarda, bir sonraki en iyi seçenek çok faktörlü kimlik doğrulamadır (MFA). 2019’da Microsoft’tan Alex Weinert, “Çalışmalarımıza göre, MFA kullanıyorsanız hesabınızın tehlikeye girme olasılığı %99,9’dan fazla daha az.”
MFA’nın farklı çeşitleri vardır ve tercih ettiğiniz çeşit fark yaratır: Donanım anahtarları, bir uygulamadan gelen anında iletme bildirimlerinden daha iyidir; bunlar, bir uygulamanın Tek Seferlik Parola (OTP) kodlarından daha iyidir; bu kodlar, SMS üzerinden OTP kodlarından daha iyidir. Ancak MFA’nın farklı biçimleri arasındaki adımlarda ortaya çıkan iyileştirmeler artımlıdır. Her türden MFA ile hiç MFA olmaması arasındaki adım dönüşümseldir.
MFA, parola güvenliği sorumluluğunu, ait olduğu yerde, diğer tüm seçeneklerden veya teknolojilerden daha çok BT ve güvenlik uzmanlarının ellerine bırakıyor.
Başka önlemler de var. Bir ATM’ye gittiğinizde, paranızı almak için sekiz quattuordecillion (bu, sonunda 45 sıfır olan bir sayıdır) olası kombinasyonları olan 14 karakterlik bir şifre yazmanız gerekmez; 10.000 olası kombinasyon yeterli olacaktır.
Neden? ATM, bir saldırgana doğru PIN’i tahmin etmesi için 10.000 şans vermeyeceğinden, onlara üç şans verecek ve ardından kartı yiyecektir. Aynı şey iPhone’unuzda da olur. Altı yanlış tahmin ve yaramaz bir adım atıyorsun. On yanlış tahmin ve verileriniz kendi kendini yok edebilir.
Hiçbir normal kullanıcı, desteğe telefon etmeden önce parolası hakkında yüzlerce tahminde bulunmayacaktır, bu nedenle bankanızın oyun kitabından bir yaprak alın ve kullanıcılarınıza parolalarını doğru girmeleri için bir avuç şans verin.
MFA gibi, hesap kilitlenmeleri de kullanıcıların gerçekten korkunç parola seçenekleriyle bile güvende kalmalarını sağlar. (Sonuçta, HER 4 haneli PIN korkunç bir şifre seçimidir.)
Derinlemesine savunma adına, işletmeler yine de kullanıcıların güçlü parolalar oluşturduklarından veya en azından zayıf parolalardan kaçındıklarından emin olmak isteyebilir. Burada, düşünce son on yılda değişti ve bu değişiklik Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Dijital Kimlik Yönergelerinde kutsandı.
İnsanları bir formüle şifre oluşturmaya zorlamak, en az bir büyük harf, en az bir özel karakter vb. Periyodik parola sıfırlama işlemleri de öyle. Her ikisi de kullanıcıları rahatsız etmede, güvenliği artırmada olduğundan çok daha etkilidir.
Bunun yerine, NIST, kullanıcıların ihlallerde ortaya çıkan veya sözlük sözcüklerine dayanan parolalar gibi bilinen kötü parolaları seçmesini basitçe durdurmanın daha etkili olduğunu söylüyor.
Güçlü parolalarda ısrar edecekseniz, lütfen kuruluşunuzun tüm makinelerinde standart yazılım paketinin bir parçası olarak bir parola yöneticisi yapın ve çalışanların onu nasıl kullanacaklarını gerçekten bildiklerinden emin olun. Pek çok kullanıcı parola yöneticilerine güvenmez ve ilk kez kullanan biriyle oturmadıysanız, insanların bunları anlamasının ne kadar zor olduğunu anlayamayabilirsiniz.
Bu makalede önerdiğim önlemler birbirinin yerine geçemez veya eşit derecede etkili değildir: En baştan başlamalı ve aşağı doğru çalışmalısınız. Bunu yaparsanız, şifre güvenliğini artırabilir, dişsiz emirlere olan ihtiyacı ortadan kaldırabilir ve belki de sonunda bu yıllık moral konuşmalarından kurtulabiliriz.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE