Zayıf parola politikaları, kuruluşları saldırılara karşı savunmasız bırakır. Peki standart parola karmaşıklığı gereklilikleri bunları güvence altına almak için yeterli mi? Güvenliği ihlal edilen şifrelerin %83’ü, uyumluluk standartlarının şifre karmaşıklığı ve uzunluğu gereksinimlerini karşılayacaktır. Bunun nedeni, kötü aktörlerin, aynı kimlik bilgilerini yeniden kullanarak ek hesapları tehlikeye atmak için kullanılabilecek milyarlarca çalıntı kimlik bilgilerine zaten erişebilmesidir. Parola güvenliğini güçlendirmek için kuruluşların karmaşıklık gereksinimlerinin ötesine geçmesi ve güvenliği ihlal edilmiş kimlik bilgilerinin kullanımını engellemesi gerekir.
Çalınan kimlik bilgilerine mi ihtiyacınız var? Bunun için bir pazar var
Bir kuruluşun güvenliği ihlal edildiğinde veya müşterilerin kimlik bilgilerinin bir kısmı çalındığında, tüm bu şifrelerin karanlık ağda satılma olasılığı yüksektir. 71 milyon ve 117 milyon şifrenin çalınmasıyla sonuçlanan Dropbox ve LinkedIn hack’ini hatırlıyor musunuz? Bu kimlik bilgilerini bilgisayar korsanlarına satan ve daha sonra kimlik bilgisi doldurma saldırılarında kullanabilecekleri bir yeraltı pazarı var.
Kimlik bilgisi doldurma nasıl çalışır?
Kimlik bilgisi doldurma, maksimum finansal kazanç için gereken minimum çaba nedeniyle popüler bir saldırı yöntemidir; Öyle ki, yalnızca geçen yıl içerisinde altı kat daha fazla kimlik bilgisi çalınıp satıldı. Çalınan kimlik bilgilerinin sayısı her yeni ihlalle birlikte artmaya devam ettikçe, kimlik bilgilerinin doldurulması için giderek daha fazla fırsat ortaya çıkıyor. Her gün 111 milyon siber saldırının gerçekleştiği tahmin ediliyor. Saldırganlar, her bir milyon e-posta ve şifre kombinasyonuna karşılık 10.000 ile 30.000 arasında hesabı tehlikeye atabilir.
Saldırganlar, çok sayıda sitede çalınan kimlik bilgilerini test etmek için otomatik araçlar kullanır. Saldırganlar, tespit edilme riskini azaltırken başarı şanslarını artırmak için, şifreleri belirli web siteleriyle eşleştirmelerine yardımcı olan hazır araçlardan yararlanır. Parola zaten web sitesinin veya uygulamanın adını içeriyorsa bu özellikle kolay olabilir.
Gelişmiş botlar bu örnekte popüler bir araçtır ve saldırganların aynı anda birden fazla oturum açma denemesi gerçekleştirmesine olanak tanır ve bunların tümü benzersiz IP adreslerinden geliyormuş gibi görünür. Bu anonimliğe ek olarak botlar, bir dizi başarısız giriş denemesi nedeniyle IP adreslerinin yasaklanması gibi basit güvenlik önlemlerinin üstesinden gelebilir.
Oturum açma girişiminin verimli olduğu kanıtlandığında, saldırgan ele geçirilen hesaba giriş yaparak, hesabın parasını boşaltmak, hassas bilgileri çalmak, yanıltıcı kimlik avı mesajları veya spam aramaları göndermek veya çalınan verileri karanlık ağda trafiğe çıkarmak için gereken erişimi sağlar. Bu tür saldırıların popülaritesi son yıllarda birden fazla hesapta şifreleri yeniden kullanan çok sayıda kullanıcı nedeniyle arttı. Tek bir analizde 3 aylık dönemde 44 milyon Microsoft kullanıcısının şifrelerini yeniden kullandığı tespit edildi.
Peki kuruluşlar büyüyen bir tehdide karşı nasıl savunma yapabilir? Parolaların birden fazla web sitesinde yeniden kullanılması, kullanıcı hesaplarının güvenlik açığını artırdığı ve yetkisiz erişimi engelleme çabalarını karmaşıklaştırdığı gibi, tehlikeye atılan parolaların derhal tespit edilmesi ve etkilenen hesaplara bildirilmesi, kuruluşlara ve kullanıcılarına yönelik kimlik bilgisi doldurma tehditlerinin azaltılması açısından çok önemlidir.
Kimlik bilgilerinizin tehlikeye girip girmediğini öğrenin
Bu yazının yazıldığı sırada dark web’de 15 milyarın üzerinde çalıntı kimlik bilgisi mevcuttu. PayPal kullanıcıları, platformun yaklaşık 35.000 hesabı etkileyen önemli bir kimlik bilgisi doldurma saldırısına uğradığı bu yılın başlarında bu listeye rezil bir şekilde katıldı. Bu ihlaller, Sosyal Güvenlik ve vergi kimlik numaraları, doğum tarihleri, isimler ve adresler gibi hassas bilgileri açığa çıkardı. Bu tür saldırılarda sıklıkla olduğu gibi, ele geçirilen bu hesapların birçoğu daha önceki veri ihlallerinden kalan şifreleri yeniden kullandı.
Kimlik bilgilerini sürekli büyüyen bu listenin dışında tutmak için kuruluşların hesaplarını korumak amacıyla daha fazlasını yapması gerekiyor. Active Directory kullanan işletmeler için yöneticiler, ihlal edilen şifreleri belirleyebilir ve Specops Şifre Politikası gibi ücretli araçlarla ağlarında 4 milyardan fazla bilinen, güvenliği ihlal edilmiş şifrenin kullanımını engelleyebilir. Ücretsiz bir seçenek olarak Specops Password Auditor, Active Directory’nizdeki parolayla ilgili güvenlik açıklarını hızlı bir şekilde tanımlayabilir ve giderebilir.
Specops Şifre Denetçisi, şifrelerinizi 950 milyon ele geçirilmiş şifreden oluşan bir veritabanıyla karşılaştırır. Ayrıca boş şifreler, aynı şifreler, eski yönetici hesapları, eski kullanıcı hesapları ve daha fazlası gibi şifreyle ilgili diğer çeşitli güvenlik açıklarını da tanımlayabilirsiniz.
Specops Şifre Denetçisi, son kullanıcılarınızın şifrelerinin durumunu kontrol etmek için harika bir ücretsiz araçtır, ancak kuruluşunuzun şifre güvenliğini daha da güçlendirmek için Specops Şifre Politikasını kullanın. Parola uzunluğu, karmaşıklık ve parolalarda ortak karakter kalıplarından ve ardışık karakter tekrarlarından kaçınma gereklilikleri de dahil olmak üzere katı parola politikaları uygulayabileceksiniz. Specops Parola Politikası ve İhlal Edilen Parola Koruması özelliği, Active Directory’nizi 4 milyardan fazla ele geçirilmiş paroladan oluşan bir veritabanına karşı tarar.
Sürekli Tarama etkinleştirildiğinde, şifrelerinizin ele geçirilmesi durumunda anında SMS veya e-posta uyarılarının yanı sıra şifrelerinizi değiştirmeniz için acil uyarılar alacaksınız. Hizmet, gerçek dünyadaki şifre saldırılarına karşı sürekli koruma sağlamak için düzenli olarak güncellenmektedir.
Bugün ücretsiz bir şifre güvenlik açığı sağlık kontrolü yapın
Active Directory kullanıcılarınızın güvenliği ihlal edilmiş kimlik bilgileri kullanıp kullanmadığını öğrenin ve gelecekte kimlik bilgisi doldurma saldırılarını durdurmak için proaktif adımlar atın.
Kuruluşunuzun şifre güvenlik açığı durumuna ilişkin ücretsiz, salt okunur bir rapor alın ve güvenliği ihlal edilmiş kimlik bilgilerinin yüksek maliyetinden kaçınmak için Specops Şifre Politikası deneme sürümünün ücretsiz denemelerine kaydolun.