Parola güvenliği değişiyor ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) güncellenen yönergeleri, daha etkili korumalar lehine eski uygulamaları reddediyor.
35.000 kelimelik yönergeleri okuyacak zamanınız yok mu? Sorun değil. Kuruluşunuzun işe yarayan parola politikaları oluşturmak için bilmesi gereken, NIST’in yeni kılavuzundan altı çıkarımı burada bulabilirsiniz.
1. Şifre uzunluğu > şifre karmaşıklığı
Yıllardır kuruluşlar, kırılması zor şifreler oluşturmak için kullanıcıların büyük ve küçük harfler, sayılar ve simgeler içermesini gerektiren katı bir formül izleyen şifre politikaları oluşturdular.
Ancak NIST’in araştırması bu yaklaşımdaki bir kusurun altını çiziyor: İnsanlar öngörülebilirdir ve “karmaşık” şifreler geliştirirken genellikle öngörülebilir (ve tahmin edilmesi kolay) kalıpları takip eder.
Örneğin, kullanıcılar sıklıkla:
- Şifrelerini büyük harfle başlatın (örneğin, hoş geldiniz456, Hoş Geldiniz456 olur)
- Şifrelerini bir sayı veya sembolle sonlandırın (örneğin, Hoş Geldiniz456, Hoş Geldiniz2024!!)
- Ortak karakterleri değiştirin (örneğin, WelcomeToXYZCorp, W3lcomeToXYZCorp olur)
Bu ne anlama gelir? Karmaşık görünebilen (ve parola politikası gerekliliklerine uygun olan) parolaların, öngörülebilir bir model izledikleri için bilgisayar korsanları tarafından kırılması nispeten kolaydır.
Kullanıcıların daha güçlü şifreler oluşturmasına yardımcı olmak için NIST, şifre karmaşıklığı yerine şifre uzunluğunun zorunlu kılınmasını önerir. Kullanıcılardan rastgele, hatırlanması zor bir harf, sayı ve sembol kombinasyonu bulmalarını istemek yerine, onları hatırlanması kolay ancak bilgisayar korsanlarının tahmin etmesi daha zor olacak daha uzun şifreler veya parola cümleleri oluşturmaya teşvik edin.
En iyi parolalar ilgisiz kelimeleri tek, daha uzun bir parolada birleştirir. Örneğin, “llama-shoehorn-trompet7” gibi bir parolayı hatırlamak, “HPn&897*k” gibi rastgele bir parolayı hatırlamaktan çok daha kolay olacaktır ve hacklenmesi, öngörülebilir kalıpları izleyen parolalardan daha zor olacaktır.
2. Daha uzun şifreleri kolaylaştırın
Yukarıdaki rehberliği temel alan NIST’in son revizyonu, güvenlik araştırmacılarının uzun süredir şüphelendiği şeyi doğruluyor: şifre uzunluğu en önemli şifre güvenlik önlemidir. Specops’un bulguları bu sonucu güçlendiriyor ancak birçok şirket şifre karakter sınırlamaları uygulayarak güvenliklerini zayıflatıyor.
Parolaların sağladığı güvenlik korumasını en üst düzeye çıkarmak için parola ilkelerinizin uzun parola sözcüklerini barındırabilmesi gerekir.
NIST, 64 karaktere kadar desteklenmesini önerir; bu, çoğu kullanıcının ihtiyaç duyacağı miktarın çok ötesindedir ancak maksimum güvenliğe öncelik verenler için son derece önemlidir.
Daha uzun şifreler kırma zorluklarını artırsa da yenilmez değildirler; 64 karakterlik bir şifre bile şifrenin yeniden kullanılması veya kötü amaçlı yazılım tarafından çalınması nedeniyle tehlikeye girebilir.
Bununla birlikte, uzun parolalar kısa parolalara göre daha fazla koruma sağlar. Kullanıcılarınıza, ister 15 ister 50 karakter olsun, güvenlik ihtiyaçlarını karşılayan bir parola kullanma esnekliği verin.
3. MFA’yı uygulayın
Microsoft araştırması, ihlal edilen hesapların %99’unun MFA’dan yoksun olduğunu gösteriyor. Ancak birçok kuruluş MFA’yı hala bir zorunluluktan ziyade bir lüks olarak görüyor.
NIST, bu konudaki rehberliğiyle lafı fazla uzatmıyor: MFA artık isteğe bağlı değil, şifrelerin kaçınılmaz olarak başarısız olduğu durumlarda sahip olunması gereken bir savunma hattıdır.
NIST kurallarına uyum sağlamak için tek faktörlü kimlik doğrulamasına bağlı kalmayın. MFA’yı uygulayarak düzenli olarak istismar edilen bir güvenlik açığını kapatacaksınız.
4. Sık şifre değişikliklerinden kaçının
Son kullanıcılar şifrelerini değiştirmeye zorlanmaktan hoşlanmazlar, bu nedenle NIST’in kuruluşlara, bir tehlike kanıtı olmadığı sürece zorunlu şifre süresinin sona ermesinden vazgeçmeleri konusunda çağrıda bulunduğunu duymaktan memnun olacaklardır.
NIST, kullanıcıların “yeni” şifre gereksinimini karşılamak için minimum şifre ayarlamalarına başvurması nedeniyle sık şifre değişikliklerinin genellikle daha güçlü değil, daha zayıf güvenliğe yol açtığını ileri sürüyor.
Ancak parola geçerlilik süresi politikalarından tamamen vazgeçmek, ters yönde çok fazla ilerlemeye neden olabilir.
Specops’ta incelikli bir yaklaşım öneriyoruz: Temel önlemleri korurken gerekli değişiklikler arasındaki süreyi uzatmak. Kullanıcılar güçlü parolalar oluşturduğunda ve kuruluşlar güvenlik ihlali tespit araçlarını kullandığında, daha uzun süre sonu pencereleri yalnızca kabul edilebilir değil, aynı zamanda tercih edilebilir hale gelir.
5. Halihazırda ihlal edilmiş şifrelerin kullanımını önleyin
NIST’in en son kılavuzu oldukça basittir: Kuruluşlar yeni şifreleri, güvenliği ihlal edildiği bilinen veritabanlarıyla karşılaştırmalıdır.
Neden? Çünkü açığa çıkan bu şifreler, saldırılarını hızlandırmak için ihlal edilen çok sayıda kimlik bilgisi listesinden yararlanan saldırganlar için iskelet anahtarlar haline geliyor.
Kullanıcılar tercih ettikleri şifrelerinin daha önceki ihlallerde ne zaman açığa çıktığını nadiren biliyorlar. Güçlü bir parola gibi görünen parolayı, suç veri tabanlarında zaten dolaştığını bilmeden güvenle yeniden kullanabilirler.
Güvenliği ihlal edilen bu şifreleri proaktif olarak engelleyerek kuruluşunuz, bilgisayar korsanlarının istismarına fırsat vermeden favori saldırı vektörünü kapatabilir.
Kuruluşunuzun maruziyetini değerlendirmek mi istiyorsunuz? Ücretsiz Specops Şifre Denetleyicimiz, Active Directory şifre güvenlik açıklarınıza anında görünürlük sağlar.
6. Şifre ipuçlarını ve diğer bilgiye dayalı kurtarma işlemlerini sonlandırın
İlk evcil hayvanınızın adı nedir? Lise maskotunuz neydi? Annenin kızlık soyadı ne?
Şifre ipuçları ve buna benzer güvenlik soruları onların yaşını gösterir. NIST’in son kılavuzu, çevrimiçi yaşamlarımız onları geçersiz kıldığı için kuruluşları bu geleneksel kurtarma yöntemlerinden vazgeçmeye çağırıyor.
Kişisel bilgilerinizin ne kadarının sosyal medyada serbestçe aktığını düşünün. Bir zamanlar özel bilgi gibi görünen şey artık apaçık ortada duruyor, toplanmayı ve kullanılmayı bekliyor.
NIST, ipuçları yerine, şifre sıfırlama sırasında güvenli e-posta kurtarma bağlantıları ve MFA doğrulaması gibi alternatifler önerir.
Bu yaklaşımlar, kullanıcıların kolayca keşfedilen kişisel bilgiler yerine, cihazlara veya hesaplara fiziksel erişim yoluyla kimliklerini doğrulamalarına olanak tanır.
Kuruluşunuzu NIST yönergeleriyle uyumlu hale getirmeyi mi hedefliyorsunuz?
Specops Şifre Politikasını ücretsiz deneyin ve BT ekibiniz için bu altı basit adımın tümüne uyum sağlayın.
Specops Software tarafından desteklenmiş ve yazılmıştır.