Editörün notu: Aşağıdaki, LastPass’ın kıdemli baş istihbarat analisti Mike Kosask’ın konuk makalesidir.
ABD İçişleri Bakanlığı yakın zamanda şifre güvenliğine ilişkin dahili bir soruşturma yürüttüğünde, bulgular girişimci siber suçluların istismarına açık bir durumu tanımladı:
- Çok faktörlü kimlik doğrulamanın tutarlı bir uygulaması yok.
- Eski ve etkisiz parola karmaşıklığı gereksinimleri.
- Zayıf şifreler – ve evet, bu kuruluşta en çok yeniden kullanılan şifrelerin yarısı “şifre” kelimesinin bir varyasyonunu içeriyordu.
Daha da kötüleşiyor.
Bakanlığın genel müfettişi için çalışan bir ekip, teşkilatın 85.944 aktif kullanıcı şifresinin 18.174’ünü başarıyla kırdı. Bu, yükseltilmiş ayrıcalıklara sahip 288 hesabın yanı sıra üst düzey ABD hükümeti çalışanlarına ait 362 hesabı da içeriyordu.
Bakanlığın genel müfettişi Mark Lee Greenblatt, ofisinin karşı karşıya olduğu zorlukların derinliğini ayrıntılarıyla anlatmak için Washington Post’un sayfalarını kullandı. Ayrıca kamu ve özel sektördeki karar alıcıları kendi kuruluşlarına daha dikkatli bakmaya çağırdı. Greenblatt haklı olarak şunu belirtti: “Çalışanlar şifre kullanma konusunda Amerikalıların çoğundan farklı değil; dolayısıyla bu sorun benim departmanımda mevcutsa, federal hükümet genelinde, iş ofislerinde ve ülke çapındaki özel evlerde de mevcut olabilir.”
Cesaret verici haber şu ki, şifre güvenliği artık en önemli gündem maddesi haline geldi ve geniş çapta bir kuruluşun genel güvenlik duruşunun ayrılmaz bir bileşeni olarak görülüyor. Ancak bu her zaman eyleme dönüşmez.
Ne yazık ki hâlâ siber farkındalık ile iyi siber güvenlik uygulamalarının uygulanması arasındaki kopuklukla mücadele ediyoruz.
Parola güvenliği görüşmesini değiştirme
İçişleri Bakanlığı raporu, siber suçluların şifreleri ne kadar kolay kırabildiğini vurguladı. Ancak çoğumuz “password123” sendromuna yatkın olmaya devam ediyoruz çünkü karmaşık şifreleri hatırlamakta zorlanıyoruz.
Ancak akla gelebilecek en güçlü şifre politikası bile düzgün bir şekilde uygulanmazsa yeterli olmayacaktır.
Tahmin edebileceğiniz gibi karmaşık şifreler gerektiren Savunma Bakanlığı’nda on yıldan fazla çalıştım. Ancak dünyanın güvenlik konusunda en bilinçli kuruluşlarından birinde bile insanlar hâlâ kısayolları kullanıyor.
Örneğin, karmaşık parola gereksinimi olan yeni bir hesap oluşturmak için bir BT iş ortağıyla birlikte çalışıyordum. Teknik olarak resmi politikaya uygun olsa da yine de tahmin edilmesi çok kolay bir şifre oluşturacak basit bir kalıp kullanmamı önerdi.
Kim bilir kaç kişiye daha aynı şeyi söyledi ve politikayı takip ederken benzersiz olmayan ve kolayca kopyalanabilecek çok sayıda özdeş şifre oluşturma potansiyeline sahip oldu.
Bu çağımızın gerçeğidir, ancak şifre güvenliği konusundaki tartışmayı değiştirmek hâlâ elimizdedir. Kısa vadeli bir düzeltmenin yanı sıra uzun vadeli bir çözüm de var.
- Kuruluşlar güçlü parola politikaları benimseyerek başlayabilir. NIST Çerçevesi, sıralı karakterlerden (örn. “1234”) veya tekrarlanan karakterlerden (örn. “aaaa”) kaçınmak gibi mantıklı tavsiyeler sunarak iyi bir temel sunar. Bazı kullanıcılar bunun çok zahmetli olduğunu iddia etse de, bir ihlalle uğraşmaktan çok daha az zahmetlidir. Gereksiz riskleri ortadan kaldırmak, ağınızı güvence altına almanın bir ön koşuludur.
- MFA’yı uygulayın. Bu, parola ihlalleri nedeniyle ortaya çıkan güvenlik risklerini ortadan kaldırarak kimlik doğrulama sürecine ekstra bir güvenlik katmanı ekler.
Daha sonra iş kuralların uygulanması meselesi haline gelir. Ancak bir tehdit aktörüne erişim izni vermek için yalnızca bir hesap yeterlidir. Pek çok iyi politika yürürlükte olsa da rapor, bu politikaların İçişleri Bakanlığı’nda uygulanmasının en iyi ihtimalle tutarsız olduğunu belirtiyor.
NIST’in açıkça belirttiği gibi, rakipler şifreleri yenme konusunda ustalık gösterdi. Gerçek şu ki, şifreleri ele geçirmek kolaydır. Parolalar için sosyal mühendislik yapmak da kolaydır. Ve birisinin yazdığı şifreleri bulmak kolaydır.
Greenblatt, Washington Post’taki köşesinde, departmanının şifrelerden nasıl uzaklaşması gerektiğini gösteriyor. Toplamda 16 harften fazla olan ilgisiz kelimeleri bir araya getiren parola örneklerini sunuyor. Bu doğru yönde atılmış bir adımdır.
Ayrıca, geçiş anahtarları biçimindeki parolasız kimlik doğrulamayla güvenliği güçlendirebiliriz. Bunlar, özel anahtarın yalnızca son kullanıcının cihazında saklandığı, ortak anahtarın ise bağlı olan tarafın web sitesiyle paylaşıldığı kriptografik anahtar çiftleridir. Son kullanıcı cihazına fiziksel erişim olmaksızın, şifre korumalı bir hesaba erişim mümkün değildir.
Benzer şekilde, web sitesi yalnızca genel anahtarı sakladığından, güvenen tarafın web sitesinin ihlali durumunda verilerin çalınması riski yoktur.
Tüm bu teknik değişiklikler memnuniyetle karşılanıyor ancak bunlar ortaya çıktıkça kendimizi uzun vadede de hazırlamamız gerekiyor. En büyük umudum, önümüzdeki aylarda ve yıllarda, bu konular hakkında daha açık bir şekilde konuşmanın sorun olmadığı bir kültürü teşvik ederken, değişimin artmasıdır. Greenblatt’a hak veriyorum çünkü o acil bir zorluğa dikkat çekmeye yardımcı oluyor.
Hepimiz hata yaparız. Ancak tehdit aktörlerinden bir adım önde olmayı umuyorsak onlardan bir şeyler öğrenmeye de çalışmalıyız.