Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), geleneksel şifre uygulamalarından önemli bir değişime işaret ederek şifre güvenliğine yönelik güncellenmiş yönergeler yayınladı.
NIST Özel Yayını 800-63B’de özetlenen bu yeni öneriler, kullanıcı deneyimini geliştirirken siber güvenliği de artırmayı amaçlıyor.
En dikkate değer değişikliklerden biri NIST’in şifre karmaşıklığı konusundaki tutumudur. Uzun süredir devam eden uygulamaların aksine, NIST artık büyük ve küçük harflerin, sayıların ve özel karakterlerin karıştırılması gibi keyfi şifre karmaşıklığı gereksinimlerinin uygulanmasını önermemektedir. Bunun yerine, parola gücünde birincil faktör olan parola uzunluğuna odaklanıldı.
NIST’te siber güvenlik uzmanı Dr. Paul Turner, “Daha uzun şifreler genellikle daha güvenli ve kullanıcıların hatırlaması daha kolay” dedi. “Genellikle tahmin edilebilir kalıplara yol açan karmaşık kurallardan uzaklaşıp benzersiz, uzun parolaları teşvik etmeye doğru ilerliyoruz.”
NIST artık minimum 8 karakterlik şifre uzunluğu öneriyor ve daha uzun şifreler güçlü bir şekilde tercih ediliyor. Kuruluşların, parola cümlelerini barındırmak için en az 64 karaktere kadar parolalara izin vermesi önerilir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Bir diğer önemli değişiklik ise zorunlu periyodik şifre değişikliklerinin ortadan kaldırılmasıdır. NIST, sık sık parola sıfırlamanın genellikle daha zayıf parolalara yol açtığını ve kullanıcıları küçük, öngörülebilir değişiklikler yapmaya teşvik ettiğini savunuyor. Bunun yerine, şifreler yalnızca güvenliğin ihlal edildiğine dair kanıt olduğunda değiştirilmelidir.
Turner, “Kullanıcıları düzenli olarak şifrelerini değiştirmeye zorlamak güvenliği artırmaz ve aslında verimsiz olabilir” diye açıkladı. “Güvenliği ihlal edilmiş kimlik bilgilerini izlemek ve yalnızca gerektiğinde değişiklik yapılmasını istemek daha etkili.”
Yeni yönergeler aynı zamanda parolaların yaygın olarak kullanılan veya ele geçirilen parolalar listeleriyle karşılaştırılmasının önemini de vurguluyor. NIST, kuruluşların zayıf şifrelerden oluşan güncellenmiş bir engelleme listesi tutmasını ve kullanıcıların bu listeden herhangi bir şifre seçmesini önlemesini önerir.
Ayrıca NIST, sosyal mühendislik yoluyla kolayca tahmin edilebileceği veya keşfedilebileceği için şifre ipuçlarının veya bilgiye dayalı kimlik doğrulama sorularının kullanılmasına karşı tavsiyede bulunur.
Parolaları saklamak için NIST, çevrimdışı saldırıları hesaplama açısından pahalı hale getiren bir çalışma faktörüyle birlikte tuzlu karma kullanılmasını önerir. Bu yaklaşım, bir veritabanının güvenliği ihlal edilse bile saklanan parolaların korunmasına yardımcı olur.
Uyulması gereken diğer gereksinimler:
- Doğrulayıcılar ve CSP’ler OLACAKTIR şifrelerin en az sekiz karakter uzunluğunda olmasını gerektirir ve OLMALIDIR şifrelerin en az 15 karakter uzunluğunda olmasını gerektirir.
- Doğrulayıcılar ve CSP’ler OLMALIDIR en az 64 karakterden oluşan maksimum şifre uzunluğuna izin verin.
- Doğrulayıcılar ve CSP’ler OLMALIDIR tüm ASCII yazdırma işlemlerini kabul et [RFC20] şifrelerdeki karakterler ve boşluk karakteri.
- Doğrulayıcılar ve CSP’ler OLMALIDIR Unicode’u kabul et [ISO/ISC 10646] şifrelerdeki karakterler. Her Unicode kod noktası OLACAKTIR şifre uzunluğunu değerlendirirken tek bir karakter olarak sayılır.
- Doğrulayıcılar ve CSP’ler OLMAYACAK parolalar için başka oluşturma kuralları (örneğin, farklı karakter türlerinin karışımını gerektiren) uygulayın.
- Doğrulayıcılar ve CSP’ler OLMAYACAK Kullanıcıların periyodik olarak şifrelerini değiştirmesini gerektirir. Ancak doğrulayıcılar OLACAKTIR Kimlik doğrulayıcının güvenliğinin ihlal edildiğine dair kanıt varsa değişikliği zorlayın.
- Doğrulayıcılar ve CSP’ler OLMAYACAK abonenin, kimliği doğrulanmamış bir talep sahibinin erişebileceği bir ipucunu saklamasına izin verir.
- Doğrulayıcılar ve CSP’ler OLMAYACAK abonelerden şifre seçerken bilgiye dayalı kimlik doğrulamayı (KBA) (örneğin, “İlk evcil hayvanınızın adı neydi?”) veya güvenlik sorularını kullanmalarını isteyin.
- Doğrulayıcılar OLACAKTIR gönderilen şifrenin tamamını doğrulayın (yani kesmeyin).
Yönergeler aynı zamanda ek bir güvenlik katmanı olarak çok faktörlü kimlik doğrulamanın (MFA) önemini de vurguluyor. Doğrudan bir şifre gerekliliği olmasa da NIST, mümkün olan her yerde MFA’nın kullanılmasını kuvvetle teşvik eder.
Bu yeni öneriler siber güvenlik camiasındaki birçok kişi tarafından olumlu karşılandı. Parola yönetimi şirketi SecurePass’ın CTO’su Sarah Chen, “NIST’in güncellenmiş yönergeleri, güvenlik araştırmacılarının yıllardır savunduğu ilkelerle uyumlu” dedi. “Güvenlik ve kullanılabilirlik arasında iyi bir denge kuruyorlar.”
Kuruluşlar bu yeni yönergeleri uygulamaya koydukça, kullanıcılar çeşitli platform ve hizmetlerdeki parola politikalarında değişiklikler görmeyi bekleyebilirler. Tüm sistemlerin uyum sağlaması zaman alsa da uzmanlar bu değişikliklerin uzun vadede daha etkili şifre güvenliğine yol açacağına inanıyor.
NIST, bu yönergelerin yalnızca federal kurumlar için olmadığını, siber güvenlikle ilgilenen tüm kuruluşlar için en iyi uygulamalar olarak hizmet ettiğini vurguluyor.
Siber tehditler gelişmeye devam ederken, en son güvenlik önerileriyle güncel kalmak, hassas bilgilerin ve sistemlerin korunması açısından hayati önem taşıyor.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin