Bir kez daha şifrelerinizi değiştirme zamanı geldi, ancak eğer bir devlet kurumu kendi yolunu seçerse, bu sizin bunu yaptığınız son sefer olabilir.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü, şirketlerin, kuruluşların ve işletmelerin sistemlerini ve çalışanlarını nasıl korumaları gerektiğine ilişkin kılavuzunu güncellemek ve modernleştirmek için yaklaşık dört yıl süren bir çalışmanın ardından, şifre oluşturmaya ilişkin en son yönergelerini yayınladı ve bu, bazı ciddi değişiklikleri de beraberinde getiriyor.
Sizin ve çalışanlarınızın şifrelerini her ay sıfırladığınız günler geride kaldı ve artık siz veya küçük işletmeniz, bu şifreleri oluştururken özel karakterlerin, sayıların ve büyük harflerin gerekliliği konusunda endişelenmenize gerek yok. Ayrıca, şifre “ipuçları” ve temel güvenlik soruları artık şifre kurtarma için uygun araçlar değildir ve şifre uzunluğu, diğer tüm faktörlerin ötesinde, gücün en anlamlı ölçüsüdür.
Yeni yayınlanan kurallar yalnızca devlet kurumlarındaki en iyi güvenlik uygulamalarını değiştirmekle kalmayacak, aynı zamanda çeşitli veri koruma yasalarının kuruluşların gelişen bir temelde modern güvenlik standartlarını kullanmasını gerektirdiğinden, mevzuat uyumluluğuna tabi olan birçok sektörü de etkileyecektir.
Kısacası, NIST’in güncellenen yönergelerine şunları dahil ettiği:
- Şifrenin “karmaşıklığı” (özel karakterler, sayılar) çıktı.
- Şifre uzunluğu (yıllardır olduğu gibi) şeklindedir.
- Düzenli olarak planlanmış şifre sıfırlama işlemleri sona erdi.
- Şifre sıfırlamaları kesinlikle bir güvenlik ihlaline yanıt olarak kullanılmaktadır.
- Temel güvenlik soruları ve şifre kurtarmaya yönelik “ipuçları” çıktı.
- Şifre kurtarma bağlantıları ve kimlik doğrulama kodları içeride.
Yönergeler günlük işler için zorunlu değildir ve bu nedenle üzerinde çalışılması gereken bir “son tarih” yoktur. Ancak küçük işletmelerin, kendilerini ve çalışanlarını bilgisayar korsanlarından, hırsızlardan ve çevrimiçi dolandırıcılardan korumak için hızla benimseyebilecekleri en güçlü ve en basit en iyi uygulamalar olduğundan, yönergelere kulak vermesi gerekir. Aslında Verizon’un 2025 Veri İhlali Araştırma Raporu’na göre, şifrelere yönelik hırsızlık ve kaba kuvvet saldırılarını da içeren “kimlik bilgilerinin kötüye kullanılması”, küçük işletme ihlallerinde “hala en yaygın vektördür”.
NIST’in bazı yönergelerinin şifre güvenliği ve yönetimi için ne anlama geldiği aşağıda açıklanmıştır.
1. Şifre ne kadar uzun olursa savunma o kadar güçlü olur
NIST yeni kılavuzunda “Şifre uzunluğu, şifre gücünü karakterize etmede birincil faktördür” dedi. Ancak bir şifrenin tam olarak ne kadar uzun olması gerektiği, kullanımına bağlı olacaktır.
Eğer şifre olarak kullanılabilirse sadece kimlik doğrulama biçimi (bir çalışanın kimlik doğrulaması yapmasına gerek olmadığı anlamına gelir) Ayrıca tek kullanımlık bir şifre göndermek veya akıllı telefondaki ayrı bir uygulama aracılığıyla oturum açma işlemlerini onaylamak için), bu şifrelerin uzunluğu en az 15 karakter olmalıdır. Parola, çok faktörlü kimlik doğrulama kurulumunun yalnızca bir parçasıysa parolalar en az 8 karakterden oluşabilir.
Ayrıca çalışanlar 64 karaktere kadar parola oluşturabilmelidir.
2. “Karmaşıklığa” daha az vurgu
NIST, çalışanların özel karakterler (&^%$), sayılar ve büyük harfler kullanmasını zorunlu kılmanın güvenliğin artırılmasına yol açmadığını söyledi. Bunun yerine, öngörülebilir, kötü şifrelere yol açar.
“Şifre olarak ‘şifre’yi seçmiş olabilecek bir kullanıcının, büyük harf ve rakam eklenmesi gerekiyorsa ‘Şifre1’i veya ‘Şifre1!’i seçmesi nispeten muhtemeldir. Bir sembole de ihtiyaç duyulursa,” dedi ajans. “Kullanıcıların şifre seçimleri genellikle tahmin edilebilir olduğundan, saldırganların daha önce başarılı olduğu kanıtlanmış şifreleri tahmin etmesi muhtemeldir.”
Buna cevaben kuruluşlar, şifre “karmaşıklığı” gerektiren kuralları değiştirmeli ve bunun yerine şifre uzunluğunu tercih eden kurallar oluşturmalıdır.
3. Artık düzenli olarak planlanmış şifre sıfırlama işlemlerine gerek yok
2010’ların ortasında, bir ofisin her gün Wi-Fi şifresini değiştirdiğini öğrenmek alışılmadık bir durum değildi. hafta. Artık bu aşırı rotasyon durma noktasına geliyor.
NIST’in en son kılavuzuna göre şifreler yalnızca ele geçirildikten sonra sıfırlanmalıdır. NIST bu noktada da tavsiyesinde ısrarcıydı: güvenliği ihlal edilmiş bir şifre mutlak bir kuruluş veya işletme tarafından parolanın sıfırlanmasına yol açabilir.
4. Artık şifre “ipuçları” veya güvenlik soruları yok
Onlarca yıl önce kullanıcılar, bir parolayı unutmaları durumunda hafızalarını canlandırmak için küçük parola “ipuçları” ayarlayabiliyor ve hatta unutulan bir parolaya erişmek için biyografik soruların yanıtlarını bile ayarlayabiliyorlardı. Ancak bu tür sorular – “Hangi sokakta büyüdün?” ve “Annenizin kızlık soyadı nedir?” gibi sorular, günümüzün veri ihlali dünyasında sahtekarlıkla yanıtlamak için yeterince kolaydır.
Bunun yerine şifre kurtarma, kullanıcıya e-posta, metin, ses ve hatta posta hizmeti yoluyla gönderilen kurtarma kodları veya bağlantılar aracılığıyla dağıtılmalıdır.
5. “Engellenenler” şifresi kullanılmalı
Bir parolanın bir gereksinimler listesine uyması onu güçlü yapmaz. Buna karşı korunmak için NIST, kuruluşların bir şifre “engelleme listesi”ne (bir çalışanın şifre oluştururken bunları kullanmaya çalışması durumunda reddedilecek bir dizi kelime ve kelime öbeği) sahip olmasını önerdi.
NIST, “Bu liste, önceki ihlal derlemelerindeki parolaları, parola olarak kullanılan sözlük sözcüklerini ve kullanıcıların seçebileceği belirli sözcükleri (örneğin, hizmetin adı) içermelidir” dedi.
Nereden başlayacağınızı mı merak ediyorsunuz? “Şifre,” tabii ki “Şifre1” ve “Şifre1!”i de unutmayın.
Parolalardan daha fazlasını güçlendirmek
Parola gücü ve yönetimi, herhangi bir küçük işletmenin genel siber güvenliği açısından hayati öneme sahiptir ve çevrimiçi korumaya yönelik ilk adım olarak hizmet etmelidir. Ancak günümüzde çevrimiçi korumanın daha fazlası var. Bilgisayar korsanları ve dolandırıcılar, bir işletmeye sızmak, verilerini çalmak, sahiplerine şantaj yapmak ve mümkün olduğu kadar çok acıya neden olmak için çeşitli araçlar kullanacak. 7/24 antivirüs koruması, yapay zeka destekli dolandırıcılık rehberliği ve kötü amaçlı web siteleri ile bağlantılara karşı sürekli web güvenliği için Malwarebytes for Teams’i kullanın.