Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Taslak Yönergeler, Ezberlenmiş İfadeler Yerine Daha Uzun, Rastgele Şifreler Gerektiriyor
Chris Riotta (@chrisriotta) •
26 Eylül 2024
Ulusal Standartlar ve Teknoloji Enstitüsü’nün en son kılavuzuna göre, dijital şifreler son kullanıcılar için fazlasıyla mantıksız ve yönetilmesi zor hale geldi.
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliğinin Durumu
NIST kısa süre önce dijital kimlik yönergelerinin ikinci halka açık taslağını (SP-800-63-4) yayınladı ve parola uygulamalarının elden geçirilmesi çağrısında bulundu. Yeni kılavuza göre, son kullanıcıların artık rutin olarak şifrelerini değiştirmeleri gerekmeyecek; ancak giriş bilgilerinin her zamankinden daha uzun ve daha rastgele olması gerekecek.
Uzmanlar uzun süredir standart şifre uygulamalarının elden geçirilmesi yönünde çağrıda bulunuyordu ve Federal Ticaret Komisyonu 2016 yılında kuruluşlara zorunlu şifre değişikliklerini sona erdirme çağrısında bulundu. Microsoft gibi önde gelen teknoloji firmalarındaki baş teknoloji uzmanları ve güvenlik araştırmacıları da CSP’leri şifre geçerlilik süresi standartlarından uzaklaşmaya çağırdı ve bu uygulamanın aslında kullanıcıları daha basit, daha öngörülebilir şifreler oluşturmaya teşvik ederek güvenliği zayıflattığı konusunda uyardı.
Önerilen öneriler, şifre politikası yöneticilerinin, oturum açma bilgilerinin en az bir sayı, bir özel karakter ve büyük ve küçük harflerin bir kombinasyonunu içermesi gerektiği fikrinden vazgeçmelerini gerektiriyor. NIST’e göre bulut hizmeti sağlayıcıları ve doğrulayıcılar bunun yerine parolaların en az 15 karakter uzunluğunda olmasını zorunlu kılmalı ve yalnızca kimlik doğrulayıcının güvenliğinin ihlal edildiğine dair kanıt olduğunda kullanıcı oturum açma bilgilerinde değişiklik yapmaya zorlanmalıdır.
Şifre ipuçlarının ve güvenlik sorularının saklanmasına son verilmesi çağrısında bulunan yeni öneriler kapsamında başka herhangi bir oluşturma kuralı gerekmiyor. CSP’lerin, boşluk karakteri de dahil olmak üzere en az 64 karakterlik maksimum parola uzunluklarına izin vermesi teşvik edilir.
NIST, son yıllarda sürekli olarak şifre rehberliğini modernleştirmeyi hedefledi ve başlangıçta CSP’lere 2019’da keyfi şifre karmaşıklığı gereksinimlerinden vazgeçme çağrısında bulundu (bkz: NIST’ten Şaşırtıcı Şifre Yönergeleri).
En son güncellenen kılavuz, oturum açma bilgilerini CSP’lerde saklayan kullanıcıların en az 30 günde bir periyodik yeniden kimlik doğrulamasından geçmesi gerektiğini söylüyor ve parolaların ötesinde diğer kimlik doğrulama biçimlerinin yanı sıra çok faktörlü kriptografik kimlik doğrulamayı öneriyor. Kullanıcılara ait şifreleri saklayan kuruluşların, NIST yönergeleri uyarınca, yaygın olarak kullanılan veya güvenliği ihlal edildiği bilinen şifreleri içeren yeni engelleme listeleri de geliştirmesi gerekir.
Yeni NIST kılavuzu, CSP’lerin, hesap güvenliğinin ihlal edildiğinin tespit edilmesinin ardından tehlikeye atılan şifreyi ve oturum açma bilgilerini derhal “askıya almasını, geçersiz kılmasını veya yok etmesini” önermektedir. Kuruluşların, hesaplarına yeniden güvenli erişim sağlamak için kullanıcılara yedek kimlik doğrulama yöntemleri sağlamaları da teşvik edilmektedir.
NIST’in son tavsiyeleri, ajansın dijital kimlik yönergelerini modernize etmek için paydaşlardan ve halktan yaklaşık 4.000 özel yorum almasının ardından geldi. Ajans şimdi, ek uygulama önerilerinin dahil edilip edilmeyeceği ve hangi spesifik ölçümlerin en son kılavuzların daha hızlı benimsenmesini sağlayabileceği gibi taslak teklifte yer alan bir dizi önemli soru hakkında geri bildirim istiyor.