Şifre ihlallerinin en başarılı biçimlerinden biri, bilgisayar korsanlarının yaygın olarak kullanılan şifreleri tahmin etmesiyle ortaya çıkar. Kuruluşlar sıklıkla gelişmiş güvenlik önlemlerine yatırım yaparken bazen bu temel koruma düzeyini gözden kaçırıyorlar.
Özel bir sözlük oluşturmak, çalışanların tahmin edilmesi muhtemel şifreleri kullanmasını engellemeye yardımcı olabilir. İyi bir şifre sözlüğünün nasıl olması gerektiği ve ChatGPT gibi bir yapay zeka aracının potansiyel olarak savunmasız şifreler üzerinde beyin fırtınası yapmanıza nasıl yardımcı olabileceği hakkında işletmenizin bilmesi gerekenleri burada bulabilirsiniz.
Kullanıcılar neden zayıf şifreler seçiyor?
Kullanıcı kasıtlı olarak zayıf bir şifre seçmez; genellikle şirket adlarını, tarihleri veya basit ifadeleri kullanarak kolayca hatırlayabileceği bir şifre seçer.
Saldırganlar, binlerce şifre varyasyonunu hızlı bir şekilde test etmek için sözlük saldırıları başlatarak, otomatik araçları kelime listeleriyle eşleştirerek bundan yararlanır.
Etkili bir şifre sözlüğü nelerden oluşur?
Bir parola sözlüğü, kullanıcıların bilinen zayıf parolaları seçmesini engeller. Şunları içerir:
- “admin123” veya “hoş geldiniz” gibi standart zayıf terimler
- Kuruluşunuzun adı ve ürün adları
- Sektörünüze özel şartlar
- Veri ihlallerinde açığa çıkan şifreler
- Bu kelimelerin ortak varyasyonları
Sözlüğünüzü oluşturmak için yapay zekayı kullanma
Özel sözlüğünüzü oluşturma konusunda yardıma mı ihtiyacınız var? Süreci hızlandırmak için ChatGPT veya benzeri yapay zeka araçlarını kullanmayı düşünün.
Örnek istemler de dahil olmak üzere bunu nasıl gerçekleştireceğiniz aşağıda açıklanmıştır:
Bilinen zayıf şifreleri alın
Yapay zekadan HaveIBeenPwned ve DeHashed gibi yaygın olarak kullanılan şifre veritabanlarını listelemesini isteyin. Bu veritabanları, saldırganların hangi şifreleri zaten bildiğini ve hedeflediğini gösterir.
Örnek istem: Lütfen bana, ihlal edildiği bilinen şifreleri toplayan veritabanlarının bir listesini verebilir misiniz?
Şirkete özel terimler ekleyin
Yapay zekanın ilgili şifre kalıplarını oluşturabilmesi için kuruluşunuz hakkında belirli ayrıntılara ihtiyacı vardır. İsteğinizi nasıl yapılandıracağınız aşağıda açıklanmıştır:
Örnek istem: Çalışanların kolayca tahmin edilebilecek parolalar kullanmasını önlemeye yardımcı olacak özel bir sözlük oluşturmak istiyorum. Şirketimiz ACME Corporation’ın merkezi Dover, Delaware’de bulunmaktadır. Ana ürünlerimiz ACME uygulaması, ACME widget’ı ve ACME platformudur. Lütfen çalışanlarımızın kullanıyor olabileceği zayıf şifrelerin bir listesini oluşturabilir misiniz?
Yapay zeka, aşağıdakiler de dahil olmak üzere farklı kategorileri analiz edecektir:
- Çalışanlarınızın kullanabileceği yaygın yazım hataları ve kısaltmalar da dahil olmak üzere şirket adı ve varyasyonları. Şirketiniz “Acme Business Solutions” ise “ABS”, “acmebiz” ve benzer varyasyonları ekleyin.
- Çalışanların bilebileceği dahili kod adları ve geliştirme sürümleri de dahil olmak üzere ürün adları. Hem mevcut hem de üretilmeyen ürünleri dahil etmeyi unutmayın.
- Sokak ve şehir adları, bina adları ve hatta çalışanların başvurabileceği yerel yer işaretleri dahil olmak üzere ofis konumları.
- Çalışanların akılda kalıcı olmaları ve benzersiz görünmeleri nedeniyle parolalarda sıklıkla kullandıklarından, hem güncel hem de geçmiş dahili proje adları.
- Alanınıza özel teknik jargon, araçlar ve sistemler de dahil olmak üzere sektör terimleri. Hem tam terimleri hem de yaygın kısaltmaları ekleyin.
- Şirket iletişimlerinde, proje adlarında veya departman tanımlarında kullanılan dahili kısaltmalar. Bunlar kullanıcılara güvenli gelir ancak çoğu zaman tahmin edilebilirdir.
Şifre varyasyonları oluştur
Şirkete özel terimleri ekledikten sonra yapay zekadan kullanıcıların oluşturabileceği öngörülebilir varyasyonlar oluşturmasını isteyin. Kapsamlı sonuçlara nasıl ulaşacağınız aşağıda açıklanmıştır:
Örnek istem: “Bu şirket şartlarını kullanma [list your terms]lütfen temel şifre gereksinimlerini karşılayan tüm yaygın varyasyonları oluşturun. Sayı kalıplarını, özel karakterleri, büyük harfleri ve kombinasyonları ekleyin.”
Yapay zeka aşağıdaki gibi varyasyonlar oluşturacaktır:
- Sondaki sayılar: Yapay zeka, kullanıcıların doğum yıllarını veya bölüm numaralarını nasıl ekleyebileceklerini gösterecek. Örnek yapay zeka çıktısı: “marketing22, Marketing2024, MKTG2023!”
- Özel karakter değişiklikleri: Yapay zeka, harfleri benzer görünümlü sembollerle değiştirecek. Örnek AI çıkışı: “M@rket!ng, $ales_team, Hr_D3pt”
- Büyük harf kalıpları: Yapay zeka, ortak büyük harf kullanımı seçeneklerini gösterecektir. Örnek AI çıktısı: “MarketingTeam, MKTG_dept, SalesHQ”
- Kelime kombinasyonları: Yapay zeka, terimleri öngörülebilir şekillerde birleştirir. Örnek AI çıktısı: “MarketingSouth, TeamNY22, SalesPro”
Şifre sözlüğünüzü yönetme
Siber güvenliğin diğer yönleri gibi, şifre sözlüğünüzü yönetmek de tek seferlik bir olay değildir; devam eden bir süreç olmalıdır. Ürünleri piyasaya sürdüğünüzde veya projelere başladığınızda yeni şirket terimleri ekleyerek sözlüğünüzü güncelleyin.
Kullanıcıların denediği kalıpları belirlemek için başarısız şifre denemeleri olup olmadığını görmek için günlüklerinizi kontrol edin. Güncelliğini yitirmiş terimleri kaldırmak ve yeni varyasyonlar eklemek için sözlüğünüzü üç ayda bir gözden geçirdiğinizden emin olun.
Ek şifre koruması
Şifre sözlükleri güvenliğinizi artırabilir ancak kuruluşunuzu tek başına koruyamaz. Kuruluşunuzun güvenlik açıklarını azaltmak için aşağıdakiler de dahil olmak üzere diğer güvenlik önlemlerinin yanı sıra şifre sözlüklerini kullanın:
- Gerçek zamanlı ihlal koruması: Mevcut şifreleri yeni ihlal veritabanlarıyla sürekli olarak kontrol ederek çalınan şifreleri izleyin
- Çok faktörlü kimlik doğrulama: Tüm hesaplar için, özellikle de yönetici erişimine sahip olanlar için iki faktörlü kimlik doğrulamayı zorunlu kılın
- Güvenlik farkındalığı: Belirli şifrelerin neden reddedildiğini açıklayarak kullanıcıları şifre güvenliği konusunda eğitin
Parola güvenliği araçlarını entegre etme
En yüksek düzeyde koruma için, özel sözlükleri ihlal izlemeyle birleştiren bir araç kullanmayı düşünün.
Örneğin, Specops Parola Politikası kolayca özelleştirilmiş bir yasaklı parola listesi oluşturmanıza ve içe aktarmanıza olanak tanır, ardından Active Directory’nizi bu listeye ve dört milyardan fazla ihlal edilmiş paroladan oluşan her zaman güncellenen bir listeye göre sürekli olarak kontrol eder.
Kuruluşunuz, Specops Şifre politikası gibi bir araç kullanarak güvenliği ihlal edilmiş şifreleri otomatik olarak engelleyebilir, böylece çalışanlarınızın, sistemlerinizin ve verilerinizin güvende kalmasına yardımcı olabilir.
Bizimle iletişime geçin ve size ücretsiz bir deneme ayarlayalım.
Specops tarafından desteklenmiş ve yazılmıştır.