Parola tabanlı kimlik doğrulamada son kullanıcılar, genellikle benzersiz bir kullanıcı adı ve gizli bir parola olan oturum açma kimlik bilgilerini kullanarak kimliklerini doğrularlar. Bu kimlik bilgileri, sistemin kullanıcının söylediği kişi olduğunu doğrulamasına ve onu yetkisiz erişime karşı korumasına olanak tanır.
Ancak yakın tarihli herhangi bir siber güvenlik veya veri ihlali raporuna baktığınızda, bu kimlik bilgilerinin tam tersi etkiye sahip olduğunu göreceksiniz.
Karanlık ağda dolaşan milyarlarca çalıntı kimlik bilgisi var ve yeraltı pazarı, ele geçirilen bu hesaplara erişim izni verme konusunda gelişiyor. Kuruluşlar açısından, çalışanların kimlik bilgilerinin hassas verilere erişim sağlamak için bu verileri korumak yerine kullanılabileceğini varsaymak da aynı derecede doğrudur.
Bu, çok faktörlü kimlik doğrulama gibi ek korumalar mevcut olsa bile tüm şifre tabanlı sistemler için geçerlidir. Kötü aktörler, MFA istem bombardımanı, oturumun ele geçirilmesi ve kimlik avı saldırılarıyla ek kimlik doğrulama katmanlarına karşı çıkıyor.
Peki, en azından şifresiz kimlik doğrulamasına geçiş yapana kadar, kimlik bilgilerini güçlendirmek ve kişisel verileri ve iş verilerini korumak için hangi seçeneklere sahibiz?
İhlal edilmeden önce zayıflardı
Şu ana kadar kullandığımız her şifrenin kötü niyetli kişiler tarafından bilindiğini varsayalım. Çözüm hepsini değiştirmek değil mi? Bu harika bir başlangıç olsa da aslında onların tekrar yanlış ellere geçmesini engellemiyor.
Sorun ve belki de parolaya dayalı kimlik doğrulamadaki doğal zayıflıkların kökü, insan davranışının öngörülebilirliğidir.
Çoğu kullanıcı varsayılan olarak zayıf, hatırlanması kolay şifreler kullanır ve hesaplarının çoğunda aynı şifreleri yeniden kullanma eğilimindedir. Günümüzün şifre saldırıları bu öngörülebilirlik göz önünde bulundurularak tasarlanmıştır.
Kaba kuvvet saldırıları
Kaba kuvvet saldırısı, bir kullanıcının kullanıcı adını ve şifresini tahmin etmenin en yaygın yöntemlerinden biridir. En basit şekliyle saldırgan, doğru olanı buluncaya kadar sayısız otomatik oturum açma denemesi yoluyla tüm olası kullanıcı adı ve parola kombinasyonlarını deneyip yanılacaktır.
Saldırıyı daha etkili hale getirmek için tahmin miktarını azaltacak ek taktikler kullanılabilir. Örneğin, yüksek olasılıklı parolalardan oluşan önceden tanımlanmış bir liste kullanmak veya karakter oluşturma kalıpları gibi parola oluşturma alışkanlıkları hakkındaki bilgileri kullanmak.
Çoğu şifre politikası, kullanıcıları teoride kırılması daha zor olan yüksek entropili şifreler oluşturmaya teşvik edecek ve hatta zorlayacak olsa da, son kullanıcılar kolaylık sağlamak adına bu önlemleri her zaman atlayacaklardır.
Son kullanıcılar Fast Company ihlalinde kullanıldığı iddia edilen “pizza123” gibi şifreleri kullanmaya devam ettiği sürece bu saldırılar işe yaramaya devam edecek.
Parola tabanlı kimlik doğrulamayı güvence altına almaya yönelik ipuçları
Son kullanıcı kimlik bilgileriyle ilişkili zayıflıkları en aza indirmek için uygulayabileceğimiz bir dizi önlem vardır.
İlk önlem, başarısız oturum açma girişimlerini sınırlandırarak kaba kuvvet kullanıcı adı ve parola girişimlerine karşı koymak ve herhangi bir hata mesajı da dahil olmak üzere oturum açma mekanizmasının, kullanıcı adı gönderimlerinin geçerliliğini onaylamamasını sağlamak olacaktır.
İnternete yönelik web uygulamaları için bu kimlik doğrulama önlemleri, bir hizmet sağlayıcı olarak bir pen-test yoluyla sürekli olarak test edilmelidir.
Daha sonra, kullanıcıları daha güçlü şifreler seçmeye zorlamak için şifre karmaşıklığı gereksinimlerini kullanmalıyız. Bu karmaşıklık ayarları uzunluk ve karakter gereksinimleriyle sınırlı olmamalıdır.
İyi bir şifre politikası aynı zamanda ortak karakter kalıplarını ve leetspeak’i de önleyecek, aynı zamanda hem daha uzun hem de hatırlanması daha kolay olan şifreleri teşvik edecektir.
Son olarak, bu önlemler uygulansa bile kullanıcıların bu şifreleri kişisel hesapları da dahil olmak üzere diğer hesaplarda yeniden kullanmasını engelleyemeyiz. Parolanın yeniden kullanımının yaygınlığı, güvenliği ihlal etme riskini artırır.
İhlal durumunu üstlenen herhangi bir kuruluşun, kullanıcı şifrelerini sürekli olarak güncellenen ihlal edilen şifreler listesiyle proaktif olarak kontrol etmesi gerekecektir.
Bir kullanıcının şifresi ihlal edilen şifreler listesinde bulunursa, bu şifreyi hemen değiştirmesi istenmelidir. Aynı ihlal edilmiş şifre listesi, kullanıcıların ilk etapta güvenliği ihlal edilmiş şifreleri seçmesini engellemek için de kullanılabilir.
Active Directory şifrelerinin ve krallığın anahtarlarının güvenliğinin sağlanması
Çoğu Windows tabanlı ağ için Active Directory seçilen kimlik ve erişim yönetimi çözümüdür. Krallığın meşhur anahtarlarını barındırdığı için Active Directory’nin güvenliğini sağlamak her zaman ilk sırada yer alır. Ne yazık ki Active Directory yukarıda özetlediğimiz parola tabanlı kimlik doğrulama zorluklarına karşı bağışık değildir.
Parola güvenliğini daha da güçlendirmek için Specops Parola Politikası gibi bir üçüncü taraf parola politikası aracı, ek karmaşıklık gerekliliklerini zorunlu kılabilir ve saldırılara karşı savunmasız bırakabilecek ortak parola oluşturma modellerine izin vermeyebilir.
Buna klavye yürüyüş kalıpları (qwerty), leetspeak (P@$$w0rd), temel kelimeler (şifre, yönetici, hoş geldiniz) ve bir kullanıcı veya işletmeyle alakalı belirli kelimeleri (şirket adı, ürün adı) engellemek için özel sözlük kelimeleri dahildir. , konum vb.).
İhlal Edilmiş Parola Korumasına sahip Specops Parola Politikası ayrıca 4 milyardan fazla benzersiz parolanın kullanımını engeller ve sürekli olarak tehlikeye atılmış parola taraması sunar.
Specops Software, Active Directory’de güvenliği ihlal edilmiş parolaların kullanımını tespit etmek için Specops Password Auditor adlı bir algılama aracı da sunar. Bu salt okunur raporlama aracı, Active Directory ortamınızı tarar ve 950 milyondan fazla bilinen ihlal edilmiş parolayı ve parolayla ilgili diğer güvenlik açıklarını kullanan hesapların belirlenmesine yardımcı olur.
Parola tabanlı kimlik doğrulamanın doğasında olan zayıflıklar kalıcıdır. MFA gibi ek güvenlik önlemleri mevcut olsa bile, kötü şifre uygulamalarına karşı şifre politikalarımızı optimize etmemiz gerekiyor.
Parolasız geçişe henüz hazır değilseniz ancak mevcut parolalarınızın güvenliğini sağlamanız gerekiyorsa yardım almak için Specops Software ile iletişime geçin.
Specops Software tarafından desteklenmiş ve yazılmıştır