BT güvenlik uzmanları, uzun süredir parola ilkelerinin, kullanıcıların eski parolalarını yeniden kullanmasını önleyecek şekilde yapılandırılmasını tavsiye ediyor.
Örneğin Netwrix, parola geçmişi politikanızın her kullanıcı için en az 10 en son parolayı hatırlayacak şekilde ayarlanmasını önerir. Benzer şekilde Microsoft, son 24 parolayı hatırlamak için parola geçmişinin yapılandırılmasını önerir.
Ne yazık ki, parola yeniden kullanımı, yakın zamanda ortadan kalkması pek olası olmayan yaygın bir son kullanıcı davranışıdır. Aslında, son kullanıcıların %65’i, hesaplarından biri veya daha fazlası (veya tümü!) için aynı şifreyi yeniden kullanmayı açıkça kabul ediyor.
Parola Geçmişi Nasıl Yardımcı Olabilir?
NIST, Microsoft ve diğerleri artık zorunlu, periyodik parola değişikliklerine karşı önermektedir. Kullanıcıların parolalarını “zamanı geldi” nedeniyle değiştirmelerini istemek genellikle parola güvenliğini azaltır.
Kullanıcıların parolalarını sık sık değiştirmeleri gerektiğinde, tükenmişlik ya da hayal kırıklığı etkisi nedeniyle zayıf parolalar kullanmaya, parolalarını yazmaya veya başka riskli davranışlarda bulunmaya daha meyilli olurlar.
Bunun tersi, bu en iyi parola uygulamalarına bağlı kalan bir kuruluş, kullanıcıları parolalarını değiştirmeye zorluyorsa, bunun genellikle iyi bir nedeni vardır. Parolanın güvenliği ihlal edilmiş olabilir veya kuruluşun güvenlik ekibi, parola değişikliğini haklı gösterecek bir tehdit olduğuna inanabilir.
Parola geçmişinin devreye girdiği yer burasıdır. Bir kuruluş bir parola geçmişi gereksinimini zorunlu kılmadıkça, bir kullanıcı parolasını değiştirerek ve ardından hemen orijinal parolasına geri dönerek kuralları atlayabilir.
Sistemle ilgili olarak, kullanıcı parola değiştirme gereksinimini karşılamıştır. Tabii ki, bu, sanki kullanıcı şifresini hiç değiştirmemiş gibi, kuruluşu riske atıyor.
Parola geçmişi gereksinimleri, bir kullanıcının eski parolasını yeniden kullanmasını zorlaştırarak bu tür davranışları engeller. Böyle bir politika, Windows’un son kullanılan parolaları tekrar kullanılmalarını önlemek amacıyla takip etmesine neden olur.
Parola Değişiklik Geçmişini Uygulama
Windows, mevcut bir parola ilkesine parola geçmişi gereksinimi eklemeyi kolaylaştırır.
Bunu yapmak için, mevcut parola ilkesini içeren grup ilkesi nesnesini açarak başlayın.
Ardından, Grup İlkesi Yönetimi Düzenleyicisi’nin konsol ağacında gezinin Bilgisayar Yapılandırması > Politikalar > Windows Ayarları > Güvenlik ayarları > Hesap Politikaları > Şifre politikası.
Şimdi, Şekil 1’de gösterilen Parola Geçmişini Zorla ayarına çift tıklayın ve ardından Windows’un hatırlamasını istediğiniz parola sayısını seçin.
Tıklamak TAMAM süreci tamamlamak için.
Neden Parola Değişiklik Geçmişi Tek Başına Yeterli Değildir?
Windows’u bir kullanıcının son parolalarını hatırlayacak şekilde yapılandırmak, bu parolaların yakın zamanda yeniden kullanılmasını önlemeye yardımcı olsa da, kullanıcıların bu tür bir ilkeyi atlatmasının yolları vardır.
Örneğin, bir kullanıcının bir kuruluşun parola politikasının en son altı parolayı hatırlayacak şekilde yapılandırıldığını anladığını varsayalım. Kullanıcı, parolasını hızlı bir şekilde arka arkaya altı kez değiştirebilir ve ardından orijinal parolasını kullanmaya geri dönebilir. Çoğu kullanıcı muhtemelen şifre politikasını atlatmak için bu kadar ileri gitmeyecek olsa da, kaçınılmaz olarak yapacak olanlar olacaktır.
Bu tür davranışları engellemenin bir yolu, yukarıdaki şekilde görebileceğiniz Minimum Şifre Yaşı ayarını etkinleştirmektir. Varsayılan olarak, Windows yakın zamanda değiştirilen bir parolanın hemen yeniden değiştirilmesine izin verir, böylece belirli bir kullanıcının orijinal parolalarını yeniden kullanmalarına izin verilen noktaya geri dönene kadar çok sayıda parola değişikliğini çok hızlı bir şekilde değiştirmesine izin verir.
Minimum Parola Yaşı ayarının etkinleştirilmesi, kullanıcıların parolalarını hemen yeniden değiştirmelerini engeller. Örneğin, Windows’u 24 parolayı hatırlayacak şekilde yapılandıracağınızı ve minimum parola yaşını bir gün olarak belirlediğinizi varsayalım.
Bu, en kararlı kullanıcının bile 24 gün boyunca orijinal şifresine geri dönemeyeceği anlamına gelir. Kullanıcının yeni şifresini kabul etmesi muhtemelen çok daha kolay olacaktır.
Kullanıcıların bazen parola geçmişi gereksinimlerini atlatmasının bir başka yolu da sıralı parolalar kullanmaktır. Bir kullanıcı aynı kök parolayı kullanabilir, ancak parolanın sonuna bir sayı veya bir ay adı ekleyebilir.
Her parola değişikliği gerektiğinde, kullanıcı parolasının sayısını artırır veya ay kısmını değiştirir.
Ne yazık ki, Windows bu tür parola kötüye kullanımını doğal olarak durduramaz. Ancak Specops Password Policy, sıralı şifrelerin ve benzeri hilelerin kullanılmasını engellemek için kullanılabilir. Specops Parola Politikası, yöneticilerin, bir kullanıcının parolasında kullanılamayacak bir sözcük listesi oluşturmasına da olanak tanır. Bu size, kullanıcıların parolalarına bir ay adı eklemesini engellemenin bir yolunu sunar. Active Directory’nizde istediğiniz zaman ücretsiz olarak test edebilirsiniz.
Specops’un sponsorluğunda