Modern BT sistem yöneticileri, güçlü bir parola politikası sürdürmenin önemini bilir. Bu makalede, temelden gelişmişe parola ilkelerinin gelişimini inceleyeceğiz ve parola uzunluğu, karmaşıklığı ve özel sözlüklerin kullanımı dahil olmak üzere sağlam bir parola ilkesi oluşturmanın temel faktörlerini tartışacağız.
Ayrıca, kaçınılması gereken yaygın parola uygulamalarına, parolanın yeniden kullanılmasıyla ilişkili risklere ve parola güvenliğinde eğitimin rolüne bakacağız. Son olarak, en yaygın parola saldırısı türlerini inceleyeceğiz ve bunlara karşı korunmak için en iyi uygulamaları tartışacağız.
Gelişen Parola Politikaları
İlk şifreler 1960’larda MIT’de Uyumlu Zaman Paylaşım Sistemi adı verilen bir bilgisayarda kullanıldı. Bireysel kullanıcıların, kendilerine ayrılan haftada dört saat boyunca yalnızca dosyalarına erişmenin bir yoluna ihtiyacı vardı. Ancak sadece iki yıl sonra ilk şifre hırsızlığı gerçekleşti. Bir kullanıcı, simülasyonlarına daha fazla zaman kazanmak için sistemin şifre dosyasını yazdırdı.
Nereden bakarsanız bakın, ister dış tehditler ister daha fazla ayrıcalık elde etmeye çalışan kullanıcılar tarafından bir sistem sürekli olarak saldırı altındadır.
Yıllar geçtikçe kuruluşlar, parola ilkeleri için değişen en iyi uygulamaları yönetmek zorunda kaldı. Saldırganları zekice alt etme telaşında, bazı parola ilkelerinin diğerlerinden daha güçlü olduğu kanıtlanmışken, bazıları tamamen zararlı olmuştur.
Uzun bir süre boyunca NIST, sık sık dönüşümlü olarak kullanılan uzun ve karmaşık parolaların kullanılmasını önerdi. Bunun nedeni, bu tür şifrelerin kırılmasının zor olması ve kısa ömürlü olması, böylece sızan bir hashten kaynaklanan olası hasarı en aza indirmesiydi.
Gerçekte, son raporlar, kırılan şifrelerin %83’ünün karmaşıklık ve uzunluk gereksinimlerini karşıladığını, dolayısıyla beklenen korumayı sağlamadığını gösteriyor.
!adfak&35.234# gibi uzun ve karmaşık bir parola olması amaçlanan bir parola, genellikle !password20231# gibi daha basit bir parola olur.
Bunun nedeni, kullanıcıların, parolaları hatırlama ve oluşturma zorluğundan kaçınmak için, karmaşıklık gereksinimlerini karşılayan bir parola oluşturmaları ve parola döndürme gerektiğinde yalnızca ortak temel terimleri kullanmaları ve değerleri artırmalarıdır.
“Parola” veya “hoş geldiniz” gibi ortak kökler, Specops 2023 Parola Raporu’nda bulunduğu gibi, parola güvenliğinin de bozulduğu anlamına gelen, en çok kullanılan ve kolayca tahmin edilen terimlerden bazılarıdır.
Kullanıcıların şifrelerinde sayılarla birlikte öne ve sona eklenen sembollerle ortak bir temel terimi yeniden kullanmaları yaygın olduğundan, bu, şifre kırma işini kolaylaştırdı. Kullanıcıların parolalarını hatırlamaları zorlaştıkça parola sıfırlama işlemleri daha yaygın hale geldi; daha az güvenli parolalar oluşturmalarını daha yaygın hale getirir.
Şifre kırma
Bazı açılardan, parola ilkeleri için geçmişteki en iyi uygulamalar parola kırma işlemini kolaylaştırmış olabilir. Şifreleme ve karma teknolojisi gelişirken, saldırganların kullanabileceği teknoloji de gelişmiştir.
Artık bir saldırgan, güçlü GPU’ların (Grafik İşleme Birimleri) yardımıyla, Rainbow tabloları olarak bilinen milyonlarca önceden hesaplanmış parola karmasını veya kaba kuvvet parolalarını hızla çalıştırabilir. Bu, daha uzun parolaların artık kırılmaya tabi olduğu anlamına gelir.
Saldırganlar, bir parolanın ortak kökünü hedef alan ve parola öncesi ve sonrası sayıların ve sembollerin daha kolay varyasyonlarını deneyen sözlük saldırılarını kullanacak şekilde gelişti. Bu, bir parolayı kaba kuvvetle zorlamanın genellikle harflerin, sayıların ve sembollerin her yinelemesini denemeyi gerektirmediği, bunun yerine çok daha hızlı olan sözlük saldırıları gibi tekniklere dayandığı anlamına gelir.
Modern Şifre Politikası Önerileri
Tehdit aktörlerinin artan yeteneği nedeniyle, NIST ve diğer kuruluşlar, 2020’de güncellenen NIST 800-63b yönergelerinde belirtildiği gibi, mevcut parola ilkelerinde değişiklik yapılmasını önerdi. Parola ihlallerinden ve kullanıcı davranışlarından yıllarca öğrenilenler göz önüne alındığında, aşağıdaki genel önerilerde bulunulmuştur.
- Bir kullanıcı talep etmedikçe veya ihlal edilmiş bir şifre bulunmadıkça, düzenli şifre değiştirme gerekliliklerini ortadan kaldırın.
- Parola karmaşıklığı gereksinimlerini ortadan kaldırın; genel parola uzunluğuna odaklanın (örneğin 12 karakter).
- Özel kelime listeleri ve önceden güvenliği ihlal edilmiş parolalar dahil olmak üzere yaygın olarak kullanılan sözlük terimlerine göre yeni parolaların taranmasını zorunlu kılın.
Bu güvenlik yaklaşımını bir kuruluşta uygulamak, özellikle önceki parola zihniyeti uzun yıllardır mevcutsa, zor olabilir. Bu değişiklikler, kullanıcıların ve sistem yöneticilerinin hayatını kolaylaştırabilirken, birçok güvenlik profesyonelinin yerleşik tutumlarını zaman içinde değiştirmek zor olabilir.
Specops Şifre Politikası ile Kullanıcıları Koruma
Specops Parola İlkesi, kuruluşların kapsamlı parola ilkesi özelleştirmelerini otomatikleştirmesine yardımcı olur. En yeni NIST standartlarıyla güncel kalmak, Specops Parola Politikasında yerleşik olarak bulunan uyumluluk odaklı şablonlar sayesinde kolaydır.
Kuruluşa özgü terimleri ve diğer yaygın terimleri engellemek için özel sözlükler kullanarak yaygın hatalardan kaçının ve “şifrede kullanıcı adına izin verme” gibi özellikler aracılığıyla kullanıcıların güçlü parola politikalarına uymasını sağlayın. İhlal Edilmiş Parola Koruması eklentisiyle minimum parola değişikliği gerektirme, parolanın yeniden kullanımını önleme, uzunluğa dayalı son kullanma tarihleri uygulama ve güvenliği ihlal edilmiş 3 milyardan fazla parolanın kullanılmasını önleme becerisine sahip olun.
Modern Parola İlkeleriyle Kuruluşları Güvende Tutma
Saldırganlardan bir adım önde olmak için parola politikalarının sürekli olarak gelişmesi gerekir. Specops Password Policy gibi araçlarla çok daha kolay hale getirilen en son parola ilkelerini takip ederek kuruluşunuzu ve kullanıcılarınızı koruduğunuzdan emin olun.
Saldırganların araçları geliştikçe siber güvenliğe yaklaşımınız da gelişmelidir. NIST şifre politikası tavsiyelerindeki en son güncellemelerle, iyi düşünülmüş ve uygulanmış şifre politikalarıyla kullanıcılarınızın ve sistem yöneticilerinin hayatını kolaylaştırabilirsiniz!
Sponsorlu ve Specops Software tarafından yazılmıştır