ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nden (NIST) mühendis Bill Burr 2003'te yazdığında, yakında dünyanın en iyisi olacak şeyi yazmıştı. şifre güvenliği için altın standart, insanlara ve kuruluşlara uzun ve 'kaotik' karakter, sayı ve işaret dizileri icat ederek hesaplarını korumalarını ve bunları düzenli olarak değiştirmelerini tavsiye etti.

On dört yıl sonra Burr, geçmişteki tavsiyesinden pişman olduğunu itiraf etti. "İnsanları çıldırtıyor ve ne yaparsanız yapın iyi parolalar seçmiyorlar," dedi. Wall Street Journal'a anlattı.

Ya da ünlü olarak xkcd çizgi roman koydu: "20 yıllık çaba sonucunda, insanların hatırlaması zor, ancak bilgisayarların tahmin etmesi kolay parolaları kullanması için herkesi başarıyla eğittik."

Bu günlerde, ortalama bir insan hatırlanması gereken 100'e kadar şifresi vardır, son yıllarda hızlı bir şekilde artan sayı ile (aslında bazı insanlar yaklaşık 50 şifre kullanıldı, hatta yıllar önce bir dizi çevrimdışı kod da dahil olmak üzere ve bazı güvenlik uzmanları bu tür parola alışkanlıklarının ve politikalarının sürdürülemez olduğuna işaret ediyor.)

Gerçekten de araştırmalar, insanların tipik olarak sadece beş şifreye kadar ve oluşturarak kısayollar alın tahmin edilmesi kolay şifreler ve sonra bunları çeşitli çevrimiçi hesaplarda geri dönüştürün. Bazıları harflerin yerine sayıları ve özel karakterleri koyabilir (örneğin, "parola" "P4??WØrd"e dönüşür), ancak bu yine de kırılması kolay bir parola sağlar.

Son yıllarda The Open Web Application Security Project (OWASP) ve tabii ki NIST'in kendisi gibi önde gelen kuruluşlar, politikalarını ve tavsiyelerini değiştirdi daha kullanıcı dostu bir yaklaşıma doğru - hem de parola güvenliğini artırırken.

Aynı zamanda, teknoloji devleri gibi Microsoft ve Google herkesi şifreleri tamamen ortadan kaldırmaya teşvik ediyor ve şifresiz git yerine. Bununla birlikte, küçük veya orta ölçekli işletmeniz parolalarla yollarını ayırmaya henüz hazır değilse, 2023'te size ve çalışanlarınıza fayda sağlayacak bazı kılavuzları burada bulabilirsiniz.

Gereksiz yere karmaşık parola oluşturma kuralları dayatmayı bırakın

Son derece karmaşık kompozisyon kuralları (kullanıcıların hem büyük hem de küçük harf karakterleri, en az bir sayı ve bir özel karakter içermesini zorunlu kılmak gibi) artık bir zorunluluk değildir. Bunun nedeni, bu tür kuralların kullanıcıları nadiren daha güçlü parolalar belirlemeye teşvik etmesi, bunun yerine tahmin edilebilir şekilde hareket etmelerini ve "çifte sorun" olan parolalar bulmalarını istemesidir - hem zayıf hem de hatırlaması zordur.

Parolalara geç

Daha kısa ama zor şifreler yerine, parolalar için git. Daha uzun ve daha karmaşıktırlar ancak yine de hatırlamaları kolaydır. Örneğin, büyük harfler, özel karakterler ve emojilerin serpiştirildiği, nedense kafanıza takılan koca bir cümle olabilir. Süper karmaşık olmamakla birlikte, otomatik araçların onu kırması uzun yıllar alacaktır.

Birkaç yıl önce, iyi bir parola için minimum uzunluk, küçük ve büyük harfler, işaretler ve sayılardan oluşan sekiz karakterdi. Bugün, otomatik parola kırma araçları, özellikle MD5 karma işleviyle güvence altına alınmışsa, böyle bir parolayı dakikalar içinde tahmin edebilir.

Bu göre Hive Systems tarafından yürütülen testler Aksine sadece küçük ve büyük harflerden oluşan, 2023 karakterlik basit bir şifrenin kırılması çok çok daha uzun zaman alıyor.

Kaynak: Kovan Sistemleri

En az 12 karakter uzunluğunda olmayı hedefleyin - ne kadar çok olursa o kadar iyi!

NIST yönergeleri, uzunluğu parola gücündeki temel faktör olarak kabul eder ve birden çok boşluğu birleştirdikten sonra maksimum 12 karaktere ulaşan minimum 64 karakterlik gerekli uzunluğu getirir. Her şey eşit olduğunda, ne kadar çok olursa o kadar iyi olur.

Çeşitli karakterleri etkinleştir

Kullanıcılar parolalarını belirlediklerinde, emojiler de dahil olmak üzere yazdırılabilir tüm ASCII ve UNICODE karakterleri arasından seçim yapmakta özgür olmalıdır. Ayrıca, parolaların doğal bir parçası olan ve geleneksel parolalara sıklıkla önerilen bir alternatif olan boşlukları kullanma seçeneğine de sahip olmalıdırlar.



Parolanın yeniden kullanımına kısıtlama

Şimdiye kadar geleneksel bilgelik insanlar şifrelerini tekrar kullanmamalı çünkü bir hesabın ihlali kolayca diğer hesapların ele geçirilmesine yol açabilir.

Ancak, birçok alışkanlık zor ölüyor ve yanıt verenlerin yaklaşık yarısı 2019 Ponemon Enstitüsü çalışmasında iş hesaplarında ve/veya kişisel hesaplarında ortalama beş parolayı yeniden kullandıkları kabul edildi.

Parolalar için bir "son kullanma" tarihi belirlemeyin

NIST ayrıca, kullanıcı tarafından talep edilmedikçe veya bir uzlaşma kanıtı olmadıkça, düzenli parola değişikliklerinin istenmemesini önerir. Buradaki mantık, kullanıcıların sürekli olarak makul derecede güçlü yeni parolalar düşünmek zorunda kalacak kadar sabırlı olmalarıdır. Sonuç olarak, bunu düzenli aralıklarla yapmalarını sağlamak yarardan çok zarar verebilir.

Microsoft, üç yıl önce parola sona erme ilkelerini kaldırdığını duyurduğunda, parola süresinin sona ermesi fikrini tamamen sorguladı.

“Bir parolanın çalınma olasılığının yüksek olduğu biliniyorsa, hırsızın çalınan parolayı kullanmasına izin vermek için kabul edilebilir süre kaç gündür? Windows varsayılanı 42 gündür. Gülünç derecede uzun bir süre gibi görünmüyor mu? Öyle, ama yine de şu anki referans noktamız 60 gün diyor - ve eskiden 90 gün derdi - çünkü sık sık son kullanma tarihini zorlamak kendi sorunlarını da beraberinde getirir." Microsoft'un blogunu okur.

Bunun sadece genel bir tavsiye olduğunu unutmayın. İşletmeniz için çok önemli olan ve saldırganlar için çekici olan bir uygulamanın güvenliğini sağlıyorsanız, yine de çalışanlarınızı parolalarını düzenli aralıklarla değiştirmeye zorlayabilirsiniz.

İpuçlarını ve bilgiye dayalı kimlik doğrulamayı ortadan kaldırın

Parola ipuçları ve bilgiye dayalı doğrulama soruları da artık geçerliliğini yitirmiştir. Bunlar aslında kullanıcılara unutulan parolaları aramalarında yardımcı olabilirken, saldırganlar için de çok değerli olabilir. Meslektaşımız Jake Moore, bilgisayar korsanlarının diğer kişilerin hesaplarına girmek için "şifremi unuttum" sayfasını nasıl kötüye kullanabileceklerini birkaç kez gösterdi, örneğin PayPal ve Instagram.

Örneğin, "ilk evcil hayvanınızın adı" gibi bir soru, biraz araştırma veya sosyal mühendislikle kolayca tahmin edilebilir ve otomatik bir aracın içinden geçmesi gereken sonsuz sayıda olasılık yoktur.

Ortak parolaları kara listeye alın

Daha önce kullanılan birleştirme kurallarına güvenmek yerine, yeni şifreleri bir "kara listeye" göre kontrol edin. en çok kullanılan ve/veya önceden güvenliği ihlal edilmiş parolalar ve eşleştirme girişimlerini kabul edilemez olarak değerlendirin.

2019 olarak, Microsoft tarandı kullanıcı adlarını ve parolalarını üç milyardan fazla sızdırılmış kimlik bilgisinden oluşan bir veritabanıyla karşılaştıran kullanıcı hesapları. Güvenliği ihlal edilmiş parolalara sahip 44 milyon kullanıcı buldu ve parola sıfırlamaya zorladı.

Parola yöneticileri ve araçları için destek sağlayın

"Kopyala ve yapıştır" işlevinin, tarayıcı parola araçlarının ve harici parola yöneticilerinin, kullanıcıların parolalarını oluşturma ve saklama güçlüklerini halletmelerine izin verildiğinden emin olun.

Kullanıcılar ayrıca, maskelenmiş parolanın tamamını veya parolanın son yazılan karakterini geçici olarak görüntülemeyi de seçmelidir. OWASP yönergelerine göre, fikir, özellikle daha uzun parolaların, parolaların ve parola yöneticilerinin kullanımıyla ilgili olarak kimlik bilgisi girişinin kullanılabilirliğini artırmaktır.

İlk parolalar için kısa bir raf ömrü belirleyin

Yeni çalışanınız bir hesap oluşturduğunda, sistem tarafından oluşturulan ilk parola veya aktivasyon kodu güvenli bir şekilde rastgele oluşturulmalı, en az altı karakter uzunluğunda olmalı ve harf ve rakamlardan oluşmalıdır.

Kısa bir süre sonra süresinin dolduğundan ve gerçek ve uzun vadeli parola olamayacağından emin olun.

Kullanıcıları şifre değişiklikleri hakkında bilgilendirin

Kullanıcılar parolalarını değiştirdiklerinde, önce eski parolalarını girmeleri ve ideal olarak iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeleri istenmelidir. Tamamlandığında, bir bildirim almaları gerekir.

Parola kurtarma işleminiz konusunda dikkatli olun

Kurtarma işlemi yalnızca mevcut şifreyi göstermemeli, aynı zamanda hesabın gerçekten var olup olmadığı hakkındaki bilgiler için de geçerlidir. Başka bir deyişle, saldırganlara herhangi bir (gereksiz) bilgi vermeyin!

CAPTCHA ve diğer otomasyon karşıtı kontrolleri kullanın

İhlal edilmiş kimlik bilgisi testi, kaba kuvvet ve hesap kilitleme saldırılarını azaltmak için anti-otomasyon kontrollerini kullanın. Bu tür kontroller arasında en sık ihlal edilen parolaların engellenmesi, yazılım kilitlemeleri, hız sınırlaması, CAPTCHA, denemeler arasında sürekli artan gecikmeler, IP adresi kısıtlamaları veya konum, bir cihazda ilk kez oturum açma, son hesap kilidini açma girişimleri gibi riske dayalı kısıtlamalar yer alır. , veya benzeri.

Mevcut OWASP standartlarına göre, tek bir hesapta saatte en fazla 100 başarısız deneme olmalıdır.

güvenme bir tek şifreler hakkında

Parola ne kadar güçlü ve benzersiz olursa olsun, bir saldırgan ile değerli verilerinizi ayıran tek engel olmaya devam eder. Güvenli hesaplar hedeflenirken, ek bir kimlik doğrulama katmanı mutlak bir zorunluluk olarak düşünülmelidir.

Bu nedenle, mümkün olduğunda iki faktörlü (2FA) veya çok faktörlü kimlik doğrulamayı (MFA) kullanmalısınız.

Bununla birlikte, tüm 2FA seçenekleri eşit doğmaz. SMS mesajları, hiç 2FA olmamasından çok daha iyi olsa da, çok sayıda tehdide açıktır. Daha güvenli alternatifler, mobil cihazlara yüklenen güvenli uygulamalar gibi özel donanım cihazları ve yazılım tabanlı tek seferlik şifre (OTP) oluşturucuları kullanmayı içerir.

Not: Bu makale 2017 yılında yayınladığımız bu makalenin güncellenmiş ve genişletilmiş halidir: Artık anlamsız şifre gereksinimleri yok

Belki kontrol edin ESET'in şifre üreticisi?

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
• Kaynak: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/