Şifreler, yarım yüzyıldan fazla birden fazla, en başından beri bunun bir parçası olmuştur. Şifrelerin bu kadar benzeri görülmemiş bir uzun ömürlülüğün olduğu göz önüne alındığında, parola güvenliği en iyi uygulamaları mükemmellik noktasına göre rafine edileceği ve parola kullanımı için sıkça belirtilen en iyi uygulamaların ardından, şifreleri güvenli tutmanın garantili bir yolu olacak gibi görünecektir.
Buna rağmen, Specops yazılımının ilk yıllık zayıf şifre raporu, kuruluşunuzun şifreleri yönetme şeklini yeniden düşünmenize neden olabilecek bazı ilginç sonuçlar vermiştir.
1. Parola uzunluğu şifre güvenliğini garanti etmez
Tüm şifre en iyi uygulamalarının en uzun süre dayanmasından biri, şifrelerin en az sekiz karakter olması gerektiği fikridir. Bu iyi niyetli en iyi uygulama, daha uzun parolaların daha fazla hesaplamalı kaynakların çatlamasını gerektirdiği fikrine dayanmaktadır.
Bununla birlikte, bununla ilgili sorun, sızdırılmış parola veritabanlarının, siber suçluların, aslında şifreyi kırmak zorunda kalmadan, şifreyi kırmamak, böylece şifre uzunluğunu daha az bir sorun haline getirmek için bir şifre ortaya çıkarmak için kullanılabilecek arama tabloları oluşturmasına izin vermiştir. Siber suçlular.
Bu fikir, 2022 zayıf şifre raporunda, kaba kuvvet saldırılarında kullanılan şifrelerin% 93'ünün en az sekiz karakter içerdiğini görmüştür. Benzer şekilde, gerçek dünya saldırılarında kullanılan şifrelerin% 41'i on iki veya daha fazla karakterdir. Bu istatistikler, uzun parolaların bile sızdırılabileceği fikrini altını çizer.
2. Şifre genellikle mevsimseldir veya pop kültüründen etkilenir
Zayıf şifre raporu, şifrelerin genellikle mevsimsel olduğunu ve şifrelerin pop kültüründen etkilenmesi için de yaygın olduğunu buldu. Örneğin mevsimlik şifrenin% 42'si, "yaz" kelimesini içermiştir.
Ve bu sadece şifre kullanımını etkileyen yılın sadece mevsim değil. Beyzbol sezonu başka bir sezon türüdür ve rapor, Cincinnati kırmızılarının kırılan şifre listelerinde neredeyse 150.000 kez göründüğünü buldu. Benzer şekilde, Los Angeles Melekler, Tampa Körfezi ışınları, New York Mets ve Minnesota İkizler de sızdırılmış şifreler listelerde de yaygın olarak bulunmuştur.
Şaşırtıcı olmayan bir şekilde, spor ekipleri genellikle şifrelerde bulunan tek pop kültür referansı olmaktan uzaktır. AC / DC, Öpücük ve Metallica gibi en çok satan müzikal sanatçılar, Yıldız Savaşları, Örümcek Adam ve Avatar gibi gişe rekorları kıran filmler gibi parolalara yaygın olarak dahil edildi. Merak edebilecek olanlar için, sızan şifrelerde en sık referans verilen film, neredeyse 96.000 kez ortaya çıkan kayalıktı.
Tabii ki, sadece şifrelerde referans alınan film başlıkları değildi, aynı zamanda bu filmlerden de favori karakterlerdi. Bu, özellikle Star Wars filmleri için ve fandomların meşhur bir şekilde adanmış olduğu çeşitli süper kahraman filmleri için geçerlidir.
3. Şifre karmaşıklığı kimlik bilgisi hırsızlığını engellemez
Başka bir uzun süredir en iyi uygulama, şifre karmaşıklığını gerektirmektir. Örneğin bir kuruluş, büyük ve küçük harf karakterleri, sayılar ve sembollerin bir karışımını gerektirebilir. Buna rağmen, zayıf şifre raporu, gerçek saldırılarda kullanılan şifrelerin% 68'inin en az iki farklı karakter türünü içerdiğini buldu. Büyük ve küçük harf ve sayıları içeren 20 milyondan fazla sızdırılmış şifreler vardı, 1.5 milyondan fazla sızdırılmış şifreler üst ve küçük harfler, sayılar ve özel karakterler içeriyordu.
Üst ve küçük harf, sayılar ve sembollerin bir kombinasyonundan sadece büyük ve küçük harfler, sayılar ve sembollerin bir kombinasyonundan sadece büyük ve küçük harfler, sayıları ve sembolleri içeren birçok sızdırılmış parola olmanın başlangıçta yapabileceği gerçeği , gerçekten şifre güvenliği konusunda yardımcı olur.
Bununla birlikte, daha muhtemel açıklama, daha karmaşık şifreleri kullananların, genellikle kimlik bilgisi hırsızlığına yol açan riskli davranış türlerinden kaçınmaları daha muhtemeldir.
4. Şifre aşırı yükü büyük bir problemdir
Raporda ayrıca şifre yeniden kullanmanın önemli bir sorun olduğunu buldu. Specops son zamanlarda, şifrelerin günlerinde gündüz hayatında oynadığı rolü bulmak için 2000'den fazla kullanıcıyı araştırdı.
Ankete katılanların% 48'i, iş için hatırlamaları gereken 11 veya daha fazla şifreye sahip olduklarını göstermektedir. % 71'i kişisel kullanım için hatırlamak için 11 veya daha fazla şifreye sahip olduklarını söyledi. Anket, bu katılımcıların 361'inin birden fazla sistemde aynı veya benzer şifreyi kullanmaya itiraf ettiğini buldu.
Bu muhtemelen kullanıcıların birçok farklı şifreyi hatırlamaları gerektiği gerçeğine atfedilir.
5. Organizasyonlar şifreleri güvenli tutmak için çok daha fazlasını yapıyor olabilir
Uzun süredir kurulan en iyi uygulamalara yapışan milyonlarca şifre içeren sızdırılmış bir şifre veritabanı olduğu basit bir gerçek, şifrelerini güvenli tutmak için kuruluşların daha fazlasını yapma ihtiyacını açıkça göstermektedir. Öyle bile, 2022 zayıf şifre raporu, kuruluşların% 54'ünün çalışma şifrelerini yönetmek için bir aracı olmadığını buldu. Ek olarak, kuruluşların% 48'inde servis masasına hizmet masasını sosyal mühendislik risklerine maruz bırakan bir kullanıcı kimlik doğrulama mekanizmasına sahip değildir.
Kuruluşların şifre kullanımı konusunda daha iyi bir şekilde ele alabileceği bir şekilde, Specops Password denetçisini indirmektir.
Bu ücretsiz, salt okunur aracı, kuruluşların, 813 milyondan fazla bilinen ihlal edilen şifreyi, şifre raporları oluşturduğunu ve kullanıcının şifrelerinin kuruluşun gereksinimlerine göre uyumlu olduğundan emin olmak için organizasyonların Active Directory hesaplarını denetlemesini sağlar.
Masif Kimlik Avı Kampanyası, kimlik bilgilerini çalmak için 500+ etki alanı kullanıyor
NVIDIA Veri 71.000'den fazla çalışanın açıkça kimlik bilgilerini ihlal etti
Bu ömür boyu aboneliklerle yeni kodlama ve tasarım becerileri
Microsoft, Lapsus $ gasp grubu tarafından hacklendiklerini onaylar.
Android Password-Sporing Malware 100.000 Google Play kullanıcısı bulaşıyor
Kaynak: Bleeping Computer