Modern BT sistemi yöneticileri, güçlü bir şifre politikasının sürdürülmesinin önemini bilirler. Bu makalede, şifre politikalarının temelden gelişmişe evrimini araştıracağız ve şifre uzunluğu, karmaşıklık ve özel sözlüklerin kullanımı dahil olmak üzere sağlam bir şifre politikası oluşturmada temel faktörleri tartışacağız.
Ayrıca kaçınılması gereken ortak şifre uygulamalarına, şifre yeniden kullanımı ile ilişkili risklere ve şifre güvenliğindeki eğitimin rolüne de bakacağız. Son olarak, en yaygın şifre saldırıları türlerini inceleyeceğiz ve onlara karşı savunmak için en iyi uygulamaları tartışacağız.
İlk şifreler, 1960'larda MIT'de uyumlu zaman paylaşımı sistemi adı verilen bir bilgisayarda kullanıldı. Bireysel kullanıcıların haftada dört saat ayrıldıkları için yalnızca dosyalarına erişmenin bir yoluna ihtiyaçları vardı. Ancak, sadece iki yıl sonra, ilk şifre hırsızlığı meydana geldi. Bir kullanıcı, simülasyonları için daha fazla zaman kazanmak için sistemin şifre dosyasını yazdırdı.
Nasıl bakarsanız bakın, ister dış tehditlerden isterse daha fazla ayrıcalık kazanmaya çalışan kullanıcılardan bir sistem sürekli olarak saldırı altındadır.
Yıllar geçtikçe, kuruluşlar şifre politikaları için değişen en iyi uygulamaları yönetmek zorunda kaldılar. Saldırganların altındaki aceleyle, bazı şifre politikalarının diğerlerinden daha güçlü olduğu kanıtlanırken, bazıları açıkça zararlıdır.
Uzun bir süre, NIST sıklıkla döndürülen uzun ve karmaşık şifrelerin kullanılmasını önerdi. Akıl yürütme, bu tür şifrelerin çatlamak ve kısa ömürlü olacağı, böylece sızdırılmış bir karma kaynaktan kaynaklanan potansiyel hasarı en aza indirgeyeceği idi.
Gerçekte, son raporlar, çatlak şifrelerin% 83'ünün karmaşıklık ve uzunluk gereksinimlerini karşıladığını, bu nedenle beklenen korumayı karşılamadığını gösteriyor.
ADFAK & 35.234#gibi uzun, karmaşık bir şifre olmayı amaçlayan şey, genellikle! Password20231#gibi daha basit bir şifre olur.
Bunun nedeni, kullanıcıların şifreleri hatırlama ve oluşturma zorluğundan kaçınmak için, sadece ortak temel terimler kullanırken ve bir şifre rotasyonu gerektiğinde değerleri artırırken karmaşıklık gereksinimlerini karşılayan bir şifre oluşturmalarıdır.
“Parola” veya “Hoş Geldiniz” gibi ortak kökler, SpecOps 2023 şifre raporunda bulunduğu gibi, en çok kullanılan ve kolay tahmin edilen terimlerden bazılarıdır, anlamına gelen şifre güvenliği de bozuldu.
Bu, kullanıcıların, sayılarla birlikte ön ve sonuna eklenen sembollerle parolalarında ortak bir temel terimleri yeniden kullanmaları yaygın olduğu için şifre çatlama işini kolaylaştırdı. Parola sıfırlamaları daha yaygın hale geldi, çünkü kullanıcıların şifrelerini hatırlamaları zorlaştı; daha az güvenlikli şifreler oluşturmalarını daha yaygın hale getirir.
Bazı açılardan, şifre politikaları için en iyi uygulamalar şifre çatlamasını kolaylaştırmış olabilir. Şifreleme ve karma teknolojisi gelişmişken, teknoloji saldırganlar için kullanılabilir.
Bir saldırgan şimdi, güçlü GPU'lar (grafik işleme birimleri) yardımıyla gökkuşağı tabloları olarak bilinen milyonlarca önceden hesaplanmış şifre karmalarından veya hızlı bir şekilde kabarık şifrelerden hızla geçebilir. Bu, daha uzun parolaların artık çatlamaya tabi olduğu anlamına gelir.
Saldırganlar, paspas öncesi ve sonrası numaraların ve sembollerin daha kolay varyasyonlarını denemeye çalışırken, bir şifrenin ortak kökünü hedefleyen sözlük saldırılarını kullanmak için gelişti. Bu, bir şifreyi zorlamanın genellikle harflerin, sayıların ve sembollerin her yinelemesini denemeyi gerektirmediği, bunun yerine çok daha hızlı sözlük saldırıları gibi tekniklere dayandığı anlamına gelir.
Tehdit aktörlerinin artan yeteneği nedeniyle, NIST ve diğer kuruluşlar 2020 güncellenmiş NIST 800-63B yönergelerinde belirtildiği gibi, mevcut şifre politikalarında değişiklikler önermişlerdir. Şifre ihlallerinden ve kullanıcı davranışlarından yıllarca öğrenme göz önüne alındığında, aşağıdaki genel öneriler yapılmıştır.
Bu güvenlik yaklaşımının bir organizasyona uygulanması, esas olarak önceki şifre zihniyeti yıllarca varsa zor olabilir. Bu değişiklikler kullanıcıların ve sistem yöneticilerinin hayatlarını kolaylaştırabilirken, zaman içinde birçok güvenlik uzmanının kökleşmiş tutumlarını değiştirmek zor olabilir.
SpecOps Parola Politikası, kuruluşların kapsamlı şifre politikası özelleştirmelerini otomatikleştirmelerine yardımcı olur. SpecOpts şifre politikasında yerleşik uyumluluk güdümlü şablonlar ile en son NIST standartlarıyla güncel kalmak kolaydır.
Organizasyona özel terimleri diğer ortak terimlerle birlikte engellemek için özel sözlükler kullanarak yaygın hatalardan kaçının ve kullanıcıların “şifrede kullanıcı adına izin vermeyin” gibi özellikler aracılığıyla güçlü şifre politikalarına uymalarını sağlayın. Minimum şifre değişiklikleri gerektirebilir, şifrenin yeniden kullanımını önleme, uzunluk tabanlı son kullanma tarihlerini uygulama ve ihlal edilen şifre koruma eklentisi ile 3 milyardan fazla tehlikeye atılmış şifreyi kullanmaktan kaçının.
Şifre politikalarının saldırganların bir adım önünde kalmak için sürekli gelişmesi gerekir. SpecOps Parola Politikası gibi araçlarla en son şifre politikalarını çok daha kolay tutarak kuruluşunuzu ve kullanıcılarınızı koruduğunuzdan emin olun.
Saldırganların araçları geliştikçe, siber güvenlik yaklaşımınız da. NIST şifre politikası önerilerindeki en son güncellemelerle, iyi düşünülmüş ve uygulanan şifre politikalarıyla kullanıcılarınızın ve sistem yöneticilerinin hayatlarını kolaylaştırabilirsiniz!
Specops Software tarafından sponsorlu ve yazılmıştır
Kuruluşunuzu riske atan son kullanıcı şifre hataları
Windows Active Directory'nizi hedefleyebilecek saldırılar
Hacker forumlarında dolaşımda 15 milyardan fazla kimlik bilgisi
American Bar Association Veri ihlali 1.4 milyon üyeye ulaştı
Mart 2023 459 olayla fidye yazılımı saldırısı rekorlarını kırdı
Kaynak: Bleeping Computer