Gelirleri azalmaya devam ettikçe Netflix, şifre paylaşımında çöktüğünü açıkladı. Bazı tahminlere göre, yaklaşık 222 milyon hane Netflix için ödeme yaparken, 100 milyon hane başka birinin şifresini kullanarak Netflix'e erişiyor.
Nisan 2022'de yapılan bir araştırma, ankete katılan 2209 Amerikan hanesinin,% 17'sinin Netflix şifresini paylaştığını kabul ettiğini ve bu katılımcıların% 11'inin hane halkı dışındaki kişilerle bir şifre paylaştığını iddia ettiğini buldu.
Parola paylaşımının Netflix için oluşturduğu bariz sorunları bir kenara bıraksanız bile, Netflix şifre paylaşımı sadece daha ciddi bir sorunun belirtisi olabilir. Netflix şifre paylaşım trendi, insanları bunu yapmak için iyi bir neden varsa, şifreleri birbirleriyle paylaşmanın uygun olduğu fikrini kabul etmelerini şart koştu.
Bu fikir sadece içerik akışı hizmetleri ile sınırlı değil, aynı zamanda işyerinde kendini gösterir. Sonuçta, muhtemelen tatile veya genişletilmiş bir tıbbi izne başlamadan hemen önce şifrelerini bir amir veya bir iş arkadaşıyla paylaşan kullanıcıların hikayelerini duyduk. Bu şekilde, birisi verilerine erişebilir ve çalışanın e -postasını izleyebilir.
Carnegie Mellen, son kullanıcıların% 28'inin şifreleri başkalarıyla isteyerek paylaştığını buldu ve bir Specops çalışması, şifreleri paylaşanların% 21'inin parolalarının kiminle paylaşıldığını bilmediğini buldu. Bu çok fazla paylaşım oluyor.
Sıfır tröst güvenliğine kademeli geçişin de şifre paylaşımı üzerinde bir etkisi olabilir. Herhangi bir sıfır tröst modelinin temel kavramlarından biri, en az kullanıcı erişiminin (LUA) kavramlarıdır. LUA, kullanıcıların yalnızca kullanıcının işlerini yapması için gereken çıplak minimum kaynaklara erişmesi gerektiği fikridir.
Kullanıcılar, işlerini yapmalarını kolaylaştırabilecek, ancak yönetim tarafından gereksiz kabul edilen kaynaklara erişimden yoksundur.
Bu nedenle, kullanıcılar LUA ile ilgili kısıtlamaları atlatmak için şifre paylaşımına başvurabilir. Aslında, son kullanıcıların% 31'i işteki kısıtlamaları atlatmayı kabul ediyor ve şifre paylaşımı tam olarak bu.
İşyerinde şifre paylaşımından kaynaklanabilecek çok sayıda sorun vardır. Böyle bir sorun, kullanıcılar şifreleri paylaştıklarında, güvenlik denetimini çok daha zor hale getirmesidir.
Bir an için bir kullanıcının yasadışı bir şey yaptığı veya başka bir kullanıcı olarak giriş yaparken sona erdirilemez bir suç işlediğini varsayalım. Hesabı kullanılan kullanıcı kaçınılmaz olarak şifreleri başkalarıyla paylaşmayı itiraf edecektir. Bu noktada, hesaba erişimi olan herkes şüphe altında olacaktır.
Kuruluşun politikalarına bağlı olarak, tüm bu çalışanlar, hangi çalışanın ihlali taahhüt ettiğini kesin olarak kanıtlamak imkansız olduğu için feshedilebilir.
Başka bir sorun, şifre paylaşımının eski çalışanların hassas kaynaklara uzun vadeli erişime devam etmesine yol açabileceğidir. NIST'in artık kuruluşlara periyodik şifre değişikliklerini zorlamasını tavsiye etmeyen bir an için düşünün.
Bu nedenle, bir çalışan aynı şifreyi uzun yıllar kullanmaya devam edebilir. Çalışan şifreyi bir iş arkadaşıyla paylaşıyorsa ve bu iş arkadaşı sonunda istifa ederse, ancak çalışanın şifresi asla değişmezse, eski çalışan kuruluşun ağına paylaşılan şifre aracılığıyla erişmeye devam edecektir.
Tabii ki, bu, kuruluşların şifre paylaşımını önlemek için neler yapabileceği sorusunu gündeme getiriyor. İlk adım, kullanıcıları şifre paylaşımının tehlikeleri konusunda eğitmek olmalıdır. Ancak bunun ötesinde, kuruluşların şifre paylaşımına etkili bir şekilde son vermek için yapabileceği birkaç şey vardır.
İlk olarak, kuruluşlar çok faktörlü kimlik doğrulaması gerektirmelidir. Bu şekilde, bir çalışan başka bir çalışanın şifresini biliyor olsa bile, MFA mücadelesini tamamlama ihtiyacı nedeniyle bu hesapla giriş yapmaları zor olacaktır.
Kuruluşların yapabileceği ikinci bir şey, paylaşılan bir kasaya sahip bir şifre yöneticisi kullanmaktır. Böyle bir araç, karmaşık şifrelerle bireysel bir kasaya çalışan şifrelerini otomatik olarak atayabilir, ancak lisanslı bir araç, topluluk e -postası vb. Gibi güvenli bir şekilde paylaşılabilecek girişler için paylaşılan bir seçeneğe de sahip olabilir.
Şifre yöneticileri öncelikle perde arkasında çalıştığından, bir çalışan şifrelerinin ne yazmak veya paylaşmak için ne olduğunu bile bilmiyor olabilir. Ayrıca, güvenli bir paylaşılan tonoza sahip olmak, bir şifre paylaşmanın akran baskısını ortadan kaldırır, çünkü paylaşımın tamamı “kartın üstünde” yapılır.
Bir kuruluşun şifre paylaşımını önlemek için yapabileceği bir şey, kuruluşun Active Directory'sini aynı şifreler için taramaktır. Çalışan grupları, herkesin aynı şifreye sahip olması için parola değişikliklerini birbirleriyle koordine ederek sistemi geçmeye çalışabilir.
SPECOPS, birden fazla çalışanın aynı şifreyi kullanıp kullanmadığını bilmenizi sağlayan Şifre Raporları oluşturabilen SpecOps Parola Denetçisi adlı ücretsiz, okunaklı bir araç sunar. Buna ek olarak, SpecOps şifre denetçisi, kullanılmayan hesaplar, boş şifreli hesaplar ve süresi dolmuş şifreli hesaplar gibi diğer potansiyel tehditleri belirlemenize yardımcı olabilir.
Sponsu sponsorluğunda
En iyi 10 şifre saldırısı ve nasıl durdurulur
Parola politikası uygulamanızı NIST yönergeleriyle hizalama
ISO 27001 nedir ve neden uyumluluk standartları için önemlidir?
Windows alan adlarındaki şifre sıfırlamalarını yönetmek için PowerShell'i Kullanma
ADF'lerinizi şifre püskürtme saldırılarından nasıl koruyabilirsiniz
Kaynak: Bleeping Computer