Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), hem federal hükümet hem de özel sektör için siber güvenlik standartları ve en iyi uygulamalar oluşturmakla görevli bir devlet kurumudur.
Kuruluşun yönergeleri, dünya çapında birçok düzenleyici standarın temelini oluşturur, ancak NIST yönergeleri yerleşik en iyi uygulamalara dayandığından, düzenlenmemiş endüstrilerdeki kuruluşlarla da ilgilidir.
Her ne kadar çoğu kuruluşun yasalarca NIST standartlarına uyması gerekmese de, NIST'in siber güvenlik standartlarını takip etmek genellikle bir kuruluşun yararınadır, çünkü bunu yapmak bir kuruluşun siber saldırıya karşı daha iyi korunmasına yardımcı olabilir.
Bu özellikle NIST’in şifre yönergeleri için geçerlidir. Bir kuruluş şifre politikasını zaten NIST’in önerileri doğrultusunda getirmiş olsa bile, zaman içinde değiştikleri için bu önerileri periyodik olarak tekrar gözden geçirmek iyi bir fikirdir.
Belki de bunun en iyi örneği, onlarca yıl boyunca en iyi uygulamaların kullanıcıların şifrelerini periyodik olarak değiştirmeleri gerektiğini belirtmesidir. Bununla birlikte, bir şekilde ironik bir şekilde, sık şifre değişiklikleri gerektiren kullanıcıların daha zayıf şifreleri seçmesine yol açabilir.
Sorun şu ki, kuruluşların zamanla kullanıcıların giderek karmaşıklaşan şifreleri kullanmasını gerektirmesi. Uzun ve karmaşık şifreler bir saldırganın çatlaması zor olsa da, meşru bir kullanıcının hatırlaması da zordur.
Kullanıcılar sadece bu tür parolaları kullanmakla kalmayıp aynı zamanda sık sık değiştirmek zorunda kaldıklarında, kullanıcılar kaçınılmaz olarak şifrelerini daha az güvenli hale getiren şeyleri yapmaya başvururlar. Bu, şifrelerini yazmayı veya sadece önceki şifrelerin varyasyonları olan yeni şifreler oluşturmayı içerebilir.
Chapel Hill'deki North Carolina Üniversitesi tarafından yapılan bir araştırma, bu davranışın neden bu kadar tehlikeli olduğunu doğrulamaktadır. Çalışma için araştırmacılara eski öğrencilere ve personele ait 10.000 hesap verildi.
Bu hesapların eski sahiplerinin şifrelerini her üç ayda bir değiştirmeleri gerekiyordu. Araştırmacılara, her bir hesapla ilişkili önceki şifrelerin en az dördüne verildi ve önceki şifrelere göre geçerli şifreyi anlamaya çalışmaları istendi.
Araştırmacılar, Brute Force kullanarak şifreleri kırmaya çalışmak yerine, dönüşümlerin kullanımına göre şifreleri tahmin etmeye çalıştılar. Dönüşüm örnekleri, bir şifrenin sonundaki bir basamağı artırmak, iki karakterin aktarılmasını veya bir karakterin benzer görünümlü bir sembolle değiştirilmesini (S yerine $ ile değiştirme gibi) içerebilir.
Sonuçta, araştırmacılar, hesapların% 17'si için önceki şifrelere dayanarak kullanıcının mevcut şifresini bulabildiler.
Bu deney, rutin, zorunlu şifre değişikliklerinin tehlikelerinin altını çiziyor. Ayrıca, şifre önerilerinin etkili kalmaları durumunda neden zaman içinde gelişmesi gerektiğini de gösterir.
Şaşırtıcı olmayan bir şekilde, NIST artık planlanmış şifre değişikliklerini önermiyor. Bunun yerine, NIST şifre yönergeleri esasen kuruluşların parolaları tehlikeye atıldığı bilinen bir parola listesine göre taramaları gerektiğini belirtmektedir. Bir şifre tehlikeye girmediyse, onu değiştirmek için bir neden yoktur.
NIST yönergelerinin periyodik olarak değiştiği için kuruluşlar, en iyi en iyi uygulamalarla en iyi nasıl kalabileceklerini düşünmelidir. Bir kuruluşun şifre politikasını NIST yönergelerine uygun hale getirmesinin en kolay yollarından biri, SpecOps parola politikasını benimsemektir. SpecOps Parola Politikası, bir kuruluşun mevcut şifre politikasını NIST yönergeleriyle ve SANS ve PCI gibi diğer düzenleyici standartlarla karşılaştırmasına izin veren bir özellik içerir.
SpecOps şifre politikasının, kuruluşlara şifre politikalarını uyumlu hale getirmek için ne yapmaları gerektiğini göstermekten daha fazlasını yaptığını belirtmek gerekir. Ayrıca kuruluşlara bunu yapmak için araçlar verir. Örneğin, kullanıcı şifrelerini tehlikeye attığı bilinen bir şifre listesi ile karşılaştırmak için NIST gereksinimini düşünün.
Windows Server işletim sistemi, kullanıcı şifrelerini böyle bir listeyle karşılaştırma olanağı sunmaz. Bununla birlikte, Specops, tehlikeye atıldığı bilinen milyarlarca şifrenin bir listesini tutar ve kuruluşların kullanıcının şifrelerini listeyle otomatik olarak karşılaştırmasını mümkün kılar. SpecOps parola politikasını istediğiniz zaman Active Directory'de ücretsiz olarak test edebilirsiniz.
Sponsu sponsorluğunda
ISO 27001 nedir ve neden uyumluluk standartları için önemlidir?
Windows alan adlarındaki şifre sıfırlamalarını yönetmek için PowerShell'i Kullanma
ADF'lerinizi şifre püskürtme saldırılarından nasıl koruyabilirsiniz
En iyi 10 şifre saldırısı ve nasıl durdurulur
FIDO Passwords Logins'i desteklemek için Microsoft, Apple ve Google
Kaynak: Bleeping Computer