Kabul edelim - şifreler bir acı olabilir. Karmaşık ve benzersiz seçenekleri hatırlamak zordur, ancak aynı şifreyi birden çok hesapta yeniden kullanmak daha da kötüdür. Çözüm? Rastgele karakter dizilerinden daha az düşünün ve tüm kelimelerin veya cümlelerin daha fazlasını düşünün.
Şifrelerin neden bu kadar önemli olduğunu hepimiz biliyoruz. Verizon'a göre, ilk saldırı erişiminin% 83'ü çalınan kimlik bilgileri ile kazanılıyor. Kendinizi korumak için 'klavye yürüyüşlerinden' ('Qwerty' veya '12345' gibi), önemli bir tarih, hatta favori bir spor takımı veya sevilen kişinin adından kaçınma ihtiyacı gibi bazı belirgin kurallar vardır.
Bunlar büyük kırmızı bayraklardır çünkü tahmin etmek nispeten kolaydır. Peki, şifreleri daha karmaşık hale getiriyor mu?
Gücün görünüşte rastgele bir harf koleksiyonunda (bazıları büyük harfle yazılmış), sayılar ve özel karakterler olduğunu düşünebilirsiniz. Sorun şu ki, bu tür şifrelerin düşündüğünüz kadar rastgele olmaması. Kullanıcı davranışı, bir farklılıktan ziyade şifrelerde bir yakınsama yönlendiriyor: aynı eski desenler tekrar tekrar ortaya çıkması sayesinde daha benzer hale geliyorlar.
Bu neden oluyor? Bu karmaşık şifreler insanların hatırlaması zor olduğundan, genellikle aynı, tanıdık kalıpları varsayılan olarak güvenlik talepleriyle başa çıkmanın yollarını bulurlar. Örneğin:
Bu yaklaşıma göre, "karmaşık" kelimesi "komplike@ted1!" Olarak işlenebilir. Bu, varsayılan Active Directory şifre politikalarını karşılayarak çoğu kuruluşta toplanabilir.
Bununla birlikte, saldırganlar bilgisayar yazılımının tahmin etmesi kolay olan bu stratejilere çok aşinadır. Suçlular, bilgisini ve hibrit sözlük saldırılarını optimize ederek bilgilerini kendi yararlarına kullanırlar.
Kullanıcıların neden birden fazla hesap için aynı şifreyi kullanmaya cazip olabileceğini görmek kolaydır. Bitwarden, internet kullanıcılarının% 68'inin 10'dan fazla web sitesi için şifreleri yönettiğini ve bu kişilerin% 84'ünün şifre yeniden kullanımını kabul ettiğini buldu. Bu, bir şifrenin tehlikeye girme olasılığını büyük ölçüde artırır.
Active Directory'inizdeki tüm şifreleri güçlendirmenin basit bir yolu, onları daha uzun hale getirmektir, bu da onları kaba kuvvet ve hibrid sözlük saldırıları yoluyla çatlamayı zorlaştırmaktır.
Bu etkili olabilir - birçok yönden parola ne kadar uzun olursa, şifre o kadar güçlü olur. Ancak, bir kez daha karmaşıklık problemiyle karşı karşıyayız. Rastgele karakterlerin uzun dizeleri, son kullanıcıların hatırlaması çok zordur, potansiyel olarak bizi bir kareye geri koyar.
Çözüm, gerçekten hatırlayacağınız uzun parolalar tasarlamaktır. Passprases burada devreye giriyor. Bir örneğe bakalım: Aşağıda, sadece sekiz karakter uzunluğunda, diğeri neredeyse üç kat daha büyük, 21 karakterle iki potansiyel şifremiz var.
Buzdolabı
84 ”FHG#L
İkinci şifre daha karmaşık olduğu için daha güvenli değil mi? Şart değil.
İlk örneğin yanında uzunluk vardır. Belki daha da önemlisi, ikisinden hangisini gerçekten hatırlayacaksınız?
Çoğu kullanıcı için bu daha uzun cümle olacaktır.
ABD yetkilileri parolaların faydalarını fark ettiler. FBI, şifre uzunluğunun karmaşıklıktan daha önemli olduğunu bildiren Ulusal Standartlar ve Teknoloji Enstitüsü'nden (NIST) rehberliğe işaret ediyor. FBI, “Kısa karmaşık şifreler kullanmak yerine, birden fazla kelimeyi birleştiren ve 15 karakterden daha uzun olan parolalar kullanın… Güçlü parolalar kişisel veri ihlallerine karşı korunmaya yardımcı olabilir” diyor.
Parolalardan parolalara geçiş göz korkutucu görünebilir, ancak bazı basit yaklaşımlar yardımcı olabilir. Örneğin, İngiltere'nin Ulusal Siber Güvenlik Merkezi üç rastgele kelimenin birleştirilmesini önerirken, Kanada Siber Güvenlik Merkezi bir parola en az dört kelime ve 15 karakter uzunluğunda olması gerektiğini söylüyor.
Rastgele kelime jeneratörleri yardımcı olabilirken, son kullanıcıların kelimelerden birini kasten yanlış yazmasını bile önerebilirsiniz - hala unutulmaz olduğu sürece. İşte iyi parolalar oluşturmak için bazı ipuçları:
Sorunun bir kısmı, güvenli şifrelerin geliştirilmesinde yer alan rahatsızlıktır. Bu nedenle SpecOpts şifre politikası, yönetici bakış açısından basittir: daha uzun parolaları desteklemeyi veya daha geleneksel şifreleri tutmayı ve son kullanıcıya nasıl bilgi sunacağınıza karar vermeyi seçebilirsiniz.
Pürüzsüz ve anlaşılır bir kullanıcı deneyimi geliştirmek de çok önemlidir. SpecOps kimlik doğrulama istemcisi, kullanıcıların yeni politikayı karşılamalarına yardımcı olmak için gerçek zamanlı bilgiler de dahil olmak üzere dinamik geri bildirimler sunar. Ayrıca, daha uzun bir şifre seçtiklerinde sıfırlamalar arasında daha fazla zaman sağlayarak kullanıcıları 'ödüllendiren' uzunluğa dayalı yaşlanma da sunabilirsiniz.
Parolalardan minimal güçlükle parolalara geçiş yapmak istiyorsanız, SpecOps parola politikasının kuruluşunuza nasıl uyabileceğini öğrenmek için bugün bir uzmanla konuşun.
Sponspored ve SpecOps Software tarafından yazılmıştır.
Apple, iPhone'lar için yeni 'Parola' Şifre Yöneticisi Uygulamasını Açıklayacak
Neden (ve nasıl) tehdit aktörleri Active Directory'nizi hedefliyor?
Neden hizmet masaları tehdit aktörleri için açık hedefler olabilir
Kimlik bilgilerini güvence altına alarak yanal hareket saldırılarına karşı koruyun
Bu kurs paketinden 384 $ ile CISSP sertifikanız için tren
Kaynak: Bleeping Computer