Parola yeniden kullanımı küçük bir sorun gibi görünebilir-doğru eğitim ile düzeltilebilen kötü bir son kullanıcı alışkanlığı. Ancak bu küçük kolaylık eylemi, bir kuruluşun siber güvenlik için geniş kapsamlı sonuçlara sahip olabilir. Bir son kullanıcı birden fazla hesapta bir şifreyi yeniden kullandığında, bilgisayar korsanlarının sömürmesi için altın bir fırsat yaratır.
Kuruluşların güçlü şifre politikaları olabilir, ancak şifre yeniden kullanımı yaygınsa bu yanlış bir güvenlik duygusu yaratabilir. Bu riskin nasıl oynandığını, çözmenin neden zor olduğunu ve BT takımlarının sorunla mücadele için neler yapabileceğini keşfedeceğiz.
Diyelim ki kuruluşunuzdaki her kullanıcıdan rastgele kelimelerden oluşan güçlü bir 15 artı karakter parola oluşturması isteniyor. Hatta en yaygın kullanılan şifrelerin bir listesine bile bakıyorsunuz. Yüzünde, Active Directory'niz güçlü şifrelerle doludur. Sorunlar, bir son kullanıcı bu parolayı daha az güvenli bir kişisel cihaz, web sitesi veya uygulamada yeniden kullandığında başlar.
Bir hacker, zayıf güvenliğe sahip bir web sitesinin veritabanını ihlal edebilir ve her kullanıcının şifrelerine erişebilir. Oradan, bireylerin nerede istihdam edildiğini bulmaya ve çalışma hesaplarına erişmeye çalışabilirler. Saldırganlar, kimlik avı gibi sosyal mühendislik saldırıları olan bireyleri hedefleyerek kimlik bilgileri de kazanabilirler.
Meyveden çıkarılan şifreyle donatılmış bilgisayar korsanları, hedefin çalışma yeri ile ilişkili olanlar da dahil olmak üzere çeşitli web sitelerinde ve uygulamalarda çalınan kullanıcı adını ve şifre kombinasyonunu sistematik olarak denemek için otomatik araçlar kullanır. Bu, bir kuruluşun e -posta hesaplarını, dahili sistemleri, dosya depolarını ve hatta risk altındaki idari ayrıcalıkları ortaya koyar.
Kuruluşun ağına girdikten sonra saldırgan, farklı sistemleri keşfederek ve ayrıcalıklarını artırarak yanal olarak hareket edebilir. Bir saldırgan hassas verilere erişebilir, ek hesaplardan ödün verebilir, kötü amaçlı yazılım yükleyebilir veya ağ içinde daha fazla saldırı başlatabilir. Hassas verileri dışarı atabilir, bilgileri manipüle edebilir veya silebilir, işlemleri bozabilir veya kuruluşun fidye için verileri rehin tutabilirler.
Hepsi oluşturulduğunda güvenli kabul edilen yeniden kullanılan bir şifreden.
Şifre yeniden kullanımı, kasıtlı bir arzusuz olma arzusundan ziyade öncelikle kolaylık arzusu tarafından yönlendirilir. Son kullanıcılar, çok sayıda karmaşık şifreyi yönetme zahmetinden kaçınmak için hatırlanması kolay olan parolaları seçme ve genellikle birden fazla hesapta geri dönüştürme eğilimindedir.
Birden fazla şifreyi hatırlamak ve yönetmek için son kullanıcılar üzerindeki artan yükü düşündüğümüzde şaşırtıcı değildir.
İnsanlar yönetmeleri gereken çok sayıda hesap ve şifre tarafından boğulur ve bu yorgunluk şifre yeniden kullanımı gibi kısayollara yol açar.
Son kullanıcılar eğitim yoluyla risklerden haberdar olsalar bile, genellikle şifreleri yeniden kullanma rahatlığına öncelik vermeye teşvik eden 'Ben Olmayacağım' bir tutumu vardır. Yakın tarihli bir Bitwarden araştırması, insanların% 84'ünün aynı şifreyi birden fazla hesapta kullandığını itiraf ettiğini ortaya koydu.
Bu davranışı değiştirmek, son kullanıcı eğitim ve güvenlik bilinci eğitimi gerektirir-teknolojinin desteğine ihtiyaçları vardır.
Parola yeniden kullanımı sorununu ele almak, son kullanıcı eğitimini, teknik çözümleri ve organizasyon politikalarını birleştiren çok yönlü bir yaklaşım gerektirir. Kullanıcı davranışlarında bir değişim, gelişmiş farkındalık ve şifrelere güvenmeyi azaltmak için güvenli kimlik doğrulama yöntemlerinin benimsenmesini gerektirir.
Güvenlik ve rahatlık arasında hassas bir denge vardır. Kuruluşların şifre yeniden kullanımını azaltmak için güçlü güvenlik önlemleri uygulaması gerekir, ancak kullanıcı deneyimini de dikkate almalı ve üretkenliği engelleyen veya kullanıcıları hayal kırıklığına uğratan aşırı engeller oluşturmaktan kaçınmalıdır.
Çalışanları şifre yeniden kullanımı riskleri ve güçlü şifre hijyeninin önemi konusunda eğitmek için düzenli siber güvenlik eğitim oturumları yapın. Güçlü, benzersiz şifrelerin bile kuruluşunuzu riske atabileceğini anlamalıdırlar.
MFA'yı ek bir güvenlik katmanı olarak ayarlayın. Kullanıcıların, şifre ve mobil cihazlarına gönderilen benzersiz bir kod gibi birden fazla kimlik doğrulama biçimi sağlamasını isteyerek, bilgisayar korsanlarının bir hesabı tehlikeye atması çok daha zordur. Bununla birlikte, MFA'nın yanılmaz olmadığını ve zayıf şifreleri telafi edemeyeceğini unutmayın.
Parola yöneticileri, farklı hesaplar için karmaşık şifreleri güvenli bir şekilde depolar ve oluşturur ve bir son kullanıcının yalnızca bir ana şifre hatırlamasını gerektirir. Bu, birden fazla şifreyi hatırlama ihtiyacını ortadan kaldırır ve şifreleri yeniden kullanma cazibesini azaltır. Tabii ki, bir son kullanıcı ana şifrelerini yeniden kullanırsa, tüm hesaplarını riske atar.
Parola yeniden kullanımına karşı en iyi savunma, aktif dizin şifrelerinizi kapsamlı bir tehlike parola veritabanına karşı sürekli olarak tarayan bir çözüm uygulamaktır. Bazı çözümler, son kullanıcıların tehlikeye atılmış şifrelerle çalıştığı önemli zaman pencereleri bırakabilen sıfırlama veya son kullanma etkinliklerini periyodik olarak kontrol eder.
İhlal edilen şifre koruması ile specops şifre politikası, kuruluşlara uzlaşılmış şifreleri gerçek zamanlı olarak tespit etme, kullanıcıların şifrelerini özelleştirilmiş bildirimlerle değiştirmeleri ve yetkisiz erişim riskini büyük ölçüde azaltma olanağı sunar.
Active Directory şifrelerini SpecOps Parola Politikası'nın bilinen 4 milyardan fazla ihlal edilen parola veritabanına karşı sürekli olarak tarayarak, kuruluşlar şifre yeniden kullanımına karşı proaktif olarak savunabilir, şifre uyumluluk gereksinimlerini karşılayabilir ve güvenlik olaylarına hızlı bir şekilde yanıt verebilir.
Active Directory'nizdeki yeniden kullanılan şifrelerin gizli tehlikesinden endişe duyuyor musunuz?
Bugün bir uzmanla, SpecOps parola politikasının kuruluşunuza nasıl uyabileceği hakkında konuşun.
Sponspored ve SpecOps Software tarafından yazılmıştır.
Şifreler Kuruluşunuza Maliyeti Para Para Para - Bu Maliyetler Nasıl En aza indirilir
Siber güvenlik eğitimi yapışmıyor mu? Riskli şifre alışkanlıkları nasıl düzeltilir
NIST eğitim kursundan 120 $ ile BT Risk Yönetimi'ni eğitin
Beyaz Saray, geliştiricileri bellek güvenli programlama dillerine geçmeye çağırıyor
Targus, bilgisayar korsanları dosya sunucularında tespit edildikten sonra siber saldırıyı açıklar
Kaynak: Bleeping Computer