Periyodik Parola Değişiklikleri NIST Tarafından Neden Önerilmiyor?

-
İşletmeler varlıklarını siber suçlulardan korumak için yıllardır parolalara güveniyor. Ancak parolalar artık kurumsal ağlar, sistemler, cihazlar ve tabii ki veriler için en büyük güvenlik tehditlerinden birini oluşturuyor.

2019'da şirketlerin %42'si parolaların ele geçirilmesi nedeniyle veri ihlali mağduru oldu. Bu durum 2021'de daha da kötüleşti ve kurumsal ihlallerin %61'i artık çalınan kimlik bilgileriyle ilişkili. Artık parolayla ilgili saldırılar yalnızca yaygın olmakla kalmıyor, aynı zamanda çok pahalıya da mal oluyor; olayların ortalama maliyeti yaklaşık 870.000 dolardır.

Kurumsal varlıkları ve kullanıcıları korumak için, birçok en iyi güvenlik uygulaması periyodik parola değişiklikleri önermektedir. Ancak bu eski "geleneksel bilgelik" National Institute of Standards and Technology (NIST, Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından önerilmemektedir. Nedeni de şöyle:

Parola Tabanlı Güvenliğin Riskleri

Genel olarak kurumsal güvenlik politikaları, kullanıcıların uzun parolalar oluşturmasını, parolaların harfler, rakamlar ve özel karakterlerin bir karışımını içermesini gerektirir. Kullanıcıların ayrıca başkalarının kolayca tahmin edemeyeceği parolalar oluşturması gerekir. Yani isimler, doğum günleri, yıl dönümleri, evcil hayvan isimleri vb. kesinlikle kullanılmamalıdır.

Ancak günümüzde parola güvenliğine yönelik bu yaklaşım yetersiz kalmaktadır. Geçtiğimiz birkaç yıl içinde bilgisayar korsanları milyonlarca sözcük içeren sözlükler oluşturmak için gerçek parola ihlallerinden bilgi topladılar. Daha sonra parolaları tahmin etmek ve çalmak için bu sözlükleri ve yeni kırma tekniklerini kullandılar. Kimlik bilgilerini kopyalayarak ek hesaplara erişebilir ve daha da fazla veriyi açığa çıkarabilirler.

Kullanıcılar karmaşık parolalar oluşturmak zorunda kaldıklarında bunları hatırlamakta zorlanmaktadır, bu da bir başka sorundur. Sonuç olarak kullanıcılar bunları bir yere yazıyor ya da görülebilecekleri veya çalınabilecekleri yerlerde saklıyorlar. Nihayetinde parolalar (veya bunlara karşılık gelen hash'ler) ele geçirildiğinde yetkisiz kullanımlarını kısıtlamak neredeyse imkansızdır.

Güvenlik uzmanlarının periyodik parola değişikliklerine karşı tavsiyede bulunmalarının başlıca nedeni, insanların bu kadar sık parola değiştirdiklerinde bir kalıba uyma eğiliminde olmalarıdır. Packetlabs'teki etik bilgisayar korsanlarının Summer2021, Fall2021, Spring2021 gibi parolalar görmesinin nedeni budur.

Parola kavramı 90'larda icat edilmiş bir şeydir ve parolaların öncülü, ezberlememiz gereken karmaşık bir şeydir. Bu iki şey birlikte iyi çalışmaz. Tüm bu nedenlerden dolayı kullanıcıları parolalarını düzenli olarak değiştirmeye zorlamak ya da parola uzunluğu ve karmaşıklığı konusunda katı politikalar uygulamak işe yaramıyor. İşte bu nedenle NIST ve hatta Microsoft gibi büyük kuruluşlar periyodik parola değişikliklerini zorunlu kılmayı önermemektedir.

Periyodik Parola Değişiklikleri Yerine NIST'in Alternatif Tavsiyeleri

NIST, parola geçerlilik süresi politikaları yerine daha iyi bir alternatife işaret ediyor: bir parola listesi kullanmak. İzin verilmeyen parola listesi, yasaklı parola listesi veya parola sözlüğü olarak da bilinen böyle bir liste, yaygın olarak kullanıldığı veya ele geçirildiği bilinen parola değerlerini içerir.

Kuruluşlar bu listeyi zayıf, güvensiz ve savunmasız parolaların ve bunların varyantlarının çalışanlar tarafından kullanılmasını ve daha da önemlisi siber suçlular tarafından ele geçirilmesini engellemek için kullanabilir.

NIST, aşağıdakilerin tümünün yasaklı parola listesine eklenmesini önermektedir:
  • Sözlük kelimeleri
  • Tekrarlayan karakterler (ör. 999)
  • Sıralı karakterler (ör. 1234 veya abcd)
  • Bağlama özgü kelimeler (ör. kullanıcı adı)
  • Önceki ihlallerdeki parolalar
Azure AD Parola Koruması gibi parola listeleriyle güvenlik ekipleri, ağlarının veya sistemlerinin tehlikeye girmesine neden olabilecek kuruluşa özgü zayıf terimleri engellemek için özel bir yasaklı parola listesi oluşturabilir.

Yasaklı Parola Listelerinin Avantajları

Yasaklı bir parola listesi, parola tabanlı güvenlik yükünü bireysel kullanıcılardan alır. Bu önemlidir çünkü firmanın parola politikaları ne kadar güçlü olursa olsun (parolaları 30 günde bir değiştirmek, son üç parolayı kullanmamak...), insanlar her zaman parolalar için kısayollar arayacaktır. Çoğu zaman da bulacaklardır:
  • Zorluğu en aza indirmek için önceki parolalarda yalnızca küçük/öngörülebilir değişiklikler yapar.
  • Parolaları mümkün olduğunca yeniden kullanır.
  • Yeni parolalarını unutur ya da daha kötüsü bir yerlere yazar.
  • Parolaları başkalarıyla paylaşır.
Tüm bu uygulamalar kötü parola hijyenine katkıda bulunur ve bu da kurumu bilgisayar korsanlarına karşı daha da savunmasız hale getirir. Sık sık sona eren süreler ve eklenen karmaşıklık da kullanıcıları rahatsız eder ve üretkenliklerini etkiler. Ayrıca teknik destek ekibini de zorlar.

Yasaklı parola listeleri tüm bu zorlukları ortadan kaldırır. Bu nedenle, kullanıcıları sık sık uzun/karmaşık parolalar oluşturmaya veya periyodik parola değişiklikleri yapmaya zorlamak yerine NIST, yöneticilerin tüm zayıf veya güvenliği ihlal edilmiş parolaları en baştan engellemesini önerir. Azure AD Parola Koruması gibi bir araçla güvenlik ekipleri, kuruluşu bilinen riskli parolalara karşı proaktif olarak koruyabilir ve parola tabanlı risk veya veri ihlali olasılıklarını en aza indirebilir.

Sonuç

Periyodik parola değişikliklerinin kuruluşunuzun siber güvenliği üzerinde çok az olumlu etkisi olabilir veya hiç olumlu etkisi olmayabilir. Bunun nedeni, parola tabanlı saldırıların çoğunun kötü parolalar, paylaşılan parolalar, kimlik avı saldırıları veya kötü amaçlı yazılımlar gibi teknoloji tabanlı tehlikelerle ilgili olması ve parola yaşıyla çok az ilgisi olmasıdır.

Güçlü güvenlik, iyi bir parola hijyeniyle başlar. Ancak bu hijyeni her çalışanda ve her seferinde sağlamak neredeyse imkansızdır. Bu nedenle, yasaklı bir parola listesi oluşturarak savunmasız parolaları dışarıda tutmak daha mantıklıdır.

Parola tabanlı güvenliğin riskleri hakkında daha fazla bilgi edinmek için buradaki, buradaki ve şuradaki makaleleri inceleyebilirsiniz. Sızma testi, uygulama güvenliği testi veya yönetilen güvenlik kalite güvencesi ile kuruluşunuzun güvenlik altyapısını güçlendirmek için çözümler arıyorsanız Packetlabs ile iletişime geçebilirsiniz.

Not

Bu yazı, Packetlabs'in blog bölümünde yayımlanmış, 15 Eylül 2022 tarihli ve Why Periodic Password Changes are Not Recommended by NIST başlıklı makalenin daha çok kişiye ulaşması için izinsiz olarak ama kaynak göstermeye dikkat edilerek yapılmış bir Türkçe çevirisidir.

Yorumlar

Yorum Gönder

sen de yaz yaz yaz buraya yaz bütün sözlerini

Bu blogdaki popüler yayınlar

Diğer Dillerde Hoşçakal

-
Resim
Türkçe konuşurken araya diğer dillerden kelimeler katmamaya elimden geldiği kadar özen gösteriyorum. Bunun tek istisnası, arkadaş ortamındaki vedalaşmalarda diğer dillerden ödünç aldığım hoşçakallar oluyor sadece. Belki vedalaşmanın hüznünü şakayla boğmak, belki de sadece şımarıklık, bilmiyorum ama ara sıra yapıyorum. Farklı dillerde hoşçakal demekle ilgili Türkçe yazı var mı diye baktım ve bu yazıyı okumanızdan da anlayabileceğiniz üzere bir tane bulamayarak bu yazıyı yazmaya başladım. Farklı yapı ve etimolojilerine rağmen dillerdeki veda ifadeleri, tekrar buluşmayı umut eden benzer mesajlar iletme eğilimindedir. Bunlardan kullandıklarımı, benim de yeni öğrendiklerimi ve bunların Türkçe ile ilişkilerini özetlemeye çalışacağım ama şunu da baştan söyleyeyim ben veda etmeyi beceremem . adiós, adieu, addio, adeus Fransızca'daki adieu'nun yanı sıra, İspanyolca'da adiós, İtalyanca'da addio ve Portekizce'de adeus vardır. Adieu, a + Dieu birleşiminden oluşur ve Al
Devamı

Mızıka Tabları Nasıl Okunur

-
Resim
Mızıka tabları, hangi deliğin çalınacağını, bir üfleme mi yoksa nefes çekme mi olacağını, bend veya başka bir tekniğin gerekli olup olmadığını söyler. İnternet üzerinde bulunan çoğu kaynakta, düz sayılar üflemeli notaları, eksi işaretli sayılar da nefes çekmeli notaları gösterir. (Görsel Mızıka Türkiye 'den alınmış, küçük değişiklikler yapılmıştır.) Üflemeler ve nefes çekmeler 1 birinci deliğe üflenecek demektir -1 birinci delik üzerinden nefes çekilecek demektir Çift duraklar 1,2 birinci ve ikinci deliğe aynı anda üflenecek demektir -1,2 birinci ve ikinci delik üzerinden aynı anda nefes çekilecek demektir Bendler -3' yarım adım bend yapılarak üçüncü delik üzerinden nefes çekilecek demektir -3" tam adım bend yapılarak üçüncü delik üzerinden nefes çekilecek demektir -3'" bir buçuk adım bend yapılarak üçüncü delik üzerinden nefes çekilecek demektir Sayıların önünde eksi işareti olmadığında nefes çekme yerine üfleme yapılacak demektir ve üflemeli
Devamı

conio.h

-
Not:  Bu, 31.10.2013'te yazılmış bir yazıdır, conio.h hakkında yapmak istediğim bir şeyler vardı o zamanlar ve öncesinde böyle bir yazı yazmanın daha iyi olacağını düşünmüşüm. Artık bu yapmak istediğim şeylerden vazgeçtim ama burada da çöpe atılmayacak kadar bilgi var, o yüzden tekrar bir okuyarak olduğu gibi yayına alıyorum. conio.h, çoğunlukla MS-DOS derleyicileri tarafından konsol girdi/çıktı işlemleri için sunulan bir başlık dosyasıdır. Ne C Programlama Dili kitabında geçer, ne C standart kütüphanesinin veya ANSI C 'nin bir parçasıdır, ne de POSIX 'te tanımlanmıştır. Yine de yararlandığımız çeşitli yıllanmış kaynaklarda geçmesiyle karşılaşmaya bugün bile devam ederiz. Ama artık sık kullanılmadığı ve böyle de olması gerektiği için kullanmakta ısrar edersek biraz zorluk çekmemiz olası. Bu kütüphaneyi mantıklı olarak artık kullanmamak, başkalarına kullandırtmamaktan elbette daha kolay. Bu kütüphaneyi ne olursa olsun kullanması gerektiğine fazlasıyla ikna olmuş kişi
Devamı