Periyodik Parola Değişiklikleri NIST Tarafından Neden Önerilmiyor?
İşletmeler varlıklarını siber suçlulardan korumak için yıllardır parolalara güveniyor. Ancak parolalar artık kurumsal ağlar, sistemler, cihazlar ve tabii ki veriler için en büyük güvenlik tehditlerinden birini oluşturuyor.
2019'da şirketlerin %42'si parolaların ele geçirilmesi nedeniyle veri ihlali mağduru oldu. Bu durum 2021'de daha da kötüleşti ve kurumsal ihlallerin %61'i artık çalınan kimlik bilgileriyle ilişkili. Artık parolayla ilgili saldırılar yalnızca yaygın olmakla kalmıyor, aynı zamanda çok pahalıya da mal oluyor; olayların ortalama maliyeti yaklaşık 870.000 dolardır.
Kurumsal varlıkları ve kullanıcıları korumak için, birçok en iyi güvenlik uygulaması periyodik parola değişiklikleri önermektedir. Ancak bu eski "geleneksel bilgelik" National Institute of Standards and Technology (NIST, Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından önerilmemektedir. Nedeni de şöyle:
Parola Tabanlı Güvenliğin Riskleri
Genel olarak kurumsal güvenlik politikaları, kullanıcıların uzun parolalar oluşturmasını, parolaların harfler, rakamlar ve özel karakterlerin bir karışımını içermesini gerektirir. Kullanıcıların ayrıca başkalarının kolayca tahmin edemeyeceği parolalar oluşturması gerekir. Yani isimler, doğum günleri, yıl dönümleri, evcil hayvan isimleri vb. kesinlikle kullanılmamalıdır.
Ancak günümüzde parola güvenliğine yönelik bu yaklaşım yetersiz kalmaktadır. Geçtiğimiz birkaç yıl içinde bilgisayar korsanları milyonlarca sözcük içeren sözlükler oluşturmak için gerçek parola ihlallerinden bilgi topladılar. Daha sonra parolaları tahmin etmek ve çalmak için bu sözlükleri ve yeni kırma tekniklerini kullandılar. Kimlik bilgilerini kopyalayarak ek hesaplara erişebilir ve daha da fazla veriyi açığa çıkarabilirler.
Kullanıcılar karmaşık parolalar oluşturmak zorunda kaldıklarında bunları hatırlamakta zorlanmaktadır, bu da bir başka sorundur. Sonuç olarak kullanıcılar bunları bir yere yazıyor ya da görülebilecekleri veya çalınabilecekleri yerlerde saklıyorlar. Nihayetinde parolalar (veya bunlara karşılık gelen hash'ler) ele geçirildiğinde yetkisiz kullanımlarını kısıtlamak neredeyse imkansızdır.
Güvenlik uzmanlarının periyodik parola değişikliklerine karşı tavsiyede bulunmalarının başlıca nedeni, insanların bu kadar sık parola değiştirdiklerinde bir kalıba uyma eğiliminde olmalarıdır. Packetlabs'teki etik bilgisayar korsanlarının Summer2021, Fall2021, Spring2021 gibi parolalar görmesinin nedeni budur.
Parola kavramı 90'larda icat edilmiş bir şeydir ve parolaların öncülü, ezberlememiz gereken karmaşık bir şeydir. Bu iki şey birlikte iyi çalışmaz. Tüm bu nedenlerden dolayı kullanıcıları parolalarını düzenli olarak değiştirmeye zorlamak ya da parola uzunluğu ve karmaşıklığı konusunda katı politikalar uygulamak işe yaramıyor. İşte bu nedenle NIST ve hatta Microsoft gibi büyük kuruluşlar periyodik parola değişikliklerini zorunlu kılmayı önermemektedir.
Periyodik Parola Değişiklikleri Yerine NIST'in Alternatif Tavsiyeleri
NIST, parola geçerlilik süresi politikaları yerine daha iyi bir alternatife işaret ediyor: bir parola listesi kullanmak. İzin verilmeyen parola listesi, yasaklı parola listesi veya parola sözlüğü olarak da bilinen böyle bir liste, yaygın olarak kullanıldığı veya ele geçirildiği bilinen parola değerlerini içerir.
Kuruluşlar bu listeyi zayıf, güvensiz ve savunmasız parolaların ve bunların varyantlarının çalışanlar tarafından kullanılmasını ve daha da önemlisi siber suçlular tarafından ele geçirilmesini engellemek için kullanabilir.
NIST, aşağıdakilerin tümünün yasaklı parola listesine eklenmesini önermektedir:
- Sözlük kelimeleri
- Tekrarlayan karakterler (ör. 999)
- Sıralı karakterler (ör. 1234 veya abcd)
- Bağlama özgü kelimeler (ör. kullanıcı adı)
- Önceki ihlallerdeki parolalar
Azure AD Parola Koruması gibi parola listeleriyle güvenlik ekipleri, ağlarının veya sistemlerinin tehlikeye girmesine neden olabilecek kuruluşa özgü zayıf terimleri engellemek için özel bir yasaklı parola listesi oluşturabilir.
Yasaklı Parola Listelerinin Avantajları
Yasaklı bir parola listesi, parola tabanlı güvenlik yükünü bireysel kullanıcılardan alır. Bu önemlidir çünkü firmanın parola politikaları ne kadar güçlü olursa olsun (parolaları 30 günde bir değiştirmek, son üç parolayı kullanmamak...), insanlar her zaman parolalar için kısayollar arayacaktır. Çoğu zaman da bulacaklardır:
- Zorluğu en aza indirmek için önceki parolalarda yalnızca küçük/öngörülebilir değişiklikler yapar.
- Parolaları mümkün olduğunca yeniden kullanır.
- Yeni parolalarını unutur ya da daha kötüsü bir yerlere yazar.
- Parolaları başkalarıyla paylaşır.
Tüm bu uygulamalar kötü parola hijyenine katkıda bulunur ve bu da kurumu bilgisayar korsanlarına karşı daha da savunmasız hale getirir. Sık sık sona eren süreler ve eklenen karmaşıklık da kullanıcıları rahatsız eder ve üretkenliklerini etkiler. Ayrıca teknik destek ekibini de zorlar.
Yasaklı parola listeleri tüm bu zorlukları ortadan kaldırır. Bu nedenle, kullanıcıları sık sık uzun/karmaşık parolalar oluşturmaya veya periyodik parola değişiklikleri yapmaya zorlamak yerine NIST, yöneticilerin tüm zayıf veya güvenliği ihlal edilmiş parolaları en baştan engellemesini önerir. Azure AD Parola Koruması gibi bir araçla güvenlik ekipleri, kuruluşu bilinen riskli parolalara karşı proaktif olarak koruyabilir ve parola tabanlı risk veya veri ihlali olasılıklarını en aza indirebilir.
Sonuç
Periyodik parola değişikliklerinin kuruluşunuzun siber güvenliği üzerinde çok az olumlu etkisi olabilir veya hiç olumlu etkisi olmayabilir. Bunun nedeni, parola tabanlı saldırıların çoğunun kötü parolalar, paylaşılan parolalar, kimlik avı saldırıları veya kötü amaçlı yazılımlar gibi teknoloji tabanlı tehlikelerle ilgili olması ve parola yaşıyla çok az ilgisi olmasıdır.
Güçlü güvenlik, iyi bir parola hijyeniyle başlar. Ancak bu hijyeni her çalışanda ve her seferinde sağlamak neredeyse imkansızdır. Bu nedenle, yasaklı bir parola listesi oluşturarak savunmasız parolaları dışarıda tutmak daha mantıklıdır.
Parola tabanlı güvenliğin riskleri hakkında daha fazla bilgi edinmek için buradaki, buradaki ve şuradaki makaleleri inceleyebilirsiniz. Sızma testi, uygulama güvenliği testi veya yönetilen güvenlik kalite güvencesi ile kuruluşunuzun güvenlik altyapısını güçlendirmek için çözümler arıyorsanız Packetlabs ile iletişime geçebilirsiniz.
Not
Bu yazı, Packetlabs'in blog bölümünde yayımlanmış, 15 Eylül 2022 tarihli ve Why Periodic Password Changes are Not Recommended by NIST başlıklı makalenin daha çok kişiye ulaşması için izinsiz olarak ama kaynak göstermeye dikkat edilerek yapılmış bir Türkçe çevirisidir.
Mantıklı. Teşekkür ederim güzel akışı olan bir yazı.
YanıtlaSil