Parola Güvenliği için Önemli Adımlar

Dışarıdan gerçekleştirilen siber saldırılarda olduğu kadar kuruluş ağında yayılmak isteyen bir siber saldırgan için ele geçirilen parolalar çok önemlidir. Verizon tarafından 2017’de yapılan bir araştırma siber saldırıların %81’inde çalınan veya tahmin edilen parolalarının kullanıldığını göstermektedir. Parolanın kullanıldığı saldırıların önemli bir özelliği de genelde zararlı yazılım kullanmadıkları için antivirüs gibi mevcut siber güvenlik çözümlerinizin çok azı tarafından fark edilirler.

Bunu engellemek için tahmin edilmesi zor parola kullanılmasını öneriyoruz ancak buna rağmen bazı siber saldırı vektörlerinin önüne geçemiyoruz. Tahmin edilmesi zor parolanın oluşturduğu sorunlardan birisi kullanıcı direncidir; kimse hatırlaması zor parolalarla uğraşmak istemiyor. Bunun sonucu olarak ya kâğıda yazıyorlar ya da kendilerince bir “kolaylık” buluyorlar. Bundan 5-6 yıl kadar önce yaptığımız bir sızma testinde Parola1, Parola2, Parola3 gibi bir seriye denk gelmiştik (not: kök ‘Parola’ değildi). Ne olduğunu sorduğumda işe başlayanlara Parola1 parolasını belirlediklerini ve ilk girişte değiştirip sonrasında 6 ayda bir yine değiştirmelerini istediklerini söylemişlerdi. Bunun sonucunda kuruluş çalışanları kolayını bulmuş ve sadece sondaki rakamı değiştirerek yeni parolalarını belirlemişlerdi.

Üretim sektöründe faaliyet gösteren bir kuruluş bünyesinde yaptığımız testte ise kullanıcıların bazılarının firmanın jenerik ürününün adını içeren parolalar kullandığını görmüştük. Bu kuruluşu hedef alacak bir siber saldırıda kullanılacak bir olası parola listesinin içerisinde elbette jenerik ürünler ve kuruluş adı yer alacaktır.

Kurumsal parola güvenliği konusunda sorunlar bununla da sınırlı kalmıyor. Örneğin “NjHGYAPLkF2#17” tahmin edilmesi zor bir parola, 14 karakter, büyük ve küçük harflerden oluşuyor, rakam ve özel karakter içeriyor. Ancak biliyoruz ki bu parola birden fazla olayda sızdırıldı. Bunun sonucu olarak siber saldırganların deneyecekleri parolalar arasındaki yerini aldı.

A.B.D.’nin standartlar kurumu NIST (National Institute of Standards and Technologies) güçlü parola şartlarının bazılarını şöyle sıralar;

  • Başka olaylarda çalınmamış olmalıdır

  • Sözlükte bulunan bir kelime olmamalıdır

  • Tekrarlayan karakterler kullanılmamalıdır (örn. “aaaaaaaa” veya “1234abcd”)

  • Belli bir ürün veya hizmet adını içermemelidir.

Bu durumda kuruluşunuzun parola güvenliğinin tahmin edilmesi zor parola kullanmaktan ötesine geçmesi gerektiği ortadadır. Parola güvenliği için şunlara dikkat edilmelidir;

  • Daha önceki olaylarda ifşa olmuş parolaların kullanılmaması

  • Kullanıcı adını içeren parolaların kullanılmaması

  • Belli kelimelerin kullanılmaması (örn. Kuruluş adı, futbol takımı adı, vb.)

  • Parolanın son basamağının rakam olmaması

  • Klavye üzerinden tahmin edilebilir bir düzen kullanılmaması (örn. 1q2w3e4r)

  • Belirli sayıda tekrarlamayan karakter kullanılması

StealthINTERCEPT kurumsal parola güçlendirme ürünü yukarıda birkaçını saydığımız şartları takip etmenin dışında bu konuda oluşabilecek olumsuzlukları engeller ve SIEM çözümünüzle entegre olarak gerekli uyarıların oluşmasını sağlar.

https://www.stealthbits.com/free-trial adresinden StealthINTERCEPT’i ücretsiz olarak deneyebilirsiniz.

Parola güvenliğinin dışında; KVKK uyumluluğu, Active Directory ve LDAP güvenliği konusunda da ciddi faydalar sağlayan StealthINTERCEPT ürünü hakkında ayrıntılı bilgi almak veya ÜCRETSİZ Active Directory güvenlik denetimi hizmetimizden faydalanmak için bize buradan ulaşabilirsiniz.

Başa dön