Merhabalar,

Bu yazımızda özellikle sistem yöneticileri için parola riskleri ve güvenliği stratejisi konusunda bilgi verilecektir.

Günümüzde birçok sisteme parolalar ile erişilmekte ve bu durum da parola güvenliğini daha önemli hale gelmektedir. Bu kapsamda bu yazıda öncelikle riskler daha sonra ise alınabilecek basit önlemler anlatılacaktır.

Riskler

  • Araya Girme (Interception): Parolalar bir ağ üzerinde seyahat ederken ele geçirilebilir.
  • KeyLogging: Parolalar gizlice yüklenen keylogger programları ile ele geçirelebilir.
  • Brute Force: Otomatize bir şekilde doğru şifre bulunana kadar deneme yanılma yöntemi ve tahmin gibi yöntemlerle parolalar bulunabilir.
  • Tahmin (Manuel Guessing): Sosyal medya vb. ortamlarda kişisel bilgileriniz (evcil hayvan adı vb.) ile ilgili verdiğiniz bilgiler sayesinde parolalarınız tahmin edilebilir.
  • Omuzdan Bakma (Shoulder Surfing): Parolanızı yazarken izinsiz bir şekilde çaktırmadan görülerek parolanız ele geçirilebilir.
  • Parola Çalma (Stealing Passwords): Not defterleri, güvensiz elektronik ortamlar vb. gibi yerlerde yazılı parolalar çalınabilir.
  • Hash Çalma (Stealing Hash): Bilgisayarlarda bulunan Hash dosyaları çalınarak parolalarımız ele geçirebilir.
  • Oltalama (Phishing): Sosyal mühendislik yolları ile parolalarınız ele geçirilebilir.
  • Veri sızıntıları (Data Breaches): Parolalarınız büyük veri sızıntısı olan veritabanlarında bulunabilir. Eğer sizin parolalarınız da bu büyük veri sızıntısı içinde ise parolanız ele geçirilebilir.
  • Password Spraying: Sayıca az ama sık kullanılan parolalar ile geniş sistemlere ulaşılıp, parolalarınız tahmin edilebilir.

Önlemler

  • Parolalara olan ihtiyacı azaltın.
    • Sadece ihtiyacınız olduğunda ve sadece uygun şekilde parolalarınızı kullanın.
    • Parola girmek yerine Single-Sign-On(SSO), biyometrik çözümler, donanımsal tokenler gibi alternatifler oluşturun.
    • Özellikle Internet tarafında kullandığınız parolalar için çoklu doğrulama (MFA-Multifactor Authentication) sistemleri oluşturun.
  • Bütün parolalarınızı koruyun.
    • Araya girme saldırılarına karşılık uygulama ve bağlantılarda HTTPS gibi güvenli protokolleri tercih edin.
    • Erişim yönetim sistemlerinizi (merkezi erişim yönetim sistemleri vb.) çok iyi koruyun.
    • Servislerinizi ve ürünlerinizi parolalarınızı SHA-256 gibi standartları kullanarak koruyanlardan seçin.
    • Kullanıcı veritabanlarına erişimleri güçlü bir şekilde şifreli hale getirin.
    • Uzak kullanıcı hesapları, administrator hesapları vb. gibi jritik hesapları özelleştirin yani her kullanıcının kendi özel hesabı olsun.
  • Teknik çözümler üretin.
    • Örneğin belirli bir denemeden sonra hesap kilitleme, ara verme, captcha gibi teknik çözümler brute force ataklarına karşı etkilidir.
    • Genel olarak hesap kilitlenmeden önce 5-10 arasında denemeye izin verin.
    • Sık kullanılan ve basit şifreleri yasaklayan, karmaşık şifreleri zorunlu hale getiren bir parola politikası belirleyin (Password blacklisting).
    • Güvenlik izleme sistemleri kurun.
  • Kullanıcılara daha sağlıklı ve güvenli parola oluşturulması için yol gösterin.
    • Değişik parola oluşturma ve üretme seçenekleri hakkında çözümler üretin.
    • Yeterli uzunlukta, kompleks olan ve kolay tahmin edilemeyen parolalar kullanın.
    • Parola üretme seçenekleri hakkında bilgi edinin ve parola üretme uygulamalarını inceleyip ona göre kullanın.
  • Bilgi güvenliği konusunda personel eğitimi
    • İş ve kişisel parolaların benzer olmasının risklerini çalışanlara anlatın.
    • Kullanıcılara tahmin edilmesi zor parolaların kullanımını tavsiye edin.
    • Kullanıcıların hesaplarının kullanıldığı sistemin kritikliğine göre ayarlanması gerektiğini belirtin.
    • Personelin periyodik eğitimini ve farkındalığı sağlayın.
  • Kullanıcıların “Password overload”-“parola yüklemesi” olmasını engelleyin.
    • Kullanıcıların parolalarını güvenle saklayabilecekleri sistemler oluşturun.
    • Kullanıcıların parolalarını süre dolması, süpheli işlem vb. durumlarda hemen iptal (expire) etmeyin. Bu tür durumlarda önce hemen kullanıcıyı bilgilendirin.
    • Parola paylaşımı yerine delegasyon yöntemini kullanın. Yani Parola paylaşmak yerine aynı sistemde hesap oluşturun.

Konu ile ilgili detaylı bilgiyi aşağıdaki kaynakta bulabilirsiniz.

https://www.ncsc.gov.uk/collection/passwords