Kimse şifreleri sevmez ama bununla ilgilenmemiz gerekecek. Çünkü tahminlere rağmen şifre ölmedi. Yüz tanıma teknolojisi ve parmak izleri gibi biyometrik verilerle değiştirme girişimleri tamamen tatmin edici değildir, pek çoğu eski güzel (kuşkusuz sinir bozucu) şifreye geri döner.
Çoğu uzman, en az üç türden karakterlerle en az 8-12 karakter kullanılmasını, düzenli olarak değişen şifreler kullanılmasını ve en fazla beş yanlış denemeden sonra hesap erişiminin engellenmesini önerir. Ancak bu tavsiyeler en iyi ihtimalle eksik, en kötü ihtimalle tamamen yanlıştır! Ve hala bu modası geçmiş politikaları izleyen herkes, risk seviyelerini azaltmak yerine artırıyor. Ayrıca, en son Verizon Veri İhlali Soruşturma Raporuna (DBIR) göre, gözlemlenen veri güvenliği ihlal vakalarının yaklaşık %50’si çalınan parolalardan kaynaklanıyor. Ancak, milyonlarca kullanıcı adını ve parolayı tehlikeye atmak için bir şirketin verilerinden yalnızca bir kez başarılı bir şekilde ödün verilmesi yeterlidir.
Bu nedenle şirketler, en azından şimdilik, kritik altyapılarına yetkisiz erişime karşı en iyi savunma hattının güçlü bir parola politikası olduğunu anlamalıdır. Ancak dağıtılacak en iyi uygulamalar ve parola kuralları nelerdir?
En İyi 15 Parola Yönetimi En İyi Uygulaması
1. Uzun ve karmaşık bir parola oluşturun. Bir parolanın, büyük ve küçük harfler, sayısal değerler ve simgeler içeren sekiz karakterden güçlü olduğu söylenir. Amerika Birleşik Devletleri’nde, NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), boşluklar dahil 64 karakterden oluşan, hatırlaması kolay ancak kırılması daha zor olan uzun parolalar oluşturmanızı önerir.
2. Parolaları şifreleyin. Şifreleme, siber suçlular tarafından çalındığında bile parolaların korunmaya devam etmesini sağlar. En iyisi, geri alınamaz uçtan uca şifrelemeyi seçmektir.
3. İki faktörlü kimlik doğrulamayı uygulayın. Kullanıcıların, geleneksel tanımlayıcılara (kullanıcı adı + parola) ek olarak, akıllı telefonlarına alınan benzersiz bir kodu girerek veya kişiselleştirilmiş bir USB belirteci kullanarak kimliklerini doğrulaması gerekir.
4. Gelişmiş kimlik doğrulama yöntemleri ekleyin. Çok faktörlü kimlik doğrulamanın bir parçası olarak, biyometrik doğrulama yöntemlerinin yerine parola koymak mümkündür. Böylece merkezi sistem çalışanları yüz, parmak izi, ses, iris veya nabzına göre tanıyabilir.
5. Parolayı test edin. Çevrimiçi şifre gücü test cihazları var. Microsoft tarafından sunulan araç, kırılması daha zor olan parolaların oluşturulmasına yardımcı olur.
6. Sözlük kelimelerinden kaçının. Bazı bilgisayar korsanları, birden çok dilde on binlerce sözlük kelimesini arama yeteneğine sahip gelişmiş programlar kullanır. Bu nedenle, sözlükteki sözcükleri içeren parolalardan kaçınmak daha iyidir.
7. Birden fazla hesap için aynı şifreyi kullanmayın. Bu önlem, bir hesabın ele geçirilmesi durumunda, aynı tanımlayıcılara sahip diğer hesapların daha sonra ele geçirilmesini önlemek için vardır.
8. Akıllı telefonunuza güvenli erişim. Güçlü bir parola seçmek ve/veya yüz veya parmak izi tanıma özelliğini kullanmak için akıllı telefonunuzun güvenliğini sağlamanız önerilir.
9. Kişisel şifrelerinizi düzenli olarak değiştirmekten kaçının. Son yıllarda büyük beğeni toplayan uygulama, bugün artık geçerliliğini yitirmiştir. NIST artık kişisel parolaların zorunlu rotasyonunun uygulanmamasını önermektedir (bu, ayrıcalıklı tanımlayıcılar için geçerli değildir). Kolaylık sağlamak için, kullanıcılar unutma korkusuyla aynı parolaları tekrarlar veya bir yere yazar. Bu nedenle NIST, çalışanlardan yalnızca kanıtlanmış bir risk, tehdit veya uzlaşma durumunda parolaları değiştirmelerini istemenizi önerir.
10. Bir çalışan her ayrıldığında şifreleri değiştirin. Hoşnutsuz bir eski çalışanın, ayrılmak zorunda kaldığı şirkete sırt çevirmesi alışılmadık bir durum değil. Bu nedenle, her kalkışta şifreleri sistematik olarak değiştirmek daha iyidir.
11. Ayrıcalıklı kullanıcı hesaplarını koruyun. Ayrıcalıklı hesap parolalarını korumak için ayrıcalıklı erişim yönetimi yazılımı mevcuttur. Kişisel şifrelerin aksine, ayrıcalıklı tanımlayıcılar, aşırı hassas bilgilere erişim sağlayan tanımlayıcıların her kullanımından sonra bile düzenli olarak değiştirilmelidir. Bu tanımlayıcıları, kullanıcı tarafından okunmadan doğrudan enjekte etmek de daha iyidir.
12. Mümkün olduğunca bağlantıyı kesin. Artık kullanmadığınız uygulamalardan her zaman bağlantınızı kesmelisiniz.
13. Parolaları saklamayın. Bir parolayı her yazdığınızda veya bir yere kaydettiğinizde, bilgilerin çalınması ve kullanıcının zararına kullanılması riski vardır.
14. Her şeyden önce güvenliği ihmal etmeyin. Bir bilgisayar korsanı tarafından yüklenen bir program klavyede yazılanları gözetlerse, hiçbir şey yardımcı olmaz. Bu girişimlere karşı koymak için, siber suçluların ortama sızabileceği ihlalleri önlemek ve azaltmak için güncel kötü amaçlı yazılımdan koruma ve güvenlik açığı yönetimi çözümleri bulunmaktadır.
15. Kişisel veya ayrıcalıklı (kurumsal) şifre yöneticileri kullanın. Parola yöneticisi ile yalnızca bir parolanın hatırlanması gerekir.
Parola yönetimi uzun bir yol kat ederken, parolalar zaman içinde çok az değişti. Zayıf, kolayca kırılan veya çalınan parolalar, veri güvenliğinin aşılmasının birincil vektörlerinden biridir. Bu nedenle şirketler, parola güvenlik politikalarını ve parola yönetimini gözden geçirmek ve geliştirmekle ilgilenir. Buradaki en iyi uygulamalar, güçlü parola güvenlik kuralları oluşturmalı ve yetkisiz erişime karşı korumayı güçlendirmelidir.