Pek çok işletme, akla gelebilecek en kolay kırılabilir dizileri kullanmaya devam ederken, kurumsal parolalar hala endişe verici bir oranda ihlal ediliyor.
yıllık Zayıf Şifre Raporu (yeni sekmede açılır)şifre yönetim firması Specops Software, 800 milyondan fazla ihlal edilmiş şifreyi analiz etti ve bunların “hala bir kuruluşun ağındaki en zayıf halka” olduklarını buldu.
Şaşırtıcı olmayan bir şekilde, kırılanların %88’i 12 veya daha az karakterden oluşuyordu ve en yaygın ifadeler “şifre”, “yönetici”, “hoş geldiniz” ve “p@ssw0rd” idi. Yaklaşık %20’si ayrıca özel olarak küçük harfli karakterler içeriyordu.
Yeterince güçlü değil
Belki de daha şaşırtıcı olan, NIST ve PCI gibi standartlar doğrultusunda güçlü kabul edilen parolaların bile tehlikeye atılan parolaların %83’ünü oluşturması.
Specops Ürün Müdürü Darren James, “Bu, kuruluşların parola en iyi uygulamalarını ve endüstri standartlarını takip etmek için ortak çaba sarf ederken, parolaların güçlü ve benzersiz olmasını sağlamak için daha fazlasının yapılması gerektiğini gösteriyor” dedi.
“Modern parola saldırılarının karmaşıklığıyla, hassas verilere erişimi korumak için her zaman ek güvenlik önlemleri gerekir” diye ekledi.
Kaba kuvvet saldırıları, tehdit aktörleri için olağandı, ortak ve ihlal edilmiş parolaları inceliyor ve sonunda bir firmanın hesabına erişim elde edene kadar bunları bir iş e-postası ile birlikte kullanıyorlardı.
Hatta rapor, 2016’da MySpace’in ihlali sırasında sızan parolalar gibi eski parolaların bilgisayar korsanları tarafından hâlâ başarılı bir şekilde kullanıldığını ortaya çıkardı.
Ayrıca, Nisan 2022’de birçok çalışanın hesaplarını ‘Nvidia’, ‘qwerty’ ve ‘nvidia3d’ gibi zayıf parolalarla güvence altına aldığı Nvidia ihlalinden de bahsediliyor ve bu da büyük ve önde gelen firmaların bile kötü parola uygulamalarından suçlu olduğunu gösteriyor.
James, sorunu çözmek için işletmelerin öncelikle “Windows etki alanı ağları için evrensel kimlik doğrulama çözümü olan Active Directory’yi” korumasını öneriyor. Ardından, güçlü ve benzersiz parolalar oluşturmak ve kullanımını sağlamak için parola yöneticileri ve parola oluşturucular gibi üçüncü taraf yazılımlar kullanılmalıdır.