Parolalar, yarım yüzyıldan daha uzun bir süre önce, en başından beri BT’nin bir parçası olmuştur. Parolaların benzeri görülmemiş bir uzun ömürlülüğü olduğu göz önüne alındığında, parola güvenliği en iyi uygulamalarının mükemmellik noktasına kadar geliştirileceği ve parola kullanımı için yaygın olarak belirtilen en iyi uygulamaları izlemenin parolaları güvende tutmanın garantili bir yolu olacağı görülüyor.
Olsa bile, Specops Software’in ilk yıllık Zayıf Parola Raporu kuruluşunuzun parolaları yönetme şeklini yeniden düşünmenize neden olabilecek bazı ilginç sonuçlar verdi.
1. Şifre Uzunluğu Şifre Güvenliğini Garanti Etmez
Tüm parola en iyi uygulamalarının en uzun süredir devam edenlerinden biri, parolaların en az sekiz karakter uzunluğunda olması gerektiği fikridir. Bu iyi niyetli en iyi uygulama, daha uzun parolaların kırılması için daha fazla hesaplama kaynağı gerektirdiği fikrine dayanmaktadır.
Bununla birlikte, bununla ilgili sorun, sızdırılmış parola veritabanlarının, siber suçluların, parolayı gerçekten kırmak zorunda kalmadan bir parolayı ortaya çıkarmak için kullanılabilecek arama tabloları oluşturmasına izin vermesi, böylece parola uzunluğunu çok daha az sorun haline getirmesidir. siber suçlular
Bu fikir, kaba kuvvet saldırılarında kullanılan parolaların %93’ünün en az sekiz karakter içerdiğini tespit eden 2022 Zayıf Parola Raporu’na yansıdı. Benzer şekilde, gerçek dünya saldırılarında kullanılan şifrelerin %41’i on iki veya daha fazla karakter uzunluğundadır. Bu istatistikler, uzun şifrelerin bile sızdırılabileceği fikrinin altını çiziyor.
2. Parola Genellikle Mevsimseldir veya Pop Kültüründen Etkilenir
Zayıf Parola Raporu, parolaların genellikle mevsimlik olduğunu ve parolaların popüler kültürden etkilenmesinin de yaygın olduğunu buldu. Örneğin, mevsimlik şifrelerin %42’si “yaz” kelimesini içeriyordu.
Ve şifre kullanımını etkileyen sadece yılın mevsimleri değil. Beyzbol sezonu başka bir sezon türüdür ve rapor, Cincinnati Reds’in ihlal edilen şifre listelerinde yaklaşık 150.000 kez göründüğünü tespit etti. Benzer şekilde, Los Angeles Angels, Tampa Bay Rays, New York Mets ve Minnesota Twins de yaygın olarak sızdırılan şifre listelerinde bulundu.
Şaşırtıcı olmayan bir şekilde, spor takımları, parolalarda yaygın olarak bulunan tek popüler kültür referansı olmaktan uzaktır. AC/DC, Kiss ve Metallica gibi en çok satan müzik sanatçıları ve Star Wars, Spider-Man ve Avatar gibi gişe rekorları kıran filmler genellikle parolalara dahil edildi. Merak edenler için sızdırılan şifreler içinde en çok başvurulan film, neredeyse 96.000 kez gösterime giren Rocky oldu.
Tabii ki, şifrelerde sadece film isimleri değil, aynı zamanda o filmlerdeki favori karakterler de vardı. Bu, özellikle Star Wars filmleri ve fandomların kötü şöhretli bir şekilde adanmış olduğu çeşitli süper kahraman filmleri için geçerliydi.
3. Şifre Karmaşıklığı Kimlik Bilgisi Hırsızlığını Önlemez
Uzun süredir devam eden bir diğer en iyi uygulama, parola karmaşıklığı gerektirmektir. Örneğin bir kuruluş, büyük ve küçük harf, sayı ve sembollerin bir karışımını gerektirebilir. Buna rağmen, Zayıf Parola Raporu, gerçek saldırılarda kullanılan parolaların %68’inin en az iki farklı karakter türü içerdiğini buldu. Büyük ve küçük harf ve rakamlardan oluşan 20 milyonun üzerinde şifre sızdırıldı; büyük ve küçük harfler, sayılar ve özel karakterler içeren 1,5 milyondan fazla şifre sızdırıldı.
Yalnızca büyük ve küçük harf ve rakamlardan oluşan, büyük ve küçük harf, sayı ve simgelerin birleşiminden 13 kat daha fazla sayıda sızdırılmış parola olması gerçeği, başlangıçta bu karmaşıklığı düşündürebilir, ancak kusursuz değildir. , şifre güvenliği konusunda gerçekten yardımcı oluyor.
Bununla birlikte, daha olası açıklama, daha karmaşık parolalar kullananların, genellikle kimlik hırsızlığına yol açan riskli davranış türlerinden kaçınma olasılıklarının daha yüksek olmasıdır.
4. Parola Aşırı Yüklemesi Büyük Bir Sorun
Rapor ayrıca parolanın yeniden kullanımının büyük bir sorun olduğunu da ortaya koydu. Specops, parolaların günlük yaşamlarında oynadığı rolü öğrenmek için yakın zamanda 2000’den fazla kullanıcıyla anket yaptı.
Ankete katılanların %48’i iş için hatırlamaları gereken 11 veya daha fazla şifreleri olduğunu belirtiyor. %71’i kişisel kullanım için hatırlamaları gereken 11 veya daha fazla parolası olduğunu söyledi. Anket, bu katılımcıların 361’inin birden fazla sistemde aynı veya benzer şifreyi kullanmayı kabul ettiğini buldu.
Bu muhtemelen, kullanıcıların çok sayıda farklı şifreyi hatırlamaları gerektiği gerçeğine atfedilir.
5. Kuruluşlar Parolaları Güvende Tutmak İçin Çok Daha Fazlasını Yapıyor Olabilir
Uzun süredir yerleşik en iyi uygulamalara uyan milyonlarca şifreyi içeren sızdırılmış bir şifre veritabanının olduğu basit gerçeği, kuruluşların şifrelerini güvende tutmak için daha fazlasını yapmaları gerektiğini açıkça göstermektedir. Buna rağmen, 2022 Zayıf Parola Raporu, kuruluşların %54’ünün iş parolalarını yönetmek için bir araca sahip olmadığını tespit etti. Ek olarak, kuruluşların %48’inde hizmet masası için, hizmet masasını sosyal mühendislik risklerine maruz bırakan bir kullanıcı kimliği doğrulama mekanizması bulunmamaktadır.
Kuruluşların parola kullanımını daha iyi ele almalarının bir yolu, Specops Password Auditor’ı indirin.
Bu ücretsiz, salt okunur araç, kuruluşların Active Directory hesaplarını 813 milyondan fazla bilinen ihlal edilmiş parola için denetlemesine, parola raporları oluşturmasına ve kullanıcı parolalarının kurumun gereksinimleriyle uyumlu olduğundan emin olmasına olanak tanır.