Şifreler için yeni arayışlar

Siber güvenlik uzmanları, hepimizin uzun zaman önce ulaştığı sonucu doğruladı: mevcut şifre güvenliği yöntemleri sinir bozucu ve etkisiz.

Haber Özeti

Tam Sürüm

Müjde! Siber güvenlik uzmanları, hepimizin uzun zaman önce ulaştığı sonucu doğruladı: mevcut şifre güvenliği yöntemleri sinir bozucu ve etkisiz. ABD Ulusal Standartlar ve Teknolojiler Enstitüsü (NIST), insanları birkaç ayda bir şifrelerini değiştirmeye veya şifreye sayı ya da özel karakter eklemeye zorlamanın herhangi bir getirisi olmadığını söyledi.

NIST’in geçtiğimiz hafta paylaştığı sonuçlar, en iyi güvenlik uygulamalarını belirlemede yardımcı olacak. Araştırmanın en önemli sonuçlarından birisi, insanların farklı karakter kullanım talebine çok tahmin edilebilir yanıtlar verdiği yönünde. Örneğin sadece harf değil rakam da eklenmesi gerekiyorsa kullanıcılar I harfi yerine 1 rakamını ya da E harfi yerine 3 rakamını kullanıyor. Özel karakter kullanılması gerektiğinde ise şifrede yer alan bir S harfi $ şeklinde yazılıyor. Tüm bu değişiklikler hackerların da kolayca tahmin ettiği şeyler olduğundan hiçbir şifre bu değişikliklerle daha güvenli hale gelmiyor.

NIST’in önerisi ise insanların istediği şifreyi kullanmasına izin vermek ancak tahmin edilmesi çok kolay olan şifreleri kara listeye almak. Buna göre, kara listedeki şifreler şunlar olacak:

  • Daha önceki bir saldırıda ele geçirilmiş şifreler
  • Sözlükte bulunabilecek kelimeler
  • Tekrar eden ya da sıralı harf ve rakamlar (aaaaa ya da 1234abcd gibi)
  • Kullanıldığı ortamla ilgili kelimeler (bir hizmetin adı ya da kullanıcı adı gibi)

Önemli olan karmaşıklığı değil uzunluğu

Daha önceki araştırmalarda da şifrenin karmaşıklığının değil uzunluğunun şifreyi daha güvenli yaptığı belirtilmişti. Buna göre şifre olarak bir kelime seçip ona sayılar ya da özel karakterler eklemek yerine uzun bir cümleyi şifre olarak belirlemek daha güvenli olabilir. Ayrıca normal karakterlerden oluşan bir şifreyi hatırlamak daha kolay olacaktır.

Ayrıca insanların ezbere bildikleri bir şifrenin, ortada hiçbir güvenlik sorunu yokken periyodik olarak değiştirilmesini talep etmek de oldukça mantıksız ve kimseye bir faydası yok.

Çok faktörlü koruma

NIST raporu tüm bunların yanında, çok faktörlü şifre kullanımının daha güvenli olduğunu söylüyor. Bir kişinin kimliğini doğrulamak için hem şifre istemek hem de telefonuna bir doğrulama kodu göndermek oldukça etkili bir yöntem.

Öte yandan, güvenlik uzmanlarının bir diğer uyarısı da şifrelerin depolandığı yerin ya da tüm hesaplara erişim izni olan kişilerin de çok daha sıkı önlemlere tabi tutulması gerektiğini söylüyor. Bir sistem yöneticisinin şifresini kırmak, diğer tüm güvenlik önlemlerinin boşa uygulanmasına sebep oluyor.

Kaynak: Fortune

Müjde! Siber güvenlik uzmanları, hepimizin uzun zaman önce ulaştığı sonucu doğruladı: mevcut şifre güvenliği yöntemleri sinir bozucu ve etkisiz. ABD Ulusal Standartlar ve Teknolojiler Enstitüsü (NIST), insanları birkaç ayda bir şifrelerini değiştirmeye veya şifreye sayı ya da özel karakter eklemeye zorlamanın herhangi bir getirisi olmadığını söyledi. Bunun yerine daha uzun şifreler kullanmanın ve çok faktörlü güvenlik yöntemlerini tercih etmenin daha etkili olduğu belirtildi.

Yorum Ekle

Yorum yazmak için tıklayın

Yorumunuz:

e-Bülten Aboneliği