Nasıl oluyor da altı basamaklı bir parola dizisiyle bir çevrimiçi hesabı “güvenli” hâle getirmek hâlâ mümkün?
NordPass’ın dünya çapında veri ihlallerinde ortaya çıkan parolalarla ilgili son yıllık raporuna göre “123456” dünya çapında hâlâ en çok kullanılan parola. “123456789”, “12345678”, “12345” ve “admin” gibi diğer tahmin edilebilir seçimlerin de her yıl popülerliğini koruduğu görülüyor.
İlk içgüdüm, bunu korku tacirliği olarak görmezden gelmek, özellikle de zayıf parola hijyeni konusunun, yakın zamanda RSAC konferansında sunduğum “Siber Güvenlikte Değişmesi Gereken 4 Şey” başlıklı topluluk katılım oturumunun da bir parçası olduğunu düşünürsek.
Ancak bugün Dünya Parola Günü olduğu için bunu test etmek zorundaydım. Hâlâ “123456” parolasını kullanarak hesap oluşturmama izin veren makul ölçüde yaygın bir web sitesi bulabilir miyim? Ne yazık ki cevap evet.
Platformlarda parola politikaları yetersiz
“Evite” gibi popüler siteler, hâlâ bu altı basamaklı dizinin parola olarak kullanılmasına izin veriyor. Davetiyelerinizde kişisel verilerinizi paylaştığınızı ve tüm davetlilerinizin yanıtlarını güvenli olmayan bir hesap üzerinden yönetme ihtimaliniz olduğunu fark edene kadar, bunu sadece bir e-davet hizmeti olarak görmezden gelebilirsiniz. Bu çok basit testin şok edici yanı, Evite’ın 2019’da 100 milyondan fazla kişinin kişisel bilgilerini etkileyen bir veri ihlaline maruz kaldığının ortaya çıkmasıdır. Şirket, kullanıcılarının bu kadar zayıf parolalar kullanmasına izin vermemesi gerektiğini muhtemelen çok iyi bilmelidir.
Daha popüler hizmetlerde bile durum çok daha iyi değil. Facebook’ta yeni bir hesap oluşturmaya çalıştığımda, platform ek bir parola karmaşıklığı seviyesi zorunlu kıldı. Ancak yine de “1234567!” gibi basit bir dizgi, izin verilen bir parola olarak kabul edildi. X de benzer bir deneyim sundu.
Parola “parola”
Şimdi, örneğin Facebook, “‘password’ gibi yaygın kelimeleri kullanmaktan kaçının” ve “Parolanız yeterince güçlü değilse büyük ve küçük harfleri karıştırın. Hatırlayabileceğiniz ancak başkalarının bilemeyeceği daha uzun bir cümle veya kelime dizisi kullanarak parolanızı daha karmaşık hâle getirin” gibi bazı tavsiyelerde bulunuyor. Yine de ‘1234567!’ kullanımına izin veriyor; harf yok, sadece sonunda basit bir ünlem işareti olan sıralı bir desen var; bunların hepsi, özellikle yaygın olarak kullanılan desenleri ve dizileri test etmek için hesapları toplu olarak denetleyen otomatik komut dosyaları tarafından kolayca tahmin edilebilir.
Öte yandan, çok daha az hassas içeriğe sahip bir site olan Collins Dictionary, beni aşağıdakilerden en az üçünü içeren sekiz karakterlik bir parola oluşturmaya zorladı. Küçük harfler (a-z), büyük harfler (A-Z), sayılar (yani 0-9) ve özel karakterler (ör. !@#$%^&*).
NordPass’ın verileri, sınırlı parola politikaları belirleyen ve “123456” gibi basit parolalara izin veren çok daha fazla site olduğunu gösteriyor. Ancak en yaygın parolaları hesaplamak için kullanılan yöntemde eski sistemlerin de etkisi olabileceğini düşünüyorum.
Örneğin, bir şirket 10 yıldır faaliyet gösteriyor. Eğer aktif olmayan kullanıcı hesaplarını silmemişse bir güvenlik ihlali durumunda güncel olmayan aktif olmayan hesap bilgileri de ortaya çıkacaktır. Bunların bazıları herhangi bir parola politikası uygulanmaya başlamadan önceki döneme ait olabilir. Manşetlere taşınan verilerin yayımlanmasının ardındaki motivasyon da açıktır: Haberin kaynağı olan satıcılar, abonelik karşılığında parola yönetimi yazılımı sağladıkları için potansiyel olarak fayda sağlayacaklardır.
Zayıf parola döngüsünü kırmak
Peki, parolalarla ilgili bu bitmeyen olumsuzluk döngüsünü ve platformların hâlâ güvenli olmayan parolalara izin vermesi gibi saçma durumu nasıl çözebiliriz?
Yasama organlarının vatandaşları şımartması gerektiği fikrini desteklemiyorum ancak bu durumda, yasa koyucuların harekete geçip, şirketlerin sıkı kimlik doğrulama politikaları uygulamaması ve tüketicilerin kolay yolu seçmesine izin verme eğilimine son vermesinin zamanı geldiğini düşünüyorum. Şirketlerin, kişisel verilerimizi depoladıkları takdirde uygun ve makul siber güvenlik önlemleri kullanarak bu verileri güvence altına almaları gerektiğini belirten yaygın gizlilik mevzuatı bulunmaktadır.
Bu önlemlerin temel bir parçası, kendine saygısı olan herhangi bir siber güvenlik çerçevesinin gerektirdiği gibi, güçlü ve karmaşık parolaların belirlenmesi ve çok faktörlü kimlik doğrulama (MFA) kullanılmasıdır. Yine de birçok durumda müşteriye yönelik hizmetler için kimlik doğrulama konusunda herhangi bir siber güvenlik gerekliliği bulunmamaktadır.
Bazı sektörler, modern kimlik doğrulama yöntemlerine geçmek zorunda kalmıştır. Örneğin finans sektöründe, elektronik ödemeler ve çevrimiçi ödeme hesaplarına erişim için MFA’yı zorunlu kılan Ödeme Hizmetleri Direktifi 2 (PSD2) gibi çeşitli düzenlemeler bulunmaktadır.
Mevzuat tüm sektörleri kapsamalıdır. Erişilen hizmet ne olursa olsun çevrimiçi olarak oluşturulan tüm hesaplar için MFA’yı zorunlu kılmalı. Modası geçmiş parola kullanımını terk etmeli ve günümüzün interneti için daha uygun bir güvenlik sistemine geçilmelidir.
Bu yaklaşımı zorunlu hâle getirmenin önündeki potansiyel engel, hesap oluşturan kişiler için giriş engelidir. Gelirleri reklamlara veya kişisel verilerin toplanmasına (ve satışına) dayanan şirketler bu hamleye karşı önemli ölçüde lobi faaliyetinde bulunacak. Ve büyük bütçeli şirketler, özellikle karmaşık bir parola ve/veya MFA gerektirerek müşteri hesaplarının güvenliğini sağlamak gibi hiçbir şeyin kârlarının önüne geçmemesi konusunda çok ısrarcı olacaktır.
Siber güvenlik sektöründe zayıf parolalar konusu her gün, birçok etkinlikte ya da özel bir günde vurgulanan temel bir mesaj olmuştur. Bunu çözmenin basit ve etkili bir yolu vardır: Karmaşık parolaları zorunlu kılmak ya da daha da iyisi MFA. Artık “zayıf parolalar” hakkındaki konuşmayı sonsuza kadar bitirebilir miyiz?
Güçlü parolalar oluşturmak ve çevrimiçi hesap güvenliği hakkında daha fazla bilgi edinmek için ESET’in parola oluşturucu sayfasına göz atın.
