Verilerimizi siber suçlulardan korumaya çalıştığımızda, hepimizin kullanması gereken bir kalkan var: parola. Özel verileri, bankacılık bilgilerini, hassas dosyaları ve daha fazlasını korumamıza yardımcı olan parolalar, suçluların elde etmek istediği önemli bir anahtardır ve kaba kuvvet saldırısı (brute-force attack) bu hedefe ulaşmanın bir yoludur. Bu tehdidin çeşitli türlerini tanıyın ve kendinizi korumanın yollarını öğrenin.
Hesaplarınızın her biri için farklı bir parola kullanın, hatırlanması kolay ancak tahmin edilmesi zor parolalar seçin ve kullandığınız tüm kimlik bilgilerini takip edin. İçinde yaşadığımız dijital çağda, düzgün parola hijyenini sağlamak oldukça zor bir iş.
Siber suçlular için, oturum açma kimlik bilgileri kazançlı bir üründür ve şirketler bunun farkındadır. Gizliliğinizi korumak için, örneğin çalışanlarınızdan giderek daha karmaşık parolalar talep ederek güvenlik kısıtlamalarını daha karmaşık hale getirmek için sürekli çaba göstermelisiniz.
Yine de, bazı çalışanlar siber suçluları küçümsemeye devam ediyor ve çok güvensiz kısa ve basit parolalar (“parola123” gibi) kullanmadıkları sürece, kaba kuvvet saldırıları da dahil olmak üzere tehditlere karşı güvende olduklarına inanıyorlar.
Hiçbir şey gerçeklerden daha uzak olamazdı. Kaba kuvvet saldırıları sırasında, siber suçlular kullanıcı kimlik bilgilerini tahmin etmeye veya elde etmeye ve kurbanlarının hesaplarına erişmeye çalışır ve istatistiklerde gösterildiği gibi, bu olaylarda şaşırtıcı derecede karmaşık şifreler sıklıkla kullanılır.
Rakamlardan da anlaşılacağı gibi, bilgisayar korsanları parola güvenliğindeki gelişmelerin farkındadır ve başarıya ulaşmak için taktiklerini kolayca güncellerler. Kaba kuvvet saldırıları tehdidi birçok biçimde ortaya çıkabilir – daha iyi tanıyalım.
Basit kaba kuvvet saldırısı
Basit bir kaba kuvvet saldırısında, bilgisayar korsanları herhangi bir özel yazılım veya veritabanı kullanmadan parolayı tahmin etmeye çalışırlar. Örneğin, en yaygın parola kombinasyonlarını test edebilir veya örneğin kurbanın sosyal medyasında herkese açık olarak erişilebilen bilgileri kullanabilirler.
Parola püskürtme
Parola püskürtme saldırıları sırasında, bilgisayar korsanları en sık kullanılan parolaların bir listesini kullanır ve özel bir püskürtme yazılımı veya araç seti kullanarak, bir parolayı birçok farklı hesapta test ederler (“püskürtme”). Sonuç olarak, kilitleme politikaları saldırıyı fark edemeyebilir ve ek olarak, bir saldırı bilgisayar korsanlarının onlarca hatta yüzlerce farklı hesaba erişmesine neden olabilir.
Sözlük saldırısı
Bir sözlük saldırısı sırasında, bilgisayar korsanları yaygın olarak kullanılan kelimelerin farklı kombinasyonlarını ve varyasyonlarını dener. Saldırılar genellikle manuel olarak yürütülmez – bilgisayar korsanları genellikle kapsamlı ortak parola listeleri ve sözlüklerle (saldırının adından da anlaşılacağı gibi) çalışan bir program kullanır ve seçilen sisteme birçok olası parola kombinasyonunu girer.
Kimlik bilgisi doldurma
Bir saldırgan sızdırılmış veya güvenliği ihlal edilmiş kimlik bilgilerinin bir listesine sahipse, kullanıcı adı ve parola kombinasyonlarını birçok farklı web sitesine girmek için özel bir yazılım kullanabilir. Etkilenen kullanıcının oturum açma verilerini birden fazla farklı site için kullanması durumunda – ki bu maalesef hala yaygın bir hatadır – suçlular yalnızca bir kimlik bilgisi kombinasyonu ile birkaç hesaba erişebilir.
Ters kaba kuvvet saldırısı
Bazen, siber suçluların elinde zaten parola vardır – tek yapmaları gereken doğru kullanıcıyı bulmaktır. Önceki veri ihlallerinde sızdırılan parola listelerinden yararlanan bilgisayar korsanları, farklı platformlarda ve veritabanlarında arama yapabilir ve güvenliği ihlal edilmiş kimlik bilgilerini çeşitli hesaplarda deneyebilir.
Hibrit kaba kuvvet saldırısı
Hibrit kaba kuvvet saldırıları, yukarıda açıklanan saldırı tekniklerini birleştirir. Genellikle, bilgisayar korsanları basit bir kaba kuvvet saldırısıyla birlikte bir sözlük saldırısını tercih ederler. Farklı hesaplara girme girişiminde bulunurlar – genellikle kullanıcı adlarını zaten biliyorlardır – rastgele olabilecek veya kurbanlar üzerinde yapılan önceki araştırmalara dayanan bir dizi harf veya sayı ile birlikte ortak kelimeler ve ifadeler kullanırlar.
Kendinizi kaba kuvvet saldırılarından nasıl korursunuz?
Çalışanların kendilerini korumak için almaları gereken ana önlem, uygun parola hijyenini sağlamaktır. Bu, hesaplarının her biri için benzersiz bir parola kullanmak, çeşitli karakterler içeren daha uzun parolalar seçmek ve kimlik bilgilerini depolamak için güvenilir bir parola yöneticisi kullanmak olabilir. Çok faktörlü kimlik doğrulaması (MFA) kullanmak da artık bir zorunluluktur. MFA sayesinde, saldırganlar sadece parolanızı tahmin ederek verilerinize hemen erişemezler.
Privileged Access Management (PAM) kullanarak ayrıcalıklı hesaplarınıza ait bilgileri güvence altında tutmak da mümkün.
Şirketiniz ayrıca geçersiz girişleri sınırlamayı ve/veya kaba kuvvet saldırı araçlarının sistemlerine girmesini önlemek için CAPTCHA’lar kullanmayı da düşünebilir. Ayrıca parolaların periyodik olarak değiştirilmesi önerilir. Son olarak, güvenli bir parola politikası oluşturmalı ve platformlarınızda gerçekleşen etkinliği aktif olarak izleyerek çalışanlarınızın ve işletmenizin güvenliğini daha da artırmalısınız. Güvenlik için en iyi uygulamaları ve önerileri takip etmek ve tetikte kalmak, siber suçluların sizi şaşırtmasını önler.
PAM (Ayrıcalıklı Erişim Yönetimi) Kapsamlı Kılavuz
Dijital bahar temizliği: Sosyal medya ve parolalar
