Dijital güvenlik

Peki bu gerçekten sorulacak doğru soru mu? Hesaplarınızı güvende tutmak söz konusu olduğunda dikkate almanız gereken başka şeyler aşağıda açıklanmıştır.

Nisan 03 2024
 • 
,
5 dk. okuman

Geçtiğimiz birkaç yılda büyüyen potansiyel hakkında çok şey yapıldı. şifresiz kimlik doğrulama ve geçiş anahtarları. Akıllı telefon tabanlı yüz tanımanın neredeyse her yerde bulunması sayesinde, cihazınıza (veya başka bir yönteme) bakarak favori uygulamalarınıza veya diğer hizmetlere giriş yapma yeteneği biyometrik kimlik doğrulama(bu konuda) artık birçokları için canlandırıcı derecede basit ve güvenli bir gerçeklik. Ancak çoğumuzun hala eski şifrelere güvendiği masaüstü dünyasında bu hala bir norm değil.

Zorluk da burada yatıyor; çünkü şifreler Dolandırıcıların ana hedefi olmaya devam ediyor ve diğer tehdit aktörleri. Peki bu kimlik bilgilerini güvende tutmak için ne sıklıkla değiştirmeliyiz? Bu soruyu cevaplamak sandığınızdan daha zor olabilir.

Şifre değişiklikleri neden anlamlı olmayabilir?

Çok uzun zaman öncesine kadar, gizli hırsızlık veya siber suçlular tarafından şifrelerin kırılması riskini azaltmak için şifrelerin düzenli olarak değiştirilmesi tavsiye ediliyordu. Alınan bilgelik 30 ila 90 gün arasındaydı.

Ancak zaman zaman değişiyor ve araştırmalar, özellikle belirli bir programa göre sık sık şifre değişikliği yapıldığını gösteriyor. hesap güvenliğini mutlaka iyileştirmeyebilir. Başka bir deyişle, şifrenizi/şifrelerinizi ne zaman değiştirmeniz gerektiğine dair herkese uyan tek bir cevap yoktur. Ayrıca çoğumuzun, bırakın her biri için birkaç ayda bir (güçlü ve benzersiz) şifreler bulmayı, rahatça takip edemeyecek kadar çok çevrimiçi hesabı var. Ayrıca artık öyle bir dünyada yaşıyoruz ki şifre yöneticileri ve iki faktörlü kimlik doğrulama (2FA) neredeyse her yerde.

İlki, her hesap için uzun, güçlü ve benzersiz şifreleri saklamanın ve hatırlamanın daha kolay olduğu anlamına gelir. İkincisi, parolayla oturum açma sürecine oldukça kusursuz bir ekstra güvenlik katmanı ekler. Bazı şifre yöneticileri Artık kimlik bilgilerinin ihlal edildiğini ve yer altı sitelerinde dolaştığını otomatik olarak işaretlemek için yerleşik karanlık ağ izleme özelliği var.

Her halükarda, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) gibi güvenlik uzmanlarının ve dünya çapında saygın otoritelerin, insanların değişime zorlanmasını tavsiye etmemelerinin bazı zorlayıcı nedenleri var. Belirli kriterler karşılanmadığı sürece şifrelerini birkaç ayda bir değiştirin.

Gerekçe oldukça basit:

• NIST'e göre: "Kullanıcılar, yakın gelecekte bunları değiştirmek zorunda kalacaklarını bildiklerinde, daha zayıf ezberlenmiş sırları seçme eğilimindedirler."
• "Bu değişiklikler meydana geldiğinde, genellikle şifredeki bir sayıyı artırmak gibi bir dizi ortak dönüşüm uygulayarak eski ezberlenmiş sırlarına benzer bir sır seçerler." NIST devam ediyor.
• Bu uygulama yanlış bir güvenlik duygusu sağlar çünkü önceki parolanın güvenliği ihlal edilmişse ve onu güçlü ve benzersiz bir parolayla değiştirmezseniz, saldırganlar parolayı kolayca tekrar kırabilir.
• NCSC'ye göre, özellikle birkaç ayda bir oluşturulan yeni şifrelerin bir yere yazılma ve/veya unutulma olasılığı daha yüksektir.

“Bu, mantığa aykırı güvenlik senaryolarından biri; Kullanıcılar şifrelerini ne kadar sıklıkla değiştirmeye zorlanırsa, saldırılara karşı genel güvenlik açığı da o kadar büyük olur. Son derece mantıklı görünen, köklü bir tavsiyenin, titiz, tüm sistemi kapsayan bir analize dayanamadığı ortaya çıktı," NCSC savunuyor.

“NCSC artık kuruluşların düzenli şifre geçerlilik süresinin sona ermesini zorlamamasını tavsiye ediyor. Bunun, düzenli olarak süresi dolan şifrelerle ilişkili güvenlik açıklarını azalttığına ve uzun vadeli şifre istismarı riskini artırmak için çok az şey yaptığına inanıyoruz."

Şifrenizi ne zaman değiştirmelisiniz?

Ancak özellikle en önemli hesaplarınız için şifre değişikliği gerektiren çeşitli senaryolar vardır. Bunlar şunları içerir:

• Şifreniz şu şekildedir: üçüncü taraf veri ihlaline yakalandı. Bu konuda muhtemelen sağlayıcının kendisi tarafından bilgilendirileceksiniz veya bu tür uyarılar için kaydoldum Have I Been Pwned gibi hizmetlerde veya karanlık ağda otomatik kontroller çalıştıran şifre yöneticisi sağlayıcınız tarafından bilgilendirilebilirsiniz.
• şifreniz zayıf ve tahmin edilmesi kolay veya çatlak (yani, bir listede görünmüş olabilir) en yaygın şifreler). Hackerlar kullanabilir araçlar Birinin işe yarayacağını umarak ortak şifreleri birden fazla hesapta denemek ve çoğunlukla da başarılı olmak.
• Parolayı birden fazla hesapta yeniden kullanıyorsunuz. Bu hesaplardan herhangi birinin ihlali durumunda tehdit aktörleri otomatikleştirilmiş hesapları kullanabilir. “kimlik bilgisi doldurma” Hesabınızı diğer sitelerde/uygulamalarda açmanızı sağlayan yazılım.
• Örneğin yeni güvenlik yazılımınız sayesinde, cihazınızın kötü amaçlı yazılımlar tarafından ele geçirildiğini yeni öğrendiniz.
• Sen var şifrenizi başka biriyle paylaştınız.
• Paylaşılan bir hesaptan yeni kişileri çıkardınız (örneğin, eski ev arkadaşlarınız).
• Herkese açık bir bilgisayarda (örneğin bir kütüphanede) veya başka bir kişinin cihazında/bilgisayarında oturum açtınız.

En iyi uygulama şifre tavsiyesi

Hesabın ele geçirilmesi olasılığını en aza indirmek için aşağıdakileri göz önünde bulundurun:

• Her zaman güçlü, uzun ve benzersiz şifreler kullanın.
• Yukarıdakileri, erişim için tek bir ana kimlik bilgisine sahip olacak ve tüm şifrelerinizi herhangi bir siteye veya uygulamaya otomatik olarak geri çağırabilecek bir şifre yöneticisinde saklayın.
• İhlal edilen şifre uyarılarına dikkat edin ve bunları aldıktan sonra hemen harekete geçin.
• Hesabınıza ek bir güvenlik katmanı sağlamak için kullanılabilir olduğunda 2FA'yı açın.
• Düşünmek geçiş anahtarlarını etkinleştirme Telefonunuzu kullanarak hesaplarınıza kesintisiz, güvenli erişim teklif edildiğinde.
• Düzenli şifre denetimlerini düşünün: tüm hesaplarınızın şifrelerini gözden geçirin ve bunların kopyalanmadığından veya tahmin edilmesi kolay olmadığından emin olun. Zayıf veya tekrarlananları ya da doğum günleri veya evcil hayvanlar gibi kişisel bilgiler içerebilenleri değiştirin.
• İyi bir fikir gibi görünse bile şifrelerinizi tarayıcıya kaydetmeyin. Bunun nedeni, tarayıcıların, şifrelerinizi ele geçirmek için bilgi hırsızlığı yapan kötü amaçlı yazılımları kullanabilecek tehdit aktörleri için popüler bir hedef olmasıdır. Ayrıca kayıtlı şifrelerinizin cihazınızı/bilgisayarınızı kullanan başka kişilere de ifşa olmasına neden olur.

Şifre yöneticiniz tarafından önerilen rastgele, güçlü şifreleri kullanmıyorsanız (veya ESET'in şifre üreticisi), buna danışın gelen ipuçlarının listesi ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA). En uzun şifreyi kullanmanızı önerir veya parola Mümkün olan yerlerde izin verilebilir (8-64 karakter) ve büyük ve küçük harfler, sayılar ve özel karakterler dahil.

Zamanla, Google, Apple, Microsoft ve diğer büyük teknoloji ekosistemi oyuncularının desteğiyle geçiş anahtarlarının, sonunda parola çağının sona erdiğinin sinyalini vermesi umuluyor. Ancak bu arada hesaplarınızın mümkün olduğunca güvenli olduğundan emin olun.