Düzenlemeye Tabi Sektörler İçin Parola En İyi Uygulamaları: Pratik Bir Güvenlik Kılavuzu

Şifreyle ilgili en iyi uygulamalar, aslında işe yarayan kısa, neredeyse sıkıcı bir listeye indirgenebilir: Her hesap için uzun, benzersiz şifreler oluşturmak üzere bir şifre yöneticisi kullanın, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin ve aynı şifreyi hiçbir hizmette tekrar kullanmayın. Sağlık, hukuk ve finans sektörlerindeki ekipler için en büyük risk nadiren çok basit bir şifredir. Tekrar kullanılan veya çalınan bir şifredir. Çoğu hesap ihlali artık saldırganın tahmin ettiği değil, zaten sahip olduğu kimlik bilgileriyle başlar, bu nedenle asıl amaç tekrar kullanımı ortadan kaldırmak ve ikinci bir faktör eklemektir.

​

Önemli noktalar

• Parola yöneticisi ve çok faktörlü kimlik doğrulama (MFA), otomatik hesap ele geçirme saldırılarının büyük çoğunluğunu engeller. Bu kombinasyon, ezberlenmesi zor şifre dizileri değil, parola güvenliğinin özünü oluşturur.
• Şifrelerin tekrar kullanılması en büyük güvenlik açığıdır. Sektör araştırmaları sürekli olarak çoğu insanın şifrelerini tekrar kullandığını ortaya koymaktadır; bu nedenle tek bir güvenlik açığı, aynı şifreyi paylaşan her hesaba yayılabilir.
• Zayıf şifreler genellikle rastgele değil, tahmin edilebilir niteliktedir. Mevsimsel değişiklikler, evcil hayvan isimleri ve şirket isimleri, saldırganların ilk olarak test ettiği şeylerdir.
• Tehdit, şifreleri tahmin etmekten şifre çalmaya doğru kaydı; bu nedenle benzersizlik ve çok faktörlü kimlik doğrulama, karakter karmaşıklığından daha önemli hale geldi.
• İş ve kişisel kimlik bilgileri asla birbirine karışmamalıdır. Bunları ayrı tutmak, her iki tarafın da tehlikeye girmesi durumunda oluşabilecek zararı sınırlar.

​

Şifreleme konusunda en iyi uygulamalar nelerdir?

Parola en iyi uygulamaları, hesap bilgilerinin tahmin edilmesini, kırılmasını, yeniden kullanılmasını veya çalınmasını önleyen alışkanlıklar ve kontroller kümesidir. Bunlar, bir parolanın nasıl oluşturulduğunu (uzunluk ve rastgelelik), nasıl saklandığını (yapışkan not, elektronik tablo veya tarayıcı yerine bir parola yöneticisi), nasıl korunduğunu (çok faktörlü kimlik doğrulama) ve nasıl paylaşıldığını (yalnızca güvenli kanallar aracılığıyla) kapsar. Standart kuruluşlarından gelen modern kılavuzlar, karmaşık karakter kurallarını ve sık değişiklikleri zorlamaktan uzaklaşarak, uzunluk, benzersizlik ve güçlü bir ikinci faktöre doğru yönelmiştir.

​

Parola güvenliğinin neden her zamankinden daha önemli olduğu

Saldırganların taktikleri değişti. On yıl önce asıl endişe, zayıf bir şifreyi birçok kombinasyon deneyerek kaba kuvvet yöntemiyle kırmaya çalışan biriydi. Bugün ise daha büyük tehdit kimlik bilgilerinin çalınması: Saldırganlar, veri ihlalleri, kimlik avı ve bilgi hırsızlığı yapan kötü amaçlı yazılımlar (bulaşmış bir cihazdan kaydedilmiş şifreleri ve oturum açma bilgilerini sessizce toplayan yazılımlar) aracılığıyla çalışan şifreler elde ediyor ve ardından basitçe oturum açıyorlar. Verizon Veri İhlali Araştırma Raporu'na göre, çalınan kimlik bilgileri, saldırganların ilk adımı atmalarının en yaygın yollarından biridir ve IBM X-Force, herhangi bir güvenlik açığından ziyade geçerli, çalınmış kimlik bilgilerini kullanan saldırıların büyük bir bölümünü rapor etmiştir.

​

Bu, pratik bir nedenden dolayı önemlidir. Eğer bir saldırgan zaten çalışan bir şifreyi satın alabilir veya çalabilirse, o şifrenin gücü artık sizi korumaz. Sizi koruyan şey, şifrenin benzersiz olması (bu nedenle başka hiçbir şeyi açamaz) ve çalınan şifre ile hesap arasında ikinci bir faktörün bulunmasıdır. Hassas kayıtları işleyen düzenlemeye tabi ekipler için, bu değişim aşağıdaki uygulamaların temelini oluşturmaktadır.

​

Bir şifreyi güçlü yapan nedir?

Güçlü bir parolayı üç özellik belirler: uzunluk, rastgelelik ve benzersizlik. Uzunluk en önemlisidir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 800-63B-4 numaralı özel yayınında, tek faktör olarak kullanılan bir parola için en az 15 karakter önermektedir (ve en az 64 karaktere kadar uzunlukları desteklemektedir), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ise en az 16 karakter hedeflemeyi önermektedir. Rastgelelik, sözlük kelimelerinden ve kişisel bilgilerden kaçınmak anlamına gelir. Benzersizlik ise her hesap için farklı bir parola kullanmak demektir.

​

Rastgele bir kelime dizisine kullanışlı bir alternatif, bir parola cümlesidir: dört ila yedi adet birbiriyle ilgisiz kelimenin bir araya getirilmesiyle oluşturulan, uzun, kırılması zor ve hatırlaması çok daha kolay bir cümle. CISA, bir avuç ilgisiz kelimenin bir araya getirilmesiyle oluşturulan bir cümle gibi örnekler vermektedir.

​

​

Uygulamadaki fark şu şekildedir:

​

​

Güçlü bir parola nasıl oluşturulur?

En hızlı ve güvenilir yöntem, bir parola yöneticisinin sizin için otomatik olarak bir parola oluşturmasına izin vermektir. Elle bir parola oluşturmanız gerektiğinde (örneğin, yöneticinizin kilidini açan ana parola), bir parola cümlesi oluşturun:

​

1. Birbiriyle ilgisiz, rastgele dört ila yedi kelime seçin. Kendinizle, işvereninizle veya tarihle ilgili hiçbir şey seçmekten kaçının.
2. Bunları tek bir ifade halinde birleştirin. Boşlukları koruyabilir veya kaldırabilirsiniz.
3. Karmaşıklık yerine uzunluk katın. Daha uzun bir ifade, sembollerle dolu kısa bir diziden daha iyidir.
4. Bunun yalnızca tek bir yerde kullanıldığından ve başka hiçbir yerde kullanılmadığından emin olun.
5. Şifreyi asla düz metin olarak saklamayın. Ana şifreyi ezberleyin ve geri kalanını yöneticinize bırakın.

​

Tahmin edilebilir yapı taşlarından tamamen kaçının. Saldırganlar sözlük saldırıları (yaygın kelimeler ve bilinen şifrelerin listelerini kullanarak otomatik tahmin) ve kimlik bilgisi doldurma (diğer ihlallerden sızdırılan kullanıcı adı ve şifre çiftlerini tekrar oynatma) yöntemlerini kullanırlar. 123456, admin ve password gibi yaygın olarak ele geçirilen şifreler (NordPass araştırmalarında düzenli olarak tespit edilenler) anında ele geçirilir; aynı şekilde evcil hayvan adı, şirket adı veya mevsim ve yıl gibi bağlamsal seçimler de ele geçirilir.

​

Şifreleri tekrar kullanmayı bırakın: En önemli çözüm

Eğer bir alışkanlığınızı değiştirecekseniz, bunu değiştirin. Güvenlik araştırmalarında yer alan anketler, çoğu insanın birden fazla hesapta aynı şifreyi kullandığını gösteriyor (Forbes Advisor'ın bildirdiğine göre bu oran %78 civarında) ve SpyCloud'un ihlal analizi, ihlallerde mağdur olan kişilerin büyük bir kısmının daha önce ifşa edilmiş bir şifreyi tekrar kullandığını ortaya koydu. Tekrar kullanım, tek bir sızıntıyı zincirleme reaksiyona dönüştüren şeydir: ihlal edilen bir hizmet, saldırgana e-postanızın anahtarını verir ve e-postanız, diğer her şey için sıfırlama yolu olur.

​

İki kural doğrudan geçerlidir. Birincisi, istisnasız her hizmet için tek bir parola kullanın. İkincisi, iş ve kişisel kimlik bilgilerinizi tamamen ayrı tutun. Yayın hizmeti parolanızın şirket sistemleriyle hiçbir ilgisi olmamalı ve şirket parolası asla kişisel bir hesabı korumamalıdır. Ayrımı bir güvenlik kontrolü olarak ele alın, görgü kuralı olarak değil: bir taraftaki bir güvenlik açığının diğer tarafa sıçramasını önleyerek etki alanını sınırlandırır.

​

Şifre yöneticisi nedir ve kullanmalı mısınız?

Şifre yöneticisi, şifrelerinizi şifrelenmiş bir kasada oluşturan, saklayan ve otomatik olarak dolduran bir uygulamadır. Siz güçlü bir ana şifreyi hatırlarsınız ve yönetici, asla ezberleyemeyeceğiniz uzun rastgele şifreler de dahil olmak üzere geri kalan her şeyi hatırlar. Ayrıca, zayıf veya yinelenen şifreleri işaretleyerek düzeltmenizi sağlar. CISA ve çoğu güvenlik ekibi, şifre yöneticisini her hesap için güçlü, benzersiz şifreler oluşturmanın en kolay yolu olarak görmektedir.

​

İki ana kategori vardır. Personal Şifre yöneticileri bireysel kullanıcılara ve küçük ekiplere hizmet eder. Enterprise Genellikle Ayrıcalıklı Erişim Yönetimi'nin (PAM, yüksek değerli yönetimsel kimlik bilgilerinin güvenliğini sağlama ve izleme uygulaması) bir parçası olan çözümler, merkezi kontrol, erişim kısıtlamaları, denetim ve tek oturum açma (SSO, kullanıcıların birden fazla onaylanmış uygulamaya erişmek için yalnızca bir kez kimlik doğrulaması yapmasına olanak tanır) özelliklerini ekler. Bir uyarı: Önemli kimlik bilgileriniz için tarayıcınızın yerleşik depolama alanına güvenmekten kaçının, çünkü tarayıcıda saklanan şifreler, özel, şifrelenmiş bir yöneticide saklananlara göre ele geçirilmiş veya çalınmış bir cihazdan daha kolay elde edilebilir.

​

Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin.

Çok faktörlü kimlik doğrulama (MFA), parolanıza ek olarak, bir kimlik doğrulama uygulamasından gelen kod, donanım anahtarı veya biyometrik doğrulama gibi ikinci bir kimlik kanıtı gerektirir. Çalınmış veya tahmin edilmiş bir parola tek başına giriş için yeterli olmadığından, MFA otomatik, toplu saldırıların büyük çoğunluğunu engeller ve hem CISA hem de Microsoft bunu temel bir kontrol olarak önermektedir.

​

Tüm faktörler eşit değildir. Desteklendiği durumlarda, parola yerine tamamen kullanılan ve yalnızca ikinci bir faktör olarak değil, bağımsız bir giriş yöntemi olarak işlev gören, cihazınıza bağlı kriptografik anahtarlar olan parola anahtarları da dahil olmak üzere, FIDO2 ve WebAuthn standartlarına dayalı kimlik avına dayanıklı yöntemleri tercih edin. SMS yoluyla gönderilen tek kullanımlık kodlar en zayıf ortak faktördür, çünkü SIM değiştirme ve ağ düzeyinde SMS mesajlarını ele geçirebilen SS7 protokol saldırılarına karşı savunmasızdırlar ve NIST ve CISA, daha güçlü seçenekler mevcut olduğunda bunlara güvenilmemesini tavsiye eder.

​

Şifrelerinizi düzenli olarak değiştirmeli misiniz?

Hayır, sabit bir program dahilinde değil, en azından sıradan kullanıcı hesapları için değil. NIST artık kullanıcı şifreleri için zorunlu periyodik şifre değişikliklerini önermiyor, çünkü zorunlu rotasyon insanları tahmin edilebilir kalıplara (Yaz 2025, Yaz 2026 olur) ve şifreleri yazmaya yönlendiriyor. Bunun yerine, bir neden olduğunda şifreyi değiştirin: bilinen veya şüphelenilen bir güvenlik açığı, bir ihlal bildirimi veya artık açıklayamadığınız bir kimlik bilgisi. "Oldukça emin olsanız bile", doğrulanmış bir güvenlik açığı, şifreyi değiştirmek için yeterli bir nedendir. (Yüksek ayrıcalıklı yönetici kimlik bilgileri bir istisnadır ve genellikle düzenli olarak değiştirilir.)

​

Şifreleri güvenli bir şekilde nasıl paylaşabilirsiniz?

Bazen bir kimlik bilgisinin gerçekten paylaşılması gerekir. Bu durumda, kullanılan kanal parola kadar önemlidir. Parolanızı asla Slack, e-posta veya SMS yoluyla göndermeyin; çünkü bu yollarla parolanız aranabilir geçmişe kaydedilebilir, iletilebilir veya hesaplardan herhangi birinin güvenliği ihlal edilirse açığa çıkabilir. Bunun yerine, parolanızı şifrelenmiş halde tutan ve daha sonra erişimi iptal etmenize olanak tanıyan bir parola yöneticisinin güvenli paylaşım özelliği aracılığıyla paylaşın. Bir parola sohbet veya e-posta yoluyla iletilirse, açığa çıkmış olarak kabul edin ve değiştirin.

​

Düzenlemeye tabi sektörler için parola en iyi uygulamaları

Sağlık, hukuk ve finans kuruluşları ek bir yükümlülük taşır çünkü söz konusu hesaplar genellikle düzenlemeye tabi verileri korur. Sağlık sektöründe bu, korunan sağlık bilgilerini (PHI, bireysel olarak tanımlanabilir sağlık verileri) içerir. Çerçeveler, kimlik doğrulama hijyeninin karşılanmasına yardımcı olduğu beklentileri belirler. Örneğin, HIPAA Güvenlik Kuralı, PHI'yi işleyen sistemler için erişim kontrolleri ve kimlik doğrulama önlemleri gerektirir ve benzersiz kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA), bu gereksinimleri desteklemenin pratik yollarıdır. (HIPAA ayrıca satıcı ilişkilerini de düzenler.) Business İş Ortağı Sözleşmesi veya kısaca BAA, bir hizmet sağlayıcısını kişisel sağlık bilgilerini korumaktan sorumlu tutan sözleşmedir.

​

Akılda tutulması gereken bir nokta var: uyumluluk ve güvenlik birbiriyle ilişkili ancak özdeş değildir. Bir parola politikası teknik olarak eski bir kontrol listesini karşılarken gerçek riskleri de beraberinde getirebilir ve katı görünen bir politika (sık zorunlu değişiklikler, karmaşık karakter kuralları) pratikte uzunluk, benzersizlik, parola yöneticisi ve çok faktörlü kimlik doğrulama (MFA) üzerine kurulu daha basit bir politikadan daha zayıf olabilir. Düzenlemeye tabi bir ekip için hedef, hem denetçiye karşı savunulabilir hem de günümüzdeki saldırganların çalışma biçimlerine karşı gerçekten etkili bir politika oluşturmaktır. Güçlü, benzersiz kimlik bilgileri, MFA, güvenli paylaşım ve şifrelenmiş bir kasa, kullanılabilirliği feda etmeden HIPAA, SOC 2 ve ISO 27001 gibi çerçeveler kapsamındaki tanınmış kontrolleri destekler.

​

SSS

​

En güvenli parola türü hangisidir?

En güvenli parola, bir parola yöneticisi tarafından oluşturulan ve saklanan uzun, rastgele bir paroladır, çünkü onu asla hatırlamanız veya yazmanız gerekmez. Ezberlemeniz gereken tek bir parola için, dört ila yedi bağımsız kelimeden oluşan bir parola cümlesi size aynı anda uzunluk ve akılda kalıcılık sağlar. Her iki durumda da, parola tek bir hesaba özgü olmalıdır.

​

Kaçınılması gereken en yaygın şifreler nelerdir?

NordPass'ın yıllık analizi gibi ele geçirilen kimlik bilgilerine ilişkin araştırmalar, en çok aranan şifrelerin sürekli olarak aynı olduğunu gösteriyor: 123456, admin ve password. Herhangi bir sözlük kelimesi, isim veya evcil hayvan adı, şirket adı veya mevsim ve ardından gelen yıl da aynı tuzağa düşüyor. Bunlar otomatik bir saldırının ilk tahminleri olduğundan, bunlardan tamamen kaçının.

​

Şifre yöneticileri güvenli mi?

Evet, neredeyse herkes için saygın bir parola yöneticisi, tekrar kullanım, zayıf parolalar ve yapışkan notlar gibi alternatiflerden çok daha güvenlidir. Kasa şifrelenmiştir ve yalnızca çok faktörlü kimlik doğrulama (MFA) etkinleştirilmiş güçlü bir ana parolayı (ideal olarak bir parola cümlesi) korumanız gerekir. Bu kolaylık aynı zamanda onlarca hesapta güçlü, benzersiz parolalar kullanmayı mümkün kılar.

​

Parola ne kadar uzun olmalı?

Daha uzun daha güçlüdür. NIST, tek faktörlü parola için minimum 15 karakter önerir ve en az 64 karaktere kadar uzunlukları desteklerken, CISA en az 16 karakter hedeflemeyi önerir. Parola cümlesi, hatırlanması imkansız bir şey oluşturmadan bu uzunluğa ulaşmanın kolay bir yoludur.

​

Şifrelerimi düzenli olarak değiştirmeli miyim?

Normal hesaplar için sabit bir program yoktur. NIST, zorunlu periyodik değişikliklerden kaçınılmasını tavsiye eder, çünkü bu durum tahmin edilebilir kalıpları teşvik eder. Şifrenizi yalnızca gerçek bir tetikleyici olduğunda değiştirin; örneğin, bir güvenlik ihlali bildirimi veya herhangi bir güvenlik açığı belirtisi olduğunda.

​

Şifrelerimi tarayıcımda saklamak güvenli mi?

Önemli hesaplar için, özel bir parola yöneticisi, tarayıcınızın yerleşik depolama alanından daha güvenlidir. Tarayıcıda saklanan parolalar, kayıp, çalınmış veya kötü amaçlı yazılım bulaşmış bir cihazdan daha kolay elde edilebilir. Tarayıcının sunduğu "giriş bilgilerini kaydet" seçeneğini, yalnızca düşük değerli hesaplar için kullanın, gerekirse hiç kullanmayın.

​

İş arkadaşımla şifremi nasıl paylaşmalıyım?

Şifre yöneticisindeki güvenli paylaşım özelliğini kullanın; bu özellik, kimlik bilgilerini şifreli tutar ve daha sonra erişimi iptal etmenize olanak tanır. Şifrenizi Slack, e-posta veya SMS yoluyla göndermeyin. Şifreniz bu kanallardan herhangi biri aracılığıyla iletilmişse, değiştirin.