İzmir Kâtip Çelebi Ünivesitesi Slogan
Üniversite Bilgi Yönetim Sistemi

Parola Güvenliği

 

Kurumsal işlemler, e-posta, sosyal medya ve diğer tüm dijital işlemlerde erişim yetkisini doğrulamayı sağlayan parolalar yetkisiz erişime karşı ilk savunma hattı görevi görmektedir.

Küçük harf, büyük harf, rakam ve özel karakter gibi bir dizi sembolden oluşarak kimlik doğrulama işlevini yerine getiren parola yerine günlük hayatta sıklıkla şifre kelimesi kullanılmaktadır.  Ancak siber güvenlikte şifre terimi şifreleme algoritmalarını ifade eder ve parola kavramı şifreleme ile doğrudan ilişkili değildir.

Paroladaki sembollerin sayısı ve çeşitliliği parolanın gücü açısından önemlidir. Bir parolanın kırılma zorluğunu belirleyen birçok etken vardır. Başlıcaları aşağıdaki gibidir:

İçerdiği semboller: Sadece harf veya sadece rakam içeren, özel sembol içermeyen parolalar daha kolay kırılır.

Uzunluk: Kısa parolalar uzun parolalara göre genellikle daha kolay kırılır.

Anlamlı olup olmaması: Belli bir anlama sahip olan parolalar daha kolay kırılır.

 

Başlıca Parola Saldırı Çeşitleri

 

Günümüzde siber tehditlerin baş döndürücü bir hızla artmasıyla birlikte modern parola kırma araçları ve yazılımları ile birlikte parola kırma saldırıları yoğun olarak gerçekleştirilmektedir.

Kaba kuvvet saldırısı: Belli bir sırayla bütün olası parolaların denenmesine dayalı saldırı türüdür.

Sözlük saldırısı: Önceden oluşturulmuş sözlükteki kelimelerin ve kombinasyonlarının parola olarak denenmesine dayalı saldırı türüdür. Çoğu kullanıcının parola tercih eğiliminin anlamlı kelimeler olması hipotezinden hareketle gerçekleştirilir.

Popüler parolaları deneme: Yaygın olarak kullandığı bilinen parolaları denemeye dayalı saldırı türüdür.

Sosyal mühendislik: Kişilerin duygusal birtakım zaaflarından yararlanılarak parolalarını söylemeleri veya göndermeleri hedeflenmektedir.

Kişiye özel saldırı: Bir kişiyle ilgili bilgiler (doğum tarihi, memleketi, aile adları vb.) dikkate alınarak yapılan parola tahminlerine dayalı bir yöntemdir. Bu yöntemde kişiye özel bilgilere ulaşabilecek kaynaklardan bilgi toplama önemli bir yer tutar.

 

Parola Güvenliği için Bazı Öneriler

 

 

Parola güvenliğinin temel ilkelerinden biri karmaşık, uzun ve benzersiz parolalar oluşturmaktır. Büyük harf, küçük harf, rakam ve özel sembol içeren en az 10-12 karakterden oluşan parolalar güçlü parola olarak kabul edilmektedir.

Parolanın bir parçası olarak yaygın ifadeler, sözlükte doğrudan geçen kelimeler, doğum tarihleri ​​veya adresler gibi kişisel bilgileri kullanmaktan kaçınılmalıdır. Bunun yerine, tahmin edilmesi zor olan rastgele kombinasyonlar seçilebilir. Fikir vermesi için parola oluşturma yazılımları incelenebilir.

 

 

  • Saldırganlar tarafından tahmin edilme ihtimalini düşürmek ve kırılmasını zorlaştırmak için farklı karakter tiplerine yer verilmelidir.
  • Parolanın uzunluğu güvenlik açısından önemli bir ölçüttür. Güvenli parola oluşturulması için sistemin izin verdiği maksimum karakter sayısında parola oluşturulması parola gücünü önemli ölçüde artırmaktadır.
  • Parola hiçbir kanal ile başkalarıyla paylaşılmamalı gizli tutulmalıdır.
  • Parola hatırlanması için herhangi bir yere yazılmamalıdır.
  • Parola düzenli aralıklarla değiştirilmelidir. Ancak mevcut parolayı güçlendirmekten daha çok kırılma ihtimalini artıracak güncellemelerden kaçınılmalıdır.
  • Tarayıcılarda daha hızlı giriş sağlamak için kayıtlı bırakılmamalı ve tarayıcıda işlem tamamlandığında oturum sonlandırılmalıdır. Aksi halde saldırganlar birtakım teknikler kullanarak oturum bilgilerinden hareketle sistemde bazı aktiviteler gerçekleştirebilir.
  • Saldırganların herhangi bir hesabınızın parolasını ele geçirme durumunda diğer hesaplarınıza erişme ihtimalini düşürmek için her hesapta farklı ve benzersiz parolalar oluşturulmalıdır.  
  • Güvenilirliğinden şüphe duyduğunuz cihazlarda ve ağlarda parola yazılmamalıdır.
  • Sisteme giriş sağlarken parola için ayrılan alana yazıldığından emin olunmalıdır. Cihazda herhangi bir zararlı yazılım mevcut ise parolanın görünür olması ele geçirilme riskini doğurabileceği unutulmamalıdır. Bununla birlikte keylogger gibi bazı zararlı yazılım riskine karşı mümkün olan her durumda sanal klavye kullanılmalıdır.
  • Parola yazılırken çevredekiler tarafından takip edilme olan omuz sörfüne maruz kalınmadığından emin olunmalıdır.
  • Parolanın ele geçirildiğinden şüphelenilmesi durumunda hemen değiştirilmeli ve hesap bilgilerini kullanan tüm cihazlarda anti-virüs taraması ve güncellemeler yapılmalıdır.
  • Zayıf parola örnekleri, kolay tahmin edilebilen ve güncel çalınmış parola listeleri incelenmelidir.

 

         

 

Parola gücü hakkında fikir vermesi adına parola gücü ölçer yazılımları doğrudan kullandığınız parola yazılmadan farklı parolalarla incelenebilir.

 

Son dönemlerde küçük, büyük harf, rakam ve noktalama işaretlerinden oluşan kombinasyonlarla birlikte tahmin edilmesi zor olan rastgele kelime dizilerinin kullanılması da önerilmektedir. Bu yöntemde kelime veya cümle seçilip içindeki harflerin sayılarla ya da özel karakterlerle değiştirilerek karıştırılması yaklaşımı ile kullanıcı için özel bir bilginin parola haline getirilmesi önerilmektedir. Günümüzde parola yöneticisi kullanılması da sıklıkla önerilmekle birlikte parola yöneticisi yazılımlarının maruz kaldığı saldırı ve veri ihlalleri düşünüldüğünde kullanıcıların belirtilen parola güvenliği ilkeleri çerçevesinde zihinsel kodlama tekniğine göre parola belirlemesi de önemli bir alternatif olarak değerlendirilmektedir. Bu duruma katkı vermesi açısından bir örnek şu şekildedir:

  • Kolay hatırlayabileceğiniz bir cümle veya deyim için özel bir kısaltma oluşturunuz.
  • Bazı harfleri bir başka harf ya da sembolle değiştiriniz.
  • Hecelerin yerlerini değiştirerek parolayı karmaşık hale getiriniz.
  • Bu ve kullanıcıların kendine özgü geliştirecekleri benzeri yöntemler ile oluşturulan parolalar özgün olması sebebi ile daha fazla güvenlik sunabilmekte ve saldırılara karşı daha dirençli olmaktadır.
  • Mümkün olan her durumda iki adımlı doğrulama ya da çok faktörlü kimlik doğrulama kullanılmalıdır.

 

Çok Faktörlü Doğrulama

 

Hesap koruması için mümkün olan her durumda çok faktörlü kimlik doğrulama kullanılmalıdır. Çok faktörlü kimlik doğrulama erişim yetkisi doğrulamayı katmanlı hale getirerek yetkisiz erişim riskini minimum seviyeye indirir.

İki faktörlü kimlik doğrulamada; kullanıcı doğrulama işlemi iki aşamalı bir süreçten oluşmaktadır. İki faktörlü doğrulamada kullanıcının bildiği bir şey olan parola ve sahip olduğu bir şey olan cep telefonunu kullanılarak sisteme giriş yapması sağlanır.  Kullanıcı parolayı girdikten sonra ikinci aşamada tek kullanımlık doğrulama kodu ile erişim sağlayabilmektedir. Çok faktörlü kimlik doğrulamada ise parola ve doğrulama koduna ek olarak parmak izi, retina tarama gibi biyometrik veriler de kullanılmaktadır.

 

Parola Seçiminde Yapılan Başlıca Hatalı Tercihler

 

  • Sadece harf ya da sadece rakamdan oluşan tek çeşit karakterlerin tercih edilmesi
  • Doğrudan sözlüklerde bulunan kelimelerin kullanılması
  • Güçlü parolalara örnek olarak verilen parolaların birebir alınması
  • İsim veya doğum günü gibi kişisel bilgilere yer verilmesi
  • Qwerty veya 12345 gibi ardışık karakter dizilerinin kullanılması
  • Ortak kısaltmaların tercih edilmesi
  • Tekrarlayan harfler veya sayıların kullanılması
  • Bir hesapta kullanılan parolanın başka hesaplarda da kullanılması
  • Sistem tarafından üretilen varsayılan parolanın değiştirilmeden kullanılması
  • Günümüz dijital dünyasında parolaların çevrimiçi güvenlik için ilk katman olduğu unutulmamalıdır. Güçlü, benzersiz parolalar oluşturarak, düzenli aralıklarla güncelleyerek, çok faktörlü kimlik doğrulamayı etkinleştirerek ve kimlik avı girişimlerine karşı dikkatli olarak dijital kimliğimizi çevrimiçi tehditlere karşı koruyabiliriz.
  • Saldırganların kullanabileceği teknikler düşünüldüğünde (yetki yükseltme vb.) hesap koruma işlevinin sadece bir kullanıcının hesabını korumaktan öte sistemin güvenliğini etkileyebilecek bir hal alabileceğinden ayrıca hassasiyet gösterilmesi gereken bir konu olduğu unutulmamalıdır.

 

  • izmir kâtip çelebi üniversitesi üniversite bilgi yönetim sistemi
  • izmir kâtip çelebi üniversitesi strateji plan
  • izmir kâtip çelebi üniversitesi aday öğrenci
  • YÜKSEKÖĞRETİM KALİTE KURULU LOGO
  • tse logo
2024 İzmir Kâtip Çelebi Üniversitesi
Menüyü Kapat