ABD’nin standart enstitüsü olan NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) Digital Identity Guidelines serisinde dijital kimlik yönetimine dair detaylı kılavuzluk sunmaktadır. Bu dokümanlar aslen, Amerikan kamu kurumlarına yönelik olarak hazırlanmış olsa dahi, içerdiği güvence seviyeleri sayesinde diğer paydaşlar için de yol gösterici niteliktedir. Bizler de ISO 27001’in A.5.17 parola yönetimi tavsiyelerini de göz önüne alarak entegre bir şekilde bu alan gelecekte nasıl şekillenecek birlikte inceleyelim. Dokümanlar, SP 800-63’ün dördüncü revizyonu için yayında.
Bugünkü konumuzun odak noktası ise SP 800 63B’nin Passwords başlığı olacak. Doküman oldukça uzun, vakti olanlar için okumalarını tavsiye ederim. Vakti olmayanlar için ise elimden geldiğince konuyu özetlemeye çalışacağım.
NIST’ın yayımlamış olduğu dokümanda parola yönetimi adına “yeni” olan şey aslında parola uzunluğu ve karmaşıklığı. Bu zamana kadar alışılagelmiş kalıpların dışında, son kullanıcıyı da sisteme dahil etmek adına kullanıcı dostu bazı tavsiyeler mevcut. Güvenliği sağlarken kullanıcıları da sistemin bir parçası yapabilmek sürecin yaşatılabilmesi için en büyük hedefimiz. Bu kılavuzluk ışığında hedefe yaklaşmak oldukça kolay görünüyor.
Parola karmaşıklığı öncelikli bir kriter olmamalı
Parola uzunluğu in, parola karmaşıklığı out. Aslında olayı özetleyen cümle bu diyebilirim Yeni NIST parola rehberi, parolalarda karmaşıklık yerine uzunluğun önceliklendirilmesi gerektiğini vurgulamaktadır. Yapılan araştırmalar, karmaşık gibi görünen parolaların aslında kaba kuvvet (brute-force) saldırılarına daha savunmasız olabileceğini göstermektedir. Kullanıcılar, hatırlanması zor parolalardan kaçınmak amacıyla, karmaşık kurallara uyan ancak tahmin edilmesi kolay parolalar tercih edebilmektedir. Örneğin “Password1!” ifadesi, minimum karakter ve çeşitlilik gerekliliklerini karşılasa da, gerçek anlamda güçlü bir parola sayılmamaktadır.
Parola Uzunluğu Artırılmalı
NIST rehberinde zorunlu olan minimum parola karakter sayısı halen 8 ama 15 karakter kullanımı önerilmekte. Ek olarak kullanıcılar için parola uzunluğunun en az 64 karaktere kadar uzatılması yine tavsiyeler arasında.
Özel Karakter Kullanımına Sınırlama Getirilmemeli
Yeni parola rehberleri, parolalarda kullanılabilecek özel karakterler üzerinde herhangi bir kısıtlama olmaması gerektiğini savunmaktadır. Tüm ASCII ve Unicode karakterlerinin parolalarda kullanılmasına izin verilmesi önerilmektedir. Ancak uygulama geliştiricileri, güvenlik endişeleri veya doğrulama süreçlerini sadeleştirmek amacıyla bazı karakterleri tehlikeli bularak yasaklayabilmekte ya da yalnızca sınırlı bir karakter kümesini kabul edebilmektedir. Bu durum, parolaların çeşitliliğini ve güvenliğini olumsuz etkileyebilir.
Güçlü Kimlik Doğrulama İçin Passphrase Yaklaşımı
NIST, bundan böyle parola oluştururken “boşluk” ifadesine de izin verilmesini, böylelikle daha uzun parola oluşturmanın da önünü açmayı öneriyor.
Belirli Aralıklarla Parola Değiştirmeye Son Ver
Bilgi güvenliği denetçileri ve sistem yöneticilerinin alışmakta en çok zorlanacağını düşündüğüm tavsiye ise parola değiştirme sıklığı. NIST alışagelmişin dışında periyodik olarak parolaları güncellemek yerine, olası bir tehlike durumunda parola değiştirmeyi öneriyor. Parola politikalarındaki parola güncelleme periyodu tanımının rafa kalkması gündemde.
Gereksiz Bilgi Paylaşımından Kaçının
Parola ipuçları gibi, kullanıcılara yardımcı olma amacıyla sunulan ancak bilgi güvenliğini riske atabilen geleneksel uygulamalardan artık vazgeçilmesi gerektiği vurgulanmaktadır. Bu tür bilgiler, kötü niyetli kişilere parolayı tahmin etme konusunda istemeden de olsa destek sağlayabilir. Aynı şekilde, “En sevdiğin yemeğin adı nedir?” gibi kolayca tahmin edilebilir veya sosyal mühendislik ile öğrenilebilir yanıtlar içeren bilgiye dayalı kimlik doğrulama yöntemlerinin de terk edilmesi gerektiğini ifade ediyor.
Black List Oluştur
Bu listelerde daha önce ifşa edilmiş, parola sözlüklerinde yer alan ya da hizmet adı, kullanıcı adı gibi kolayca tahmin edilebilecek unsurları içeren parolaların yer alması önerilmektedir. Kullanıcılara sunulan geri bildirimlerde ise, seçilen parolanın neden zayıf olduğu açık bir şekilde belirtilmeli ve daha güçlü hale nasıl getirilebileceği konusunda rehberlik sağlanmalıdır.
Ayrıca, hatalı parola denemelerine ilişkin sınırların dikkatle belirlenmesi önemlidir. Belirli sayıda başarısız girişin ardından parola girişinin geçici olarak engellenmesi, hem güvenlik hem de kullanılabilirlik açısından kritik bir önlemdir. Bu nedenle, kara listenin kapsamı aşırı geniş tutulmamalı; kullanıcıyı parolasını belirlemede zorlayan bir unsur haline getirilmemelidir.
Parolaların Güvenli Saklanması
Parolaların yalnızca tahmin edilemez olması yeterli değildir; ele geçirilen parola özetlerinin (hash) kırılmasını da zorlaştırmak gereklidir. NIST bu nedenle, parolaların mutlaka hashlenmiş biçimde saklanmasını önermektedir. Bu yaklaşımın temel amacı, olası bir çevrimdışı saldırılarda saldırganın parolaları kırmasının çok daha zahmetli ve zaman alıcı hale getirilmesidir.
