Yakın tarihli bir rapor, e-ticaret sağlayıcısı Shopify’ın Web Sitesinin müşteriye yönelik bölümünde özellikle zayıf parola politikaları kullandığını ortaya koydu. Rapora göre Shopify’s, müşterilerinin en az beş karakter uzunluğunda ve bir boşlukla başlamayan veya bitmeyen bir şifre kullanmasını şart koşuyor.
Rapora göre, Specops araştırmacıları, ihlal edildiği bilinen bir milyar şifrenin listesini analiz etti ve bu şifrelerin %99,7’sinin Shopify gereksinimlerine uygun olduğunu tespit etti. Bu, Shopify müşterilerinin parolalarının ihlal edildiği anlamına gelmese de, ihlal edildiği bilinen çok sayıda parolanın Shopify’ın minimum parola gereksinimlerine uyması, zayıf parolaların kullanılmasıyla ilgili tehlikelerin altını çizer.
Active Directory’nizde zayıf parola tehlikesi
Hive Systems tarafından yakın zamanda yapılan bir çalışma zayıf parolalar kullanmanın tehlikelerini yansıtır. Çalışma, çeşitli uzunluklardaki ve değişen karmaşıklık seviyelerindeki parolaları kaba kuvvetle kırmak için gereken süreyi incelemektedir. Hive Systems’ın bilgi grafiğine göre, karmaşıklık ne olursa olsun beş karakterlik bir şifre anında kırılabilir. Daha kısa parolaların kaba kuvvet kullanılarak kırılma kolaylığı göz önüne alındığında, kuruluşlar ideal olarak en az 12 karakter uzunluğunda karmaşık parolalara ihtiyaç duymalıdır.
Beş karakterli bir parola kullanmanın güvenlikle ilgili etkilerini bir kenara bıraksanız bile, potansiyel olarak daha büyük bir sorun vardır – mevzuata uygunluk.
Mevzuata uyumun yalnızca büyük şirketlerin endişelenmesi gereken türden bir şey olduğunu düşünmek cezbedici. Bu nedenle, Shopify hesapları açan birçok küçük, bağımsız satıcı, bununla ilgili yasal gerekliliklerden memnuniyetle habersiz olabilir. Bununla birlikte, ödeme kartı endüstrisi, kredi kartı ödemelerini kabul eden herhangi bir işletmeye ihtiyaç duyar. Resmi PCI Güvenlik Standartlarına uyun.
3. taraf ödeme sistemiyle PCI gereksinimlerinden kaçınma
Shopify veya benzer bir e-ticaret platformunu kullanmanın güzel yanlarından biri, perakendecilerin kendi ödeme kartı ağ geçitlerini işletmek zorunda kalmamasıdır. Bunun yerine Shopify, müşterilerin adına işlemlerin işlenmesini gerçekleştirir. Ödeme sürecinin bu dış kaynak kullanımı, e-ticaret işletme sahiplerini birçok PCI gereksiniminden korur.
Örneğin, PCI standartları, tüccarların depolanan kart sahibi verilerini korumasını gerektirir. Ancak, bir e-ticaret işletmesi ödeme işlemlerini dışarıdan sağladığında, genellikle müşterinin kredi kartı verilerine sahip olmayacaktır. Bu nedenle, işletme sahibi, ilk etapta hiçbir zaman bu verilere sahip değilse, kart sahibi verilerini koruma gerekliliğinden etkili bir şekilde kaçınabilir.
Ancak daha sorunlu olabilecek bir PCI gereksinimi, sistem bileşenlerine erişimi tanımlama ve doğrulama gereksinimi (Gereksinim 8). PCI güvenlik standartları gerekli bir parola uzunluğunu belirtmese de, PCI DSS Hızlı Başvuru Kılavuzu sayfa 19’da “Her kullanıcının kimlik doğrulama için güçlü bir parolası olmalıdır” belirtilmektedir. Bu ifade göz önüne alındığında, bir e-ticaret perakendecisinin beş karakterlik bir şifre kullanarak gerekçelendirmesi zor olacaktır.
BT güvenliğini dahili olarak güçlendirmeye başlayın
Bu, elbette, e-ticaret şirketlerinin genel şifre güvenliklerini iyileştirmek için neler yapabileceği sorusunu gündeme getiriyor. Belki de en kritik öneri, bir e-ticaret portalıyla ilgili minimum parola gereksinimlerinin yetersiz olabileceğini kabul etmektir. Güvenlik ve uyumluluk açısından, genellikle minimum düzeyde gerekenden daha uzun ve daha karmaşık bir parola kullanılması tavsiye edilir.
E-ticaret perakendecilerinin yapması gereken bir diğer şey, kendi ağlarında şifre güvenliğini artırmak için neler yapılabileceğine ciddi bir şekilde bakmaktır. Bu, özellikle ağınızda herhangi bir müşteri verisi depolanıyor veya işleniyorsa geçerlidir. Göre 2019 çalışması, Küçük şirketlerin %60’ı saldırıya uğradıktan sonra 6 ay içinde kapanıyor. Bu nedenle, bir güvenlik olayını önlemek için elinizden geleni yapmak son derece önemlidir ve bunun büyük bir kısmı şifrelerinizin güvende olduğundan emin olmayı içerir.
Windows işletim sistemi, parola uzunluğunu ve karmaşıklık gereksinimlerini kontrol edebilen hesap ilkesi ayarlarını içerir. Bu tür denetimler yadsınamaz derecede önemli olsa da, Specops Parola İlkesi, kuruluşların yalnızca Windows’ta yerleşik olarak bulunan yerel araçları kullanarak mümkün olandan daha güçlü parola ilkeleri oluşturmasına yardımcı olabilir.
Specops Password Policy tarafından sunulan en çekici özelliklerden biri, bir kuruluşta kullanılan parolaları, güvenliği ihlal edildiği bilinen milyarlarca paroladan oluşan bir veritabanıyla karşılaştırma yeteneğidir. Bu şekilde, bir kullanıcının güvenliği ihlal edilmiş bir parola kullandığı tespit edilirse, parola bir sorun haline gelmeden önce değiştirilebilir.
Specops Parola Politikası, kuruluşların parolalara dahil edilmemesi gereken yasaklı sözcüklerin veya sözcük gruplarının bir listesini oluşturmasına da olanak tanır. Örneğin, bir yönetici, kullanıcıların şirket adınızı parolalarının bir parçası olarak kullanmasını önlemek için bir ilke oluşturabilir.
Ayrıca kuruluşlar, kullanıcıların parola karmaşıklığı gereksinimlerini ortadan kaldırmak için yaygın olarak kullandığı teknikleri engellemek için Specops Parola Politikasını kullanabilir. Bu, art arda yinelenen karakterleri (99999 gibi) kullanmayı veya harfleri benzer görünen simgelerle (s yerine $ gibi) değiştirmeyi içerebilir.
Sonuç olarak, Specops Parola Politikası, kuruluşunuzun çok daha güvenli bir parola politikası oluşturmasına yardımcı olabilir ve böylece siber suçluların kullanıcı hesaplarınıza erişmesini zorlaştırır. Specops Password Policy’yi Active Directory’nizde istediğiniz zaman ücretsiz olarak test edebilirsiniz.
