Aynı parolalar: Parolaları tekrar kullanmanın riskleri
Tek bir oturum açma bilgisi ele geçirilirse tüm erişimler risk altına girer.
BT yöneticileri, sistemlerin ve verilerin korunmasında en büyük yükü taşır. Özellikle kalıcı bir risk de aynı veya yeniden kullanılan parolalardır. Kullanıcılar bu şekilde – çoğu zaman farkında olmadan – saldırganlara credential stuffing, hesap ele geçirme ve ağ içinde yanal hareketler için kapıyı ardına kadar açar. Araştırmalar, çalınmış erişim bilgilerinin kullanımının güvenlik olaylarında en yaygın ilk saldırı vektörlerinden biri olduğunu göstermektedir (aşağıdaki kaynaklara bakın).
- Farklı hesaplar için asla aynı parolayı kullanmayın.
- Sebep olmadan zorunlu, düzenli parola değişikliği yok – bunun yerine uzun, benzersiz parolalar/parola ifadeleri ve MFA/Passkeys.
- Yeni ve mevcut parolaları ele geçirilmiş listelere karşı kontrol edin; Password Depot içinde: Ekstralar → Güvenlik Kontrolü → Pwned parolalarını kontrol et.
Hizmetler arası ele geçirilme riski
Bir hesap ele geçirildiğinde, saldırganlar aynı erişim bilgilerini diğer hizmetlerde otomatik olarak dener (Credential‑Stuffing). Bu nedenle tek bir sızıntı zincirleme reaksiyona dönüşebilir – e-postadan iş birliği araçlarına ve Cloud hizmetlerine kadar. Sonuç: veri hırsızlığı, kimlik kötüye kullanımı ve şirket kaynaklarına yetkisiz erişim.
Özellikle kritik olanlar “Basic Web Application Attacks”, çalınmış veya yeniden kullanılmış erişim bilgilerinin baskın olduğu saldırılardır – bu, parola yeniden kullanımının pratikte doğrudan istismar edilebildiğini açıkça gösterir (bkz. kaynaklar).
Ransomware ve hesap ele geçirmeleri
Saldırganlar bir kez geçerli erişim bilgileri elde ettiğinde, ayrıcalıkları genişletebilir, ağ içinde yanal hareket edebilir ve zararlı yazılım yayabilirler – Ransomware dağıtımına kadar. Bu nedenle resmî öneriler şunu vurgular: parola yeniden kullanımını ortadan kaldırın ve phishing’e dayanıklı MFA (örn. FIDO2/Passkeys) teknik olarak mümkün olan her yerde etkinleştirin (CISA, NIST).
Parola güvenliğini iyileştirmeye yönelik önlemler
Yönergeler (Policy)
- Hiçbir önleyici, düzenli parola değişikliği – yalnızca ele geçirilme şüphesi veya kanıtı varsa zorunlu kılın (NIST, NCSC).
- Her hesap/hizmet için bir parola – yeniden kullanımı kesin olarak yasaklayın (NIST, NCSC).
- Minimum uzunluğu artırın (örn. ≥ 14 karakter) ve gereksiz karmaşıklık zorunluluklarından kaçının; bunun yerine uzunluk, benzersizlik ve “yaygın parolaların” engellenmesine odaklanın (NIST).
- Parolaları ele geçirilmiş listelere karşı kontrol edin (NIST SP 800–63B) – aşağıda Password Depot ile ilgili uygulama notuna bakın.
- MFA zorunlu olmalı, tercihen phishing'e dayanıklı (FIDO2/Passkeys), en azından yönetici, uzak erişim ve Cloud erişimleri için (CISA).
Teknik kontroller
- Rate-Limiting ve Monitoring oturum açma işlemlerinde etkinleştirin; şüpheli kalıpları (örn. dağıtık ağlardan gelen çok sayıda giriş denemesi) tespit edin ve engelleyin (NIST).
- “Paste”/yapıştırmaya izin verin, böylece parola yöneticileri güvenli şekilde kullanılabilir – parola alanında Copy/Paste yasağı uygulamayın (NIST).
- Risk tabanlı MFA Challenges ve tutarlı MFA kaydı uygulayın (CISA).
- Passkeys mümkün olan yerlerde devreye alın; uzun vadede parola girişlerinin yerini alsın.
- Ele geçirilmiş parolaları tespit edin: Password Depot içinde Extras → Güvenlik kontrolü → Pwned parolalarda kontrol et yolunu izleyin ve etkilenen kayıtları derhal değiştirin.
Password Depot ile pratik uygulama:
- Açın Ekstralar → Güvenlik Kontrolü → Pwned parolalarda kontrol et, kayıtlı parolaları ele geçirilmiş listelere karşı kontrol etmek için.
- Bu kontrolü düzenli olarak gerçekleştirin – özellikle kamuya açık veri sızıntıları veya phishing vakalarından sonra.
- İşaretlenen parolaları derhal uzun, benzersiz parola ifadeleriyle değiştirin ve mümkün olan yerlerde MFA/Passkeys.
Farkındalık ve Operasyon
- Kullanıcıları düzenli olarak Credential-Stuffing, phishing ve parola yeniden kullanımı konusunda eğitin (NCSC/CISA).
- Parola yöneticileri önerin ve sağlayın; hedef: her hizmet için uzun, rastgele ve benzersiz parolalar.
- Olayları (sızıntılar, phishing, malware bulaşması) derhal parola değiştirme ve token yenileme için tetikleyici olarak tanımlayın (NIST/CISA).
Açıkça söylemek gerekirse: Yeniden kullanım asıl düşmandır. Sebepsiz yere zorunlu ve düzenli parola değişiklikleri, parolaların kalitesini düşürür – ve sorunu çözmez. Uzunluğa, benzersizliğe, MFA/Passkeys'e ve ele geçirilmiş listelere karşı kontrole (ör. doğrudan Password Depot içinde) odaklanın.
Sonuç: Parolaların tekrar tekrar kullanılması ciddi bir güvenlik riskidir ve hesap ele geçirmelerinden ransomware vakalarına kadar uzanan olayları kolaylaştırır. Admin ekipleri net ve güncel politikaları uygulamalı ve teknik olarak güvence altına almalıdır – buna, Password Depot ile ele geçirilmiş parolaların düzenli olarak kontrol edilmesi de dahildir –, böylece kimlikler ve sistemler sürdürülebilir şekilde korunur.
Kaynaklar (seçme)
- NIST SP 800–63B: Dijital Kimlik Yönergeleri – Hatırlanan Sırlar (örn. zorunlu parola değişikliği yok; ele geçirilmiş listelere karşı kontrol; yapıştırmaya izin verilir)
- CISA “Secure Our World”: Güçlü Parolalar Kullanın (parola yöneticileri ve benzersiz parolalar önerilir)
- NCSC (BK): Düzenli parola süresinin dolmasını zorunlu kılmanın sorunları & Credential-Stuffing Uyarısı
- Verizon DBIR: Rapor sayfası & Executive Summary (her yıl güncellenir)
- Have I Been Pwned: Pwned Passwords (ele geçirilmiş parolalar için herkese açık veri kaynağı)
Parolaları benzersiz tutun
Password Depot'nun her parolayı benzersiz ve güvenli şekilde yönetmenize nasıl yardımcı olduğunu öğrenin.
Güvenli parolalar için ipuçları