Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), en kafa karıştırıcı ve verimsiz şifre politikalarından bazılarının ortadan kaldırılmasını önerdi. Zorunlu şifre sıfırlama işlemlerinin sona erdirilmesi, belirli karakterlerin kullanımının kısıtlanması ve güvenlik sorularının durdurulması önemli değişiklikler arasında yer alıyor.
Güçlü, kırılamaz, güvenli şifreler oluşturmak ve bunları yönetebilmek siber güvenliğin en zor alanlarından biridir. Bu görev, sistem yöneticileri, kurumlar ve çevrimiçi hizmet sağlayıcılar tarafından uygulanan şifre kurallarıyla daha da karmaşık hale getirilmektedir. Bu kuralların amacı güvenliği artırmak olsa da bezen tam tersi etkiye sahip olabilmektedir. Buna rağmen, bu tür kurallara uyum hâlâ yaygın biçimde dayatılmaktadır.
NIST, güncellenmiş Dijital Kimlik Yönergelerinin SP 800-63-4 olarak bilinen ikinci halka açık taslağını yayınladı. Dijital kimliklerin doğrulanması için hem zorunlu teknik gereklilikler ve önerilen en iyi uygulamalar özetlemektedir. Şifrelere odaklanan bir bölüm, geleneksel politikalar için birkaç mantıklı değişikliği tanıtıyor. Dikkate değer güncellemelerden biri, kullanıcıların şifrelerini düzenli olarak değiştirme zorunluluğunun kaldırılmasıdır. Yıllar önce insanlar genellikle kolayca tahmin edilebilecek isimleri ve kelimeleri şifre olarak kullanıyorlardı. Şifre güvenliğinin yeterince önemsenmediği dönemlerde uygulanan bu politika artık geçerliliğini yitirmiştir.
Şu anki uygulamalar daha sağlam, rastgele oluşturulmuş şifreler veya parola cümleleri gerektiriyor. Bu kadar güçlü şifreler kullanıldığında, kullanıcıları birkaç ayda, genelde üç ayda bir şifrelerin zorunlu değişikliğinin istenmesi güvenliği zayıflatabilir. Kullanıcıların sürekli şifre değiştirmeye zorlanması daha basit, akılda kalması daha kolay şifreler oluşturmasına yol açabilir.
Bir diğer kural ise sayıların, özel karakterlerin ve hem büyük hem de küçük harflerin birlikte kullanılması zorunluluğudur. Parolalar yeterince uzun ve rastgele olduğunda, bu karakter gereklilikleri gerçek bir güvenlik avantajı sağlamaz. Aslında bu tür kurallar da kullanıcıları daha zayıf şifreleri seçmeye itebilir.
NIST’in güncellenen yönergelerinde belirtildiğine göre;
- Doğrulayıcılar ve kimlik bilgisi hizmeti sağlayıcıları, karakter türlerinin bir karışımını zorunlu kılmak gibi belirli karakter kompozisyonu kuralları uygulamamalıdır.
- Doğrulayıcılar ve kimlik bilgisi hizmeti sağlayıcıları, güvenlik ihlaline dair kanıtların olduğu durumlar haricinde, periyodik şifre değişikliği gerektirmemelidir.
Güncellenen yönergeler ayrıca başka değişiklikler de vardır;
- Parolalar en az sekiz karakter uzunluğunda olmalı ve minimum 15 karakter uzunluğunda olması da önerilir.
- Sistemler, parolaların en fazla 64 karakter uzunluğunda olmasına izin vermelidir.
- Parolalarda tüm yazdırılabilir ASCII karakterlere, boşluklar da dahil olmak üzere izin verilmelidir.
- Parola uzunluğu, her karakter bir birim olarak sayılarak, Unicode karakterlere de izin verilmelidir.
- Parolanın kesilmesine izin verilmemeli, yani parolanın tamamı doğrulanmalıdır.
- Sistemler, yetkisiz kullanıcıların erişebileceği şifre ipuçları sunmamalıdır.
- Bilgiye dayalı kimlik doğrulama gibi güvenlik soruları artık kullanılmamalıdır.
Eleştirmenler, yıllarca yaygın olarak kullanılan şifre politikalarının birçoğunun kusurlarına ve risklerine dikkat çekti, ancak bankalar, çevrimiçi hizmetler ve devlet kurumları bunları kullanmayı büyük ölçüde sürdürdü. Yeni yayınlanan NIST yönergeleri nihai hale getirilirse, evrensel olarak bağlayıcı olmayabilir. Ancak geçerliliğini yitirmiş uygulamaların yeniden değerlendirilmesi ve terk edilmesi konusunda ikna edici bir argüman olarak görev yapabilir.
Savaş ULUÇAY / Siber Dünya – bölge VİZYON İş ve Yaşam Dergisi Ekim 2024 sayısı
